SPF, DKIM un DMARC aukstajam e-pastam: kas patiešām svarīgi 2026. gadā

Jauns sūtīšanas domēns bez SPF ieraksta no pirmās dienas nokļūst mēstuļu mapē. Gmail to atzīmē. Outlook ievieto karantīnā. Kampaņa, ko gatavojāt divas nedēļas, nesasniedz nevienu.

To var novērst. SPF, DKIM un DMARC ir trīs DNS ieraksti — kopā tos var iestatīt aptuveni 20 minūtēs, un tieši tie izlemj, vai jūsu aukstais e-pasts nonāks iesūtnē vai mēstuļu mapē. Lūk, kas patiešām svarīgi 2026. gadā.

SPF: pasakiet pasaulei, kas drīkst sūtīt jūsu vārdā

SPF (Sender Policy Framework) ir TXT ieraksts jūsu domēnam, kas uzskaita IP adreses vai servisus, kuriem ir tiesības sūtīt e-pastu jūsu vārdā. Kad Gmail saņem ziņojumu, kas it kā nāk no jūsu domēna, tas pārbauda SPF. Ja sūtošā IP nav ierakstā, ziņojums tiek atzīmēts.

Strādājošs SPF tipiskai aukstā e-pasta iestatīšanai izskatās šādi:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:89.167.64.66 ~all

Trīs lietas, ko viegli sabojāt:

1. Sākumā lietojiet ~all (soft fail), nevis -all (hard fail). Hard fail tehniski ir stingrāks, bet, ja aizmirsīsiet vienu sūtīšanas servisu, visi ziņojumi tiks noraidīti. Pārejiet uz -all pēc mēneša tīras sūtīšanas.
2. Pievērsiet uzmanību 10 DNS lookup limitam. Katrs include: ir viens lookup. Sastreptot pārāk daudz, SPF klusi nolūst. Tādi rīki kā mxtoolbox.com to saskaitīs.
3. Viens SPF ieraksts uz domēnu. Vairāki v=spf1 ieraksti tajā pašā domēnā padara autentifikāciju nederīgu. Apvienojiet tos vienā.

DKIM: parakstiet katru sūtīto ziņojumu

DKIM (DomainKeys Identified Mail) pievieno katram izejošajam ziņojumam kriptogrāfisko parakstu. Saņēmēja serveris paņem jūsu publisko atslēgu no DNS, pārbauda parakstu un apstiprina, ka ziņojums nav mainīts pārsūtīšanas laikā.

Iestatīšana atkarīga no sūtīšanas servisa. Self-hosted Postfix ar OpenDKIM — ģenerējat 2048 bitu atslēgu un publicējat publisko daļu kā TXT ierakstu selector._domainkey.yourdomain.com. Google Workspace — ieslēdzat DKIM admin iestatījumos un ielīmējat viņu TXT.

Kur cilvēki kļūdās: lieto vienu un to pašu DKIM atslēgu visām sūtīšanas plūsmām. Ja sūtāt transakcijas no viena servisa un auksto kontaktēšanu no cita, iedodiet katram savu selektoru. Kad viena plūsma cietīs no piegādes problēmām, otra paliks tīra.

DMARC: pasakiet saņēmējiem, ko darīt, kad SPF vai DKIM neizdodas

DMARC papildina SPF un DKIM. Tas pasaka saņēmējiem serveriem, ko darīt ar ziņojumiem, kuriem autentifikācija neizdodas, un atsūta jums atskaites.

Saprātīgs sākotnējais ieraksts:

v=DMARC1; p=quarantine; rua=mailto:postmaster@yourdomain.com; aspf=r; adkim=r

Trīs lēmumi:

• Politika (p=): sāciet ar none, lai uzraudzītu, pārejiet uz quarantine pēc divām nedēļām tīru atskaišu, escalējiet uz reject tikai tad, kad esat pārliecināti, ka visi likumīgie sūtītāji ir autentificēti. Lecot tieši uz reject, jūs bloķēsiet pat savus iekšējos e-pastus.
• Atskaites (rua=): norādiet pastkasti, ko patiešām pārbaudāt. Aggregate atskaites nāk XML formātā — neglīti lasīt jēlās, bet tādi servisi kā Postmark DMARC vai dmarcian to padara saprotamu.
• Saskaņa (aspf= un adkim=): r (relaxed) ir labi. Strict saskaņa rada neizdošanos, kad sūtāt caur apakšdomēniem vai trešo pušu servisiem ar saviem envelope sūtītājiem.

Kas specifiski aukstajam e-pastam

Tehniskā iestatīšana ir tāda pati kā jebkuram biznesa e-pastam. Atšķiras tikai apjoms un raksts. Trīs lietas, ko pievērst:

1. Nesūtiet no sava galvenā zīmola domēna. Izmantojiet īpašu kontaktēšanas domēnu (piemēram, yourbrand-mail.com), iesildiet to 4-6 nedēļas un sargājiet galvenā domēna reputāciju.
2. From galvenei jāatbilst autentificētajam domēnam. From: Mark <mark@outreach.afflab.lv>, kas saskaņots ar SPF/DKIM, iziet DMARC. From: Mark <mark@gmail.com> caur jūsu SMTP — ne.
3. Reverse DNS ir svarīgs. Jūsu sūtošajai IP jābūt PTR ierakstam, kas atbilst hostname EHLO sveicienā. Bez tā Gmail pazemina jūs neatkarīgi no SPF/DKIM.

Ko var izlaist

BIMI pagaidām nav nepieciešams. MTA-STS aukstajai kontaktēšanai nav vajadzīgs (tas ir aizsardzības, nevis uzbrukuma rīks). Un neapsēstieties ar perfektu 10/10 mail-tester.com rezultātu — viss virs 8 praksē ir kārtībā. Zaudētie punkti parasti ir par “.vip” TLD sodu vai trūkstošu PTR ierakstu uz koplietotām IP, ko tāpat nevarat salabot.

20 minūšu kontrollapa

1. Publicējiet SPF ar ~all, iekļaujiet tikai patiešām izmantotos servisus.
2. Ģenerējiet un publicējiet DKIM ar unikālu selektoru aukstajai kontaktēšanai.
3. Publicējiet DMARC ar p=none un strādājošu rua= pastkasti.
4. Pārbaudiet ar mxtoolbox.com vai mail-tester.com.
5. Pagaidiet 48 stundas, pārbaudiet DMARC atskaites par neparedzētiem fail.
6. Pārejiet DMARC uz p=quarantine.

Tā ir visa stāsta. Lielākā daļa “piegādes problēmu” ir neautentificēts e-pasts, nevis algoritmisks sods. Vispirms sakārtojiet autentifikāciju; viss pārējais ir lejas straumē.