Що таке SPF, DKIM і DMARC — і чому без них холодна розсилка не долетить до інбоксу
Якщо холодні листи регулярно потрапляють у спам або взагалі не доходять, причина рідко в тексті — частіше в тому, що поштовий сервер отримувача не може підтвердити, що лист справді від вас. SPF, DKIM і DMARC — це три протоколи, які відповідають якраз на це питання. У статті пояснюємо, що таке spf dkim dmarc це простими словами, без жаргону, і що конкретно налаштувати перед першою розсилкою на B2B-контакти.
- SPF, DKIM, DMARC — це не про блокування спаму, а про підтвердження, що лист справді від вашого домену
- Без DMARC навіть при налаштованих SPF і DKIM домен лишається вразливим до підробки (спуфінгу)
- Для холодних B2B-розсилок правильна автентифікація домену впливає на потрапляння в інбокс сильніше, ніж текст листа
- DMARC варто впроваджувати поступово: спершу режим моніторингу, потім quarantine, і лише після цього reject
- Перевірити налаштування можна безкоштовно за кілька хвилин — через DNS-записи, без доступу до коду
Навіщо потрібна автентифікація пошти, якщо ви й так не спамите
Поштові сервіси на кшталт Gmail і Outlook щодня отримують мільярди листів і мусять швидко вирішити, кому довіряти. Вони не читають зміст кожного листа вручну — натомість перевіряють технічні сигнали: чи домен відправника технічно підтверджує, що сервер, з якого прийшов лист, справді має право це робити. SPF, DKIM і DMARC — це і є ці сигнали.
Для холодної B2B-розсилки це критично: ви надсилаєте невеликі обсяги персоналізованих листів реальним людям, а не масову розсилку, але поштовий фільтр цього не знає заздалегідь. Домен без налаштованих SPF, DKIM і DMARC виглядає технічно так само підозріло, як домен спамера — навіть якщо лист бездоганний за змістом.
Розібратися, що таке spf dkim dmarc це, простіше, ніж здається: усі три записи живуть у DNS вашого домену і не вимагають програмування — лише кількох текстових записів у панелі керування доменом.
SPF: хто має право надсилати листи від імені вашого домену
SPF (Sender Policy Framework) — це список серверів і сервісів, яким дозволено відправляти пошту з вашого домену. Запис зберігається як TXT-рядок у DNS: поштовий сервер отримувача звіряє IP-адресу, з якої прийшов лист, зі списком у цьому записі.
Якщо компанія використовує Google Workspace для внутрішньої пошти й окремий сервіс для холодних розсилок, обидва мають бути перелічені в одному SPF-записі — на домен може бути лише один SPF TXT-запис. Дублікати не підсумовуються, а ламають перевірку.
Типова помилка — забути додати новий сервіс у SPF після підключення. Лист технічно відправлений легітимно, але з погляду отримувача виглядає неавторизованим.
Приклад SPF-запису для компанії, яка використовує Google Workspace та окремий сервіс для холодних розсилок: v=spf1 include:_spf.google.com include:_spf.розсилка.com ~all — механізм ~all означає м'яку відмову для серверів поза списком, тоді як -all відмовляє жорстко.
DKIM: цифровий підпис, який доводить, що лист не підмінили дорогою
DKIM (DomainKeys Identified Mail) додає до кожного листа криптографічний підпис у заголовку. Публічний ключ для перевірки лежить у DNS домену, приватний — на сервері, який відправляє пошту. Отримувач перевіряє підпис і бачить: заголовки й тіло листа не змінювались після відправлення, і лист справді підписаний власником домену.
На відміну від SPF, який працює на рівні сервера, DKIM працює на рівні конкретного листа — тому переживає пересилання через проміжні сервери, де SPF часто ламається.
Кожен сервіс розсилки зазвичай видає власний DKIM-селектор — якщо ви одночасно надсилаєте пошту з кількох сервісів, у кожного буде свій запис, і це нормально: на відміну від SPF, DKIM-записів у DNS може бути кілька одночасно.
DMARC: правило, яке каже поштовим серверам, що робити з підозрілими листами
DMARC (Domain-based Message Authentication, Reporting and Conformance) — це вже не окрема перевірка, а політика поверх SPF і DKIM. Запис у DNS каже: якщо лист не пройшов SPF і DKIM для цього домену, робити з ним ось що — пропустити, відправити в спам чи відхилити. Це і є dmarc це у практичному сенсі: рівень довіри плюс конкретна дія у разі провалу перевірки.
