Live Direct Marketing
ГоловнаБлогДоставність

SPF, DKIM, DMARC в Office 365: покрокове налаштування для B2B-розсилок

12 липня 2026 · 7 хв читання · Гайд: Доставність

Якщо компанія готується запускати cold email по базі конкретних контактів, домен у Microsoft 365 має пройти автентифікацію ще до першого листа. Без коректних SPF, DKIM та DMARC records поштові сервіси на кшталт Gmail та Outlook сприймають розсилку як підозрілу, навіть якщо текст листа бездоганний. Ця інструкція описує, як налаштувати spf dkim dmarc dns records в Office 365 крок за кроком, без зайвої теорії.

Коротко
  • SPF, DKIM і DMARC — три окремі DNS-записи, які разом підтверджують, що лист справді надіслано від імені вашого домену
  • В Office 365 DKIM для власного домену не увімкнено за замовчуванням — його треба активувати вручну в Defender
  • DMARC варто починати з політики p=none і лише за 3–4 тижні спостережень переходити на quarantine чи reject
  • Для холодних B2B-розсилок краще використовувати піддомен, а не основний поштовий домен компанії
  • Помилка в SPF (більше одного запису або перевищення ліміту 10 DNS-lookup) — найчастіша причина провалу автентифікації

Чому SPF, DKIM і DMARC критичні саме для холодних розсилок

Коли менеджер з продажу пише персональний лист конкретній людині в конкретній компанії, обсяги невеликі — кілька десятків листів на день. Але поштові провайдери оцінюють не лише обсяг, а й репутацію та автентифікацію відправника. Домен без SPF, DKIM і DMARC виглядає для Gmail і Outlook так само, як лист із незнайомої адреси без цифрового підпису — навіть якщо зміст абсолютно легітимний.

LDM послідовно виступає проти будь-яких прийомів «обходу спам-фільтрів». Мета налаштування цих трьох записів протилежна — зробити так, щоб легітимний бізнес-лист виглядав саме тим, чим він є: повідомленням від реальної компанії з реальним доменом, а не анонімним розсиланням.

Крок 1: налаштування SPF record в Office 365

SPF (Sender Policy Framework) — TXT-запис у DNS, який перелічує сервери, яким дозволено надсилати пошту від імені вашого домену. Для Microsoft 365 базовий запис виглядає так: v=spf1 include:spf.protection.outlook.com -all.

Якщо домен уже використовує сторонні сервіси для розсилок (наприклад, платформу для холодних кампаній чи CRM з функцією надсилання листів), їхні include-рядки потрібно додати в той самий SPF record — DNS дозволяє лише один запис SPF на домен. Поширена помилка — створити другий TXT-запис замість того, щоб об'єднати include в один рядок; це ламає перевірку повністю.

Крок 2: активація DKIM для власного домену

На відміну від SPF, DKIM у Microsoft 365 за замовчуванням підписує листи через домен onmicrosoft.com, а не через ваш кастомний домен. Щоб implement spf dkim and dmarc office 365 повністю, DKIM для власного домену треба увімкнути окремо в Microsoft Defender.

У Defender for Office 365 відкрийте розділ Email authentication settings → DKIM, оберіть потрібний домен. Система згенерує два CNAME-записи виду selector1._domainkey і selector2._domainkey. Додайте обидва в DNS-зону домену, після чого перемкніть тумблер Enable в самому Defender — CNAME-записи без активації тумблера DKIM не запрацюють.

Приклад

Типовий CNAME для DKIM в Office 365 виглядає так: selector1._domainkey.vasha-kompaniya.com вказує на selector1-vasha-kompaniya-com._domainkey.vasha-kompaniya.onmicrosoft.com — обидва селектори (1 і 2) додаються паралельно для ротації ключів.

Крок 3: DMARC — від моніторингу до захисту

DMARC record говорить поштовим серверам, що робити з листом, який не пройшов SPF або DKIM, і надсилає звіти на вказану адресу. Мінімальний старт: v=DMARC1; p=none; rua=mailto:dmarc-reports@vasha-kompaniya.com.

Політика p=none нічого не блокує — вона лише збирає дані про те, хто надсилає листи від імені домену. Це критично важливо перед стартом холодних B2B-кампаній: за 3–4 тижні звіти покажуть усі легітимні джерела пошти (включно з CRM, платформою розсилок, бухгалтерським сервісом), і лише після цього безпечно переходити на p=quarantine, а згодом на p=reject.

Типові помилки при налаштуванні в Office 365

Найчастіша проблема — використання одного домену і для внутрішньої корпоративної пошти, і для холодних розсилок. Якщо кампанія раптом отримає скарги чи потрапить у чорний список, постраждає репутація всього домену, включно з листуванням бухгалтерії та контрактами. Практика LDM — виносити холодні розсилки на окремий піддомен (наприклад, outreach.vasha-kompaniya.com) із власними SPF, DKIM і DMARC, які успадковують довіру основного домену, але ізольовані за ризиком.

Друга поширена помилка — забути про DKIM-тумблер у Defender після додавання CNAME-записів у DNS. Записи присутні, але автентифікація фактично не активна, поки адміністратор не підтвердив увімкнення вручну.

Чек-лист перед першою розсилкою

Перед тим як завантажувати базу контактів у CRM і планувати першу хвилю листів, варто пройтися чек-листом нижче. Це базовий рівень технічної гігієни, без якого будь-яка персоналізація тексту втрачає сенс — лист просто не дійде до inbox.

Питання й відповіді

Скільки часу займає повне налаштування spf dkim dmarc dns records в Office 365?

Технічна частина — додавання записів у DNS і активація DKIM у Defender — займає 30–60 хвилин. Поширення DNS-змін по світу може зайняти до 24–48 годин, а перехід DMARC із p=none на суворішу політику варто розтягнути на кілька тижнів спостережень.

Чи можна використовувати dmarc generator office 365 замість ручного налаштування?

Онлайн-генератори DMARC-записів корисні для складання коректного синтаксису рядка, але сам запис усе одно потрібно вручну додати в DNS-зону домену. Microsoft Defender не генерує DMARC автоматично — лише DKIM-селектори.

Що станеться, якщо запустити холодну розсилку без DMARC?

Без DMARC листи все ще можуть проходити SPF і DKIM окремо, але поштові сервіси не отримують чіткої інструкції, що робити з листами, які не пройшли жодної перевірки. Це підвищує ризик потрапляння в спам і не дає власнику домену видимості через звіти.

Чи потрібен окремий піддомен для холодних B2B-розсилок?

Так, це рекомендована практика. Піддомен ізолює репутаційний ризик розсилки від основної корпоративної пошти, водночас успадковуючи частину довіри від кореневого домену завдяки коректно налаштованим SPF, DKIM і DMARC.

Як перевірити, чи SPF і DKIM реально працюють після налаштування?

Надішліть тестовий лист на скриньку Gmail і відкрийте його оригінал (Show original) — там буде видно результати SPF=pass, DKIM=pass, DMARC=pass. Альтернативно можна скористатися сервісами перевірки DNS-записів на кшталт mxtoolbox.

Важливо: це не масова розсилка і не спам. Ми працюємо адресно: кожне повідомлення надсилається конкретному представнику конкретної компанії з легітимного ділового приводу, невеликими щоденними обсягами та з персоналізацією під отримувача. У кожному листі вказано відправника і працює відписка в один клік; відписки та стоп-листи застосовуються до всіх наступних кампаній без винятків.

Хочете застосувати це у своєму аутрічі?

Розповімо, як це працює на вашому сегменті та продукті — до старту робіт.

Обговорити задачу