Як перевірити SPF, DKIM і DMARC домену перед холодною розсилкою
Один неправильний символ в SPF-записі — і поштові сервіси починають ставити під сумнів кожен лист із домену, навіть якщо адресат чекає на нього. Для холодної B2B-розсилки з малими щоденними обсягами це критично: тут немає запасу у вигляді тисяч листів, які «переживуть» частину, що впала в спам. Ця стаття — практичний spf dkim dmarc check, який варто зробити до, а не після старту кампанії.
- SPF checker — перша перевірка перед будь-якою холодною розсилкою, займає 5–10 хвилин
- Найдорожча помилка — кілька SPF-записів на один домен одночасно
- DKIM і DMARC перевіряються разом зі SPF, окремо жоден із них доставлюваність не рятує
- DMARC варто вмикати поступово: p=none → p=quarantine → p=reject
- LDM перевіряє check spf dkim dmarc for domain перед кожним новим доменом у ротації
Чому SPF-запис визначає долю холодної B2B-розсилки
SPF (Sender Policy Framework) — це TXT-запис у DNS домену, який перелічує сервери, яким дозволено відправляти пошту від його імені. Gmail, Outlook і корпоративні поштові шлюзи звіряють цей список у момент прийому листа, ще до того, як людина його побачить. Якщо сервер відправника не входить у список — це вже сигнал ризику, навіть коли текст листа бездоганний.
У масовій розсилці одна битa частина бази губиться в загальному обсязі. У цільовому B2B cold email, де щодня йдуть десятки персоналізованих листів конкретним людям у конкретних компаніях, кожен лист важливий — і кожен неправильно автентифікований лист псує репутацію всього домену, а не тільки свою долю.
Тому spf dkim dmarc check — це не разова технічна формальність під час налаштування домену, а перевірка, яку варто повторювати щоразу, коли змінюється інфраструктура відправки: додається новий ESP, підключається LDM, змінюється хостинг корпоративної пошти.
Як зробити spf dkim dmarc check: покроково
Перевірка SPF, DKIM і DMARC займає кілька хвилин і не потребує доступу до самого поштового сервера — досатньо доступу до DNS-панелі домену або будь-якого публічного spf checker.
- Запросіть TXT-записи домену командою dig TXT назва_домену або через онлайн spf dkim dmarc checker
- Переконайтесь, що запис починається з v=spf1 — без цього рядок не є валідним SPF
- Порахуйте кількість DNS-лукапів у записі (include, a, mx, redirect) — RFC 7208 дозволяє максимум 10, більше означає permerror і повне ігнорування SPF поштовим сервісом
- Звірте список джерел відправки з реальністю: власний поштовий сервер, Google Workspace чи Microsoft 365, ESP, інфраструктура LDM — усе, звідки реально йдуть листи, має бути в записі
- Перевірте механізм у кінці запису: ~all (softfail, м'який режим на час прогріву домену) чи -all (hardfail, для домену з усталеною репутацією)
- Повторіть те саме для DKIM: TXT-запис за адресою селектор._domainkey.домен має містити публічний ключ
- Перевірте DMARC: TXT-запис _dmarc.домен має існувати і містити політику p=
Робочий SPF-запис для домену, який відправляє і через корпоративну пошту, і через LDM, виглядає приблизно так: v=spf1 include:_spf.google.com include:mail.ldm-tracking.net ~all — тут явно перелічені обидва джерела відправки і використаний м'який механізм ~all на період прогріву.
SPF checker: на що дивитися в результатах перевірки
Результат spf dkim dmarc check зазвичай повертає один зі статусів: pass (сервер відправника входить у список), softfail (не входить, але запис дозволяє листу пройти з позначкою), hardfail (лист має бути відхилений або позначений як підозрілий) або permerror (запис синтаксично зламаний і поштовий сервіс його просто ігнорує — це найгірший з можливих сценаріїв, бо домен фактично залишається без захисту).
Найчастіша причина permerror, яку бачить будь-який dmarcian spf аналіз, — це не одна помилка в синтаксисі, а два окремі SPF-записи на одному домені. DNS-стандарт прямо забороняє більше одного SPF TXT-запису: якщо їх два, поштові сервіси не намагаються вгадати, який правильний, вони ігнорують обидва.
цифри орієнтовні, за практикою аудитів доменів перед запуском таргетованих B2B-кампаній
DKIM і DMARC: що перевіряти паралельно зі SPF
SPF відповідає на питання «чи мав право цей сервер відправити лист від імені домену». DKIM відповідає на інше питання — «чи не змінили лист по дорозі»: кожен вихідний лист підписується приватним ключем, а поштовий сервіс звіряє підпис із публічним ключем у DNS. Домен, з якого йде холодна розсилка, має мати активний DKIM-селектор саме для того сервісу, який фактично відправляє листи — часто компанії налаштовують DKIM для Google Workspace, а листи через LDM або інший ESP йдуть без підпису.
