Якщо у вас є доменне ім'я і послуга хостингу – ви можете створювати корпоративні поштові скриньки на базі вашого доменного імені і використовувати їх для листування.
Чимало користувачів після створення поштової скриньки і відправлення листа зіштовхуються з однією проблемою – листи з боку одержувача фільтруються і визначаються як СПАМ. В результаті листи можуть бути або повністю відхилені сервером одержувача, або потрапляти в розділ СПАМу.
Для мінімізації ризику потрапляння в СПАМ або цілковитого уникнення подібної проблеми, вам, як власнику доменного імені, необхідно підняти рівень довіри листів, відправлених з вашого доменного імені, для серверів-одержувачів.
Зробити це можна шляхом налаштувань спеціальних DNS-записів у форматі TXT-записів.
SPF-запис або Sender Policy Framework
Цей запис створюється, за великим рахунком, з двома цілями:
- визначення структури політики відправки листів від імені вашого домену;
- заборона відправки листів від імені вашого доменного імені з підозрілих серверів.
Іншими словами, в даному записі ви визначаєте сервери (IP або hostname), з яких дозволяєте відправку листів від імені вашого доменного імені.
Даний запис не вимагає додаткового налаштування на самому сервері і несе в собі тільки інформацію про довірені сервери відправника з використанням вашого доменного імені. Для того щоб запис SPF працював, він обов’язково повинен бути наявний в DNS.
Приклад запису:
@ .Example.ltd TXT "v = spf1 + mx + ip4: 192.168.0.1 + a: domain.ltd include: mail.domain.ltd ~ all"
Розшифрування цього запису за тегами:
v - використовувана версія SPF;
mx - складається з усіх адрес серверів, які вказані в MX-записах домену;
ip4 - надає можливість вказати конкретну IP-адресу або ж мережу адрес;
a - визначаємо поведінку, в разі якщо буде отримано лист від конкретного домену;
include - включає в себе хости, дозволені SPF-записом зазначеного домену;
all - всі інші сервери, не перераховані в SPF-записі.
+ - якщо ніяких параметрів не встановлено, то це "Pass";
- - Відхилити (Fail);
~ - м'яке відхилення (SoftFail). Лист буде прийнято, але позначено як СПАМ;
? - нейтральне ставлення;
Генерація запису SPF може бути виконана в панелі управління, яку ви використовуєте на хостингу. Як згенерувати і правильно додати запис, ви можете ознайомитися у статті "Як згенерувати SPF-запис за допомогою панелі управління?" .
DKIM-запис або Domain Keys Identified Mail
Даний запис створюється з метою підвищення якості класифікації та ідентифікації листів, надісланих з доменного імені.
При використанні цього запису в заголовок листа додається цифровий підпис, пов'язаний з ім'ям домена. Ідеологія такого методу полягає в тому, що сервер одержувача має можливість додатково перевірити, чи відповідає ключ доменному імені, від якого надсилаються листи.
Налаштування цього запису дещо складніше в реалізації. По суті, для доменного імені генерується два унікальних ключі (приватний і публічний). Приватний ключ зберігається на сервері. Публічний додається у вигляді DNS-запису. При отриманні листа сервер одержувача перевіряє, чи збігаються ключі.