Впроваджувати DMARC варто поступово, а не одразу з жорсткою забороною:
- p=none — режим моніторингу: листи доставляються як завжди, але ви отримуєте звіти про те, хто надсилає пошту від імені вашого домену
- p=quarantine — листи, що не пройшли перевірку, потрапляють у спам отримувача
- p=reject — такі листи повністю відхиляються поштовим сервером отримувача
Цифри орієнтовні, за практикою підготовки B2B-доменів до розсилок — не всі компанії доходять до жорсткого reject, і для невеликих обсягів це нормально
Що реально змінюється в доставлюваності після налаштування
Ефект від SPF, DKIM і DMARC не миттєвий і не єдиний фактор доставлюваності — репутація домену, обсяг розсилки, залученість отримувачів теж важливі. Але без базової автентифікації решта факторів часто не встигає спрацювати: лист або одразу падає в спам, або взагалі не приймається сервером отримувача.
У практиці підготовки доменів до холодних B2B-кампаній різниця в потраплянні в інбокс між доменом без налаштувань і доменом з повним SPF, DKIM і DMARC зазвичай помітна вже в перший тиждень прогріву.
Показники орієнтовні, зі спостережень за прогрівом доменів для B2B-розсилок; фактичні цифри залежать від репутації домену, обсягу та якості бази контактів
Типові помилки при налаштуванні SPF, DKIM, DMARC
Більшість проблем не в самих протоколах, а в тому, як їх додають поспіхом і не перевіряють після зміни постачальників пошти.
- Кілька окремих SPF-записів замість одного об'єднаного — DNS дозволяє створити їх кілька, але коректно обробляється лише один
- SPF-запис перевищує ліміт у 10 DNS-lookup — записи від великих ESP і CRM накопичуються, і перевірка просто провалюється
- DKIM-ключ згенерований, але не підключений на стороні сервісу розсилки — заголовок є, підпис невалідний
- DMARC одразу виставлений у p=reject без періоду моніторингу — легітимні листи з нових інтеграцій починають губитися
- Розсилка йде з піддомену для холодної пошти, який не має власних SPF/DKIM записів
- Ніхто не читає DMARC-звіти (rua), тому підробка домену помічається із запізненням
Чек-лист перед стартом холодної B2B-розсилки
Перед першим потоком листів варто перевірити три речі окремо, а не покладатися на те, що «десь колись налаштували».
- SPF-запис існує, єдиний на домен, і в ньому перелічені всі сервіси, з яких реально йде пошта
- DKIM підключений і активний саме для того сервісу розсилки, який ви використовуєте
- DMARC хоча б у режимі p=none з налаштованим отриманням звітів
- Розсилка йде з окремого піддомену для холодної пошти, а не з основного домену компанії
- Обсяг і темп нарощування узгоджені з прогрівом домену, а не запущені одразу на повну базу
У LDM ці перевірки — частина запуску кампанії, а не окремий технічний квест: платформа перевіряє SPF, DKIM і DMARC домену до першої відправки і показує, чого бракує, ще до того, як лист піде реальному контакту.
Питання й відповіді
Чи достатньо налаштувати тільки SPF, без DKIM і DMARC?
Технічно лист відправиться, але цього недостатньо для стабільної доставлюваності: SPF легко ламається при пересиланні листа, а без DMARC немає єдиної політики для отримувача. Для холодної B2B-розсилки варто налаштовувати всі три протоколи разом.
Скільки часу займає налаштування SPF, DKIM, DMARC?
Сама зміна DNS-записів займає кілька хвилин, але поширення DNS може тривати від кількох годин до доби. Плюс варто закласти час на режим моніторингу DMARC перед переходом до quarantine чи reject.
Що таке dmarc це для отримувача листа — він якось помітний в інтерфейсі пошти?
Ні, отримувач не бачить DMARC як окремий елемент інтерфейсу — він впливає на те, чи лист узагалі дійде до інбоксу, потрапить у спам чи буде відхилений ще до показу користувачу.
Чи потрібні окремі SPF/DKIM/DMARC для піддомену холодних розсилок?
Так, і це радше плюс: піддомен на кшталт mail.вашакомпанія.com має власні DNS-записи, тому проблеми з репутацією чи прогрівом там не зачіпають основний корпоративний домен.
Чи можна перевірити свої SPF/DKIM/DMARC самостійно, без розробника?
Так, є безкоштовні онлайн-інструменти для перевірки DNS-записів домену — потрібен лише доступ до панелі управління DNS, щоб за потреби додати чи виправити TXT-записи.
Хочете застосувати це у своєму аутрічі?
Розповімо, як це працює на вашому сегменті та продукті — до старту робіт.
Обговорити задачу