1. История появления протоколов
Появляется SPF (Sender Policy Framework)
TXT-запись, которая говорит почтовикам, какие серверы имеют право отправлять почту от имени домена.
Yahoo! и Cisco публикуют DKIM
DKIM (DomainKeys Identified Mail) — криптоподпись заголовков и тела письма.
15 крупных провайдеров вводят DMARC
DMARC (Domain-based Message Authentication, Reporting & Conformance) — «слой правил», который заставляет SPF и DKIM работать в связке и шлёт отчёты владельцу домена.
2. Как это работает на уровне письма
MTA принимает письмо
смотрит, разрешён ли IP в SPF-записи
Проверяет DKIM-подпись
публичный ключ в DNS ↔ закрытый ключ на MTA
Сверяет политику DMARC
если SPF и/или DKIM = pass и домены совпадают, письмо считается подлинным
Мини-шпаргалка DNS-записей
example.com. TXT "v=spf1 include:_spf.google.com ~all"
2025._domainkey.example.com. TXT (
"v=DKIM1; k=rsa; p=MIGfMA0GCSq..."
)
_dmarc.example.com. TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com"
3. Авторизация ≠ аутентификация
Аутентификация отвечает на вопрос «Кто ты?», а авторизация — «Что тебе можно делать?». В почтовом мире это часто путают, но разница критична для безопасности.
4. Почему без DMARC репутация домена падает
Если SPF и DKIM настроены, но DMARC отсутствует, почтовики не получают чётких инструкций, что делать с фейковыми письмами.
Решение DMARC
DMARC позволяет сказать: «Если подделка — отклонить или отправить в карантин», а также присылает отчёты rua/ruf, где видно, кто именно пытался спуфить ваш домен.
5. Полезные инструменты
Проверить записи
dig / nslookup, MxToolbox
Сгенерировать DKIM
dkimcore.org, Postmaster Mail.ru Wizard
Смотреть отчёты DMARC
dmarcian, Postmaster Mail.ru CSV-экспорт
6. Автоматизация мониторинга — бот Postmaster
Вы отдыхаете — бот работает.
Postmaster-бот подключается к API Mail.ru и каждые N минут вытягивает метрики. Бот присылает сводки прямо в Telegram, а при превышении порогов — мгновенный алерт.
Настройка занимает 2 минуты, сервис бесплатный для подписчиков @crmlove.