DMARC — це рівень, який поєднує SPF і DKIM і каже поштовому сервісу, що робити, якщо обидва провалились: нічого не робити (p=none, тільки збирати звіти), відправити в спам (p=quarantine) або відхилити (p=reject). Для домену, який тільки починає холодну розсилку, правильна послідовність — кілька тижнів на p=none для збору звітів, потім перехід на p=quarantine, і лише після впевненості у всіх джерелах відправки — на p=reject.
Скільки коштує ігнорувати SPF: вплив на доставлюваність
Різниця між доменом із коректним SPF/DKIM/DMARC і доменом із помилками в них — це не кілька відсотків, а зазвичай різниця між листом у папці «Вхідні» і листом, який людина ніколи не побачить. Для агентства чи sales-команди, що вимірює результат холодної розсилки відповідями в CRM, а не відкриттями, потрапляння в inbox — перша умова, без якої решта тексту листа не має значення.
діапазони орієнтовні, за практикою прогріву доменів для таргетованих B2B-кампаній LDM
Чек-лист перед стартом розсилки і як це перевіряє LDM
Найдорожчі помилки в SPF-записі — не рідкісні і не екзотичні, вони повторюються від домену до домену: другий SPF-запис, залишений після зміни поштового провайдера; нова платформа розсилки, додана до списку відправників у настройках сервісу, але не додана в DNS; DMARC, який роками стоїть на p=none і ніхто не дивиться звіти; DKIM, налаштований для корпоративної пошти, але не для сервісу, з якого реально йде холодна розсилка.
Перед підключенням будь-якого нового домену до розсилки в LDM команда робить той самий check spf dkim dmarc for domain, який описаний вище: звіряє список джерел відправки, рахує DNS-лукапи, перевіряє відсутність дублікатів SPF і статус DMARC-політики. Домен потрапляє в активну ротацію тільки після проходження цієї перевірки і періоду прогріву — це знижує ризик того, що технічна помилка в DNS зведе нанівець якісну персоналізацію листа.
- Один SPF-запис на домен, без дублікатів
- Усі реальні джерела відправки (корпоративна пошта, ESP, LDM) перелічені в SPF
- Кількість DNS-лукапів у SPF не перевищує 10
- DKIM-селектор активний саме для сервісу, який фактично відправляє листи
- DMARC-запис існує, і його політика відповідає етапу прогріву домену
- Перевірка повторена після будь-якої зміни поштової інфраструктури
Питання й відповіді
Що таке spf dkim dmarc checker і чи потрібно за нього платити?
Це інструмент, який зчитує DNS-записи домену і показує, чи валідні SPF, DKIM і DMARC. Базова перевірка безкоштовна в більшості онлайн-сервісів, платні версії на кшталт dmarcian додають моніторинг звітів і історію змін у часі.
Як часто перевіряти SPF-запис для домену, з якого йде холодна розсилка?
Одразу перед запуском нового домену в ротацію та щоразу після зміни поштової інфраструктури — підключення нового ESP, зміни хостингу пошти. Для стабільного домену достатньо повторної перевірки раз на квартал.
Що робити, якщо spf checker показує помилку 'too many DNS lookups'?
Це означає перевищення ліміту в 10 DNS-лукапів, дозволених RFC 7208. Потрібно прибрати зайві include-директиви, об'єднати кілька дрібних постачальників в один запис через redirect або відмовитись від сервісів, які фактично не використовуються для відправки.
Чи можна мати кілька SPF-записів для одного домену?
Ні, стандарт дозволяє тільки один SPF TXT-запис на домен. Якщо їх два, поштові сервіси не обирають правильний, а ігнорують обидва — домен залишається фактично без SPF-захисту.
Яка різниця між DMARC-політикою none, quarantine і reject?
p=none лише збирає звіти, не впливаючи на доставку. p=quarantine відправляє листи, що провалили SPF/DKIM, у спам. p=reject повністю блокує такі листи. Перехід має бути поступовим, з аналізом звітів на кожному етапі.
Чи впливає SPF на репутацію піддомену окремо від основного домену?
Так, кожен піддомен, який використовується для відправки, потребує власного SPF-запису або явного успадкування через include. Помилка в SPF основного домену не захищає автоматично піддомен, і навпаки.
Хочете застосувати це у своєму аутрічі?
Розповімо, як це працює на вашому сегменті та продукті — до старту робіт.
Обговорити задачу