SPF, DKIM, DMARC для cold email: что реально важно в 2026
Практический разбор настройки SPF, DKIM и DMARC для cold email. Что проверяют провайдеры, на чём горят новые домены и что можно пропустить.
Новый домен без SPF летит в спам с первого же дня. Gmail помечает. Outlook отправляет в карантин. Кампания, которую вы две недели готовили, не доходит ни до кого.
Этого можно избежать. SPF, DKIM и DMARC — три DNS-записи. Вместе они настраиваются за 20 минут и решают, попадёт ваш cold email в inbox или в папку junk. Вот что реально важно в 2026.
SPF: список тех, кому разрешено отправлять от вашего имени
SPF (Sender Policy Framework) — это TXT-запись на вашем домене со списком IP-адресов и сервисов, которым разрешено отправлять почту от вашего имени. Когда Gmail получает письмо якобы от вашего домена, он проверяет SPF. Если IP отправителя нет в записи — флаг.
Рабочая SPF для типичного cold email-сетапа выглядит так:
v=spf1 include:_spf.google.com include:sendgrid.net ip4:89.167.64.66 ~allТри вещи, которые легко запороть:
- Используйте
~all(soft fail), а не-all(hard fail) в начале. Hard fail технически строже, но если вы забыли один сервис — все письма режутся. Переход на-allимеет смысл через месяц чистой отправки. - Помните про лимит 10 DNS-запросов. Каждый
include:— одна. Стакнули много — SPF тихо ломается. mxtoolbox.com покажет счётчик. - Одна SPF-запись на домен. Несколько
v=spf1на одном домене ломают аутентификацию полностью. Сливайте в одну.
DKIM: подписывайте каждое письмо
DKIM (DomainKeys Identified Mail) добавляет криптографическую подпись к каждому исходящему письму. Сервер получателя берёт ваш публичный ключ из DNS, проверяет подпись и убеждается, что письмо не подменили в пути.
Настройка зависит от сервиса отправки. Для self-hosted Postfix с OpenDKIM — генерируете 2048-битный ключ и публикуете публичную часть как TXT-запись на selector._domainkey.yourdomain.com. Для Google Workspace — включаете DKIM в admin-настройках и вставляете их TXT.
Где обычно ошибаются: один и тот же DKIM-ключ для всех потоков отправки. Если вы шлёте транзакционные с одного сервиса, а cold outreach — с другого, дайте каждому свой селектор. Когда один поток словит даунгрейд по доставляемости, другой останется чистым.
DMARC: что делать, если SPF или DKIM не прошли
DMARC надстраивается над SPF и DKIM. Он говорит получающим серверам, что делать с письмами, у которых аутентификация не сошлась, и присылает вам отчёты.
Разумная стартовая запись:
v=DMARC1; p=quarantine; rua=mailto:postmaster@yourdomain.com; aspf=r; adkim=rТри решения:
- Policy (
p=): начинайте сnoneдля мониторинга, через две недели чистых отчётов переходите наquarantine. Наrejectидёте только когда уверены, что все легитимные отправители аутентифицированы. Прыжок сразу вrejectблокирует ваши же внутренние письма, пока вы ищете все слепые зоны. - Отчёты (
rua=): указывайте ящик, который вы реально читаете. Aggregate-отчёты приходят в XML — больно глазам, но Postmark DMARC или dmarcian делают их человекочитаемыми. - Alignment (
aspf=иadkim=):r(relaxed) нормально. Strict вызывает фейлы когда вы отправляете через сабдомены или сторонние сервисы со своим envelope sender’ом.
Что специфично для cold email
Техническая настройка такая же, как для любой бизнес-почты. Отличается только объём и паттерн. Три точки:
- Не шлите с основного бренд-домена. Заведите отдельный outreach-домен (например,
yourbrand-mail.com), прогревайте 4-6 недель, берегите репутацию основного. - From должен совпадать с аутентифицированным доменом.
From: Mark <mark@outreach.afflab.lv>, выровненный с SPF/DKIM, проходит DMARC.From: Mark <mark@gmail.com>через свой SMTP — нет. - Reverse DNS имеет значение. У IP отправителя должна быть PTR-запись, совпадающая с hostname в EHLO. Без этого Gmail режет вас независимо от SPF/DKIM.
Что можно пропустить
BIMI пока не обязателен. MTA-STS для cold outreach не нужен (он защитный, не наступательный). И не упирайтесь в идеальную 10/10 на mail-tester.com — всё выше 8 на практике норм. Очки обычно теряются на штрафе за TLD “.vip” или отсутствии PTR на shared IP, которые вы всё равно не почините.
Чек-лист на 20 минут
- Опубликовать SPF с
~all, включить только реально используемые сервисы. - Сгенерировать и опубликовать DKIM с уникальным селектором для cold outreach.
- Опубликовать DMARC с
p=noneи рабочимrua=. - Проверить через mxtoolbox.com или mail-tester.com.
- Подождать 48 часов, посмотреть DMARC-отчёты на неожиданные фейлы.
- Перевести DMARC в
p=quarantine.
Это вся история. Большинство “проблем с доставляемостью” — это неаутентифицированная почта, а не алгоритмическое наказание. Сначала аутентификация, всё остальное вторично.
Похожие статьи
Лучшие email verification тулы в 2026: tested picks
Какие email verification тулы реально ловят invalid-адреса в 2026, какие accuracy benchmarks имеют значение и как интегрировать в prospecting workflow.
Лучшие email warm-up тулы в 2026: что реально работает
Какие email warm-up тулы реально доставляют в 2026 — категории, имеющие значение, что тестировать до покупки и warm-up scams, которых стоит избегать.
Сколько cold email можно отправлять в день в 2026
Реалистичные cold email sending limits в 2026 по типу sender, состоянию инфраструктуры и warm-up progress, плюс как scale safely без burning репутации.
Custom tracking domain в 2026: зачем и как настроить
Практический гайд 2026 по настройке custom tracking domain — почему shared tracking domains вредят доставляемости, как настроить CNAME и архитектура.