Приклад запису:
default._domainkey.example.ltd TXT "v = DKIM1; k = rsa; t = s; p = MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzUfmyTiGh / EJmUBaeFz9JD6C4YVMd4dr5i4o // FMoqmP / gLmtelJLfY3RYyLeZhUIXyibGUoZlzQG5CqjuabZEkIzsRLic1OYm7o3Al0J / wZuVQ076G0zXzE5u1DPzBAkjgVWM5ANkNz89WAD7y9mzQH4 ++ g / bPy6fvXojUTDjLTmW1IJ + ieo / TdjrKFaAtunrtqOeu2v8tgzqzrOwJW + fC2P4Olad1VAuGrU68akNDkYx3pQf / v / GGniMOmB6IHeKC1F935OnkTI3rq4 / kk3KSpbeBXfBBKU71avOx4fx74GVCdxpQpUvxR + 3gVb14wb5fzTr2FPVKAhm9A02Wk8wIDAQAB; "
Розшифрування цього запису за тегами:
default - селектор. Можна вказати кілька записів з різними селекторами, в кожній з яких буде свій ключ;
v - версія DKIM, яка завжди приймає значення v = DKIM1;
k - тип ключа, завжди k = rsa;
p - публічний ключ, закодований в base64;
t - прапори;
t = y - режим тестування;
t = s - означає, що запис буде використано тільки для домену, до якого відноситься запис.
Генерацію DKIM-ключів ви можете виконати в панелі управління, яку ви використовуєте на хостингу. Як згенерувати і правильно додати запис, ви можете прочитати в статті "Як згенерувати DKIM-запис за допомогою панелі управління?".
DMARC-запис або Domain-based Message Authentication, Reporting and Conformance
Даний запис створюється з метою установки стандарту для ідентифікації електронних повідомлень серверами одержувача, використовуючи механізм записів SPF і DKIM.
Іншими словами – це щось на зразок надбудови над записами SPF і DKIM. За допомогою цього запису можна перевіряти справжність повідомлень і визначати, що робити з підозрілими вхідними листами, які не пройшли перевірку SPF і DKIM, серверам-одержувачам.
Даний запис не вимагає додаткового налаштування на самому сервері, але вимагає наявності записів SPF і DKIM для доменного імені. Для того щоб запис DMARC працював, необхідна його наявність в DNS, а також наявність записів SPF і DKIM для доменного імені.
У панелях управління не передбачено генератора цього запису, оскільки в 95% випадків даний запис приводитися до виду (на прикладі доменного імені example.ltd):
_dmarc.example.ltd TXT "v = DMARC1; p = none; sp = none;"
Розшифрування цього запису за тегами:
v - версія технології, приймає значення v = DMARC1.
p - може приймати значення none, quarantine і reject,
p = none - тільки підготовка звіту;
p = quarantine - перемістити лист в карантин на поштовому сервері одержувача (умовно – помістити в СПАМ);
p = reject - відхилити лист;
sp - відповідає за субдомени і приймає такі ж значення, як і тег p.
Насправді, в даному записі ви можете використовувати набагато більше параметрів. Більш докладний список всіх параметрів і принцип їх роботи ви можете знйати у вільному доступі в мережі.
PTR-запис або Pointer
Даний запис створюється для зв'язку IP-адреси і канонічного доменного імені сервера, на якому розміщена дана IP.
Інакше кажучи – зворотне відображення IP-адрес в іменах хостів або ім'я IP-адреси в DNS-системі.
PTR-запис є одним з пріоритетно-обов'язкових записів при перевірці з боку серверів-одержувачів. Обов'язковою умовою успішної перевірки пошти є саме перевірка PTR.
Умовно кажучи, відбувається перевірка, чи дійсно лист було відправлено з сервера, IP якого зазначено в header листа.
Усе відбувається за наступним алгоритмом:
- отримано лист від (hidden) з сервера з IP 192.168.0.1;
- перевіряється PTR для IP 192.168.0.1, чи відповідає вона імені example.ltd;
- перевіряється IP для example.ltd, чи відповідає він 192.168.0.1.
У цьому разі перевірка пройшла успішно і починається перевірка інших DNS-записів SPF | DKIM | DMARC.
Якщо в ланцюжку виявиться невідповідність IP або доменного імені, лист у 65% випадків відразу буде відхилено без додаткових перевірок.
Даний запис налаштовується з боку власника мережі (власника IP).
Якщо у вас є послуга виділеного IP або послуга VPS | VDS, налаштувати PTR ви можете згідно з цією інструкцією .