SPF, DKIM, DMARC: як прописати записи в DNS перед холодною розсилкою
Без правильно налаштованих SPF, DKIM і DMARC навіть ідеальний лист із персоналізацією потрапляє у спам або взагалі не доходить до отримувача. Ця інструкція — для тих, хто готує домен до перших холодних B2B-розсилок і хоче зробити все один раз і правильно, не гадаючи, які поля заповнювати в DNS-панелі. Розберемо, де шукати ці налаштування, які значення вписувати і як переконатися, що пошта поштових провайдерів довіряє вашому домену.
- SPF, DKIM і DMARC — це три окремі DNS-записи, і жоден із них не працює повноцінно без інших двох
- Записи типу TXT додаються в DNS-панелі реєстратора або хостера домену, зміни поширюються від кількох хвилин до 48 годин
- DMARC варто починати з політики моніторингу (p=none), а не одразу з жорсткого відхилення листів
- Для холодних розсилок критично мати окремий піддомен для розсилок, відмінний від основного корпоративного домену
- Перевіряти конфігурацію потрібно через dmarc checker dns після кожної зміни, а не покладатися на «має спрацювати»
Навіщо взагалі потрібні spf dkim dmarc dns records
Поштові сервіси на кшталt Gmail, Outlook чи українські корпоративні поштові системи більше не довіряють листам «за замовчуванням». Вони перевіряють, чи має право сервер, з якого прийшов лист, відправляти пошту від імені цього домену. Саме за це відповідають три DNS-записи: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) і DMARC (Domain-based Message Authentication, Reporting and Conformance).
SPF каже: «ось список серверів, яким дозволено відправляти пошту від імені мого домену». DKIM додає до листа цифровий підпис, який підтверджує, що вміст не підмінили дорогою. DMARC об'єднує обидва механізми в одну політику й каже поштовому серверу отримувача, що робити з листом, який не пройшов перевірку SPF чи DKIM — пропустити в спам, відхилити чи просто повідомити власника домену.
Для холодних B2B-розсилок це не опційна опція «для просунутих», а базова гігієна. Без цих записів навіть п'ять листів на день з персоналізованим зверненням до конкретної людини в конкретній компанії ризикують осісти у папці «Спам» — просто тому, що поштовий сервер не бачить підтвердження автентичності відправника.
Де в DNS шукати потрібні поля — покрокова інструкція
Незалежно від того, яким реєстратором ви користуєтесь — Ukrnames, Imena.ua, GoDaddy чи Cloudflare — логіка однакова: усі три записи додаються як TXT-записи (для DKIM іноді ще й CNAME) у зоні DNS вашого домену. Різниця лише в назвах пунктів меню.
Для запитів на кшталт spf dkim and dmarc records godaddy принцип той самий: заходите в DNS Management вашого домену, додаєте новий запис типу TXT, вказуєте ім'я хоста та значення. GoDaddy, Namecheap чи локальні українські реєстратори відрізняються лише інтерфейсом кнопок.
- Крок 1. Зайдіть у панель керування доменом → розділ DNS Management, DNS Zone Editor або «Керування записами DNS»
- Крок 2. Створіть TXT-запис для SPF з ім'ям хоста @ (або порожнім полем, що означає кореневий домен) і значенням виду v=spf1 include:_spf.вашпровайдер.com ~all
- Крок 3. Отримайте DKIM-ключ у вашому сервісі розсилок або поштовому провайдері (він генерує пару ключів автоматично) і додайте його як TXT-запис з ім'ям на кшталт selector1._domainkey
- Крок 4. Додайте DMARC-запис з ім'ям _dmarc і значенням виду v=DMARC1; p=none; rua=mailto:адреса-для-звітів@вашдомен.com
- Крок 5. Збережіть зміни та зачекайте на поширення DNS — зазвичай 15–60 хвилин, іноді до 48 годин
- Крок 6. Перевірте кожен запис окремо через будь-який dmarc checker dns або SPF-валідатор перед стартом розсилки
Приклади коректних записів і типові значення
Розглянемо конкретний приклад для умовної компанії «Технополіс Логістик», яка готує домен pošta.tehnopolis-logistics.ua до холодної B2B-розсилки менеджерам логістичних відділів.
SPF: v=spf1 include:_spf.google.com include:sendgrid.net ~all — дозволяє відправку через Google Workspace і сервіс розсилок SendGrid, м'яко позначаючи інші джерела як підозрілі. DKIM: TXT-запис з іменем s1._domainkey.tehnopolis-logistics.ua і довгим значенням-ключем, який видає ваш ESP. DMARC: v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc-reports@tehnopolis-logistics.ua — на етапі впровадження карантинить лише половину порушень і одразу шле звіти на пошту відповідального за домен.
Типові помилки, які ламають доставність
Найпоширеніша помилка — мати два SPF-записи одразу. DNS-стандарт дозволяє лише один запис типу TXT з v=spf1 на домен; якщо їх два, поштові сервери часто відхиляють обидва як недійсні. Друга по частоті помилка — забути додати нового провайдера розсилок у вже існуючий SPF-запис через include, через що новий сервіс просто не проходить перевірку.
Третя типова помилка — одразу ставити в DMARC жорстку політику p=reject, не проживши кілька тижнів у режимі моніторингу. Якщо DKIM чи SPF налаштовані з дрібною помилкою, жорсткий DMARC миттєво почне відхиляти навіть легітимні листи, і ви дізнаєтесь про проблему тільки з скарг клієнтів, що листи не доходять.
Четверта — розсилати холодні листи з того ж домену, що й основна корпоративна пошта, без піддомену. Це ризикує репутацією головного домену: якщо провайдер розсилок чи стратегія розсилки викличуть скарги, постраждає й звичайне корпоративне листування.
цифри орієнтовні, за практикою підготовки доменів до B2B-розсилок
Як довести налаштування до робочого стану і перевірити результат
Після додавання всіх трьох записів обов'язковий крок — перевірка. Введіть домен у будь-який dmarc checker dns онлайн-сервіс, і він покаже, чи знаходить запис, чи коректний синтаксис, чи узгоджені політики SPF і DKIM з доменом у заголовку From.
Паралельно варто відправити тестовий лист на скриньку Gmail і подивитися заголовки повідомлення (Показати оригінал → Show original). Там будуть рядки SPF: PASS, DKIM: PASS, DMARC: PASS — якщо хоч один зі статусів FAIL чи NEUTRAL, потрібно повернутися до DNS-запису й перевірити синтаксис.
- Перевірте SPF окремим інструментом — переконайтесь, що запис один і синтаксично коректний
- Перевірте DKIM-селектор — правильна назва хоста критична, помилка в одному символі ламає весь підпис
- Тримайте DMARC у режимі p=none перших 2–3 тижні, читайте агрегатні звіти rua
- Підвищуйте політику до p=quarantine, а потім до p=reject поступово, лише після чистих звітів
- Використовуйте окремий піддомен для холодних розсилок — і повторіть усі три записи саме для нього
Як це роблять у LDM
У LDM налаштування SPF, DKIM і DMARC — це обов'язковий етап перед підключенням будь-якого домену до кампанії холодних розсилок, а не побажання «на потім». Платформа перевіряє коректність усіх трьох записів автоматично при підключенні поштової скриньки і показує зрозумілий статус: що саме не так і яке значення додати в DNS.
Для клієнтів, які масштабують кількість поштових скриньок під розсилки, LDM рекомендує окремі піддомени з власними DKIM-селекторами під кожен потік — це ізолює репутацію й дозволяє швидко відключити проблемний піддомен, не чіпаючи основний корпоративний домен.
Питання й відповіді
Що робити, якщо реєстратор домену не дозволяє додати TXT-запис з довгим DKIM-ключем?
Деякі панелі обмежують довжину одного рядка TXT-запису. У такому разі розбийте значення на кілька частин у лапках підряд — більшість реєстраторів автоматично склеюють їх у один запис під час поширення DNS. Якщо опції немає взагалі, перенесіть DNS-зону на Cloudflare — це безкоштовно і не вимагає зміни хостингу сайту.
Скільки часу займає поширення DNS-записів після додавання SPF, DKIM, DMARC?
Зазвичай зміни видно вже за 15–30 хвилин, але через кешування DNS-серверами процес може тривати до 24–48 годин. Не варто починати розсилку одразу після додавання записів — краще перевірити статус через dmarc checker dns і почекати повного поширення.
Чи можна мати кілька SPF-записів для різних сервісів розсилок?
Ні, стандарт дозволяє лише один TXT-запис з v=spf1 на домен. Якщо використовуєте кілька сервісів — Google Workspace для звичайної пошти і окремий ESP для розсилок — усі джерела перераховуються через include в одному-єдиному записі.
З якої політики DMARC краще починати?
Завжди починайте з p=none — це режим лише моніторингу, який не блокує жодного листа, але дозволяє збирати звіти про те, хто і як відправляє пошту від імені вашого домену. Підвищуйте до p=quarantine, а згодом до p=reject тільки після кількох тижнів чистих звітів без хибних спрацювань.
Чи потрібен окремий домен або піддомен для холодних розсилок?
Так, це рекомендована практика. Піддомен на кшталт mail.вашкомпанія.com дозволяє тестувати обсяги розсилок і прогрівати репутацію, не ризикуючи доставністю основної корпоративної пошти на головному домені.
Як перевірити, що DKIM-підпис справді працює, а не просто доданий у DNS?
Відправте тестовий лист на скриньку Gmail чи Yahoo і відкрийте оригінал повідомлення через пункт меню «Показати оригінал». У заголовках буде явний рядок зі статусом DKIM=PASS або DKIM=FAIL — це точніший показник, ніж просто наявність запису в DNS.
Хочете застосувати це у своєму аутрічі?
Розповімо, як це працює на вашому сегменті та продукті — до старту робіт.
Обговорити задачу