Как настроить email-аутентификацию: прописать DKIM, DMARC, SPF и MX

Email-аутентификация — процедура проверки подлинности отправителя. Интернет-провайдеры и почтовые службы анализируют письма, чтобы удостовериться: письмо пришло от проверенного и добросовестного отправителя, а не от мошенника или спамера.

Рассказываем, как завести корпоративный домен и настроить email-аутентификацию.

Зачем нужна email-аутентификация

Настройка аутентификации дает несколько преимуществ:

1. Гарантию доставляемости писем.
2. Возможность использовать продвинутые сервисы статистики рассылок, например, Postmaster Mail.ru.
3. Повышает вашу репутацию отправителя у почтовых серверов.
4. Защищает ваши письма от подделки (злоумышленники не смогут отправлять письма от вашего имени).

Из чего состоит email-аутентификация

Чтобы настроить аутентификацию, нужно зайти на сайт провайдера (того, у кого вы покупали домен, с которого отправляете почту, и кто управляет его DNS-зоной). В настройках DNS нужно внести несколько TXT-записей:

1. DKIM.
2. DMARC.
3. SPF.

Теперь подробнее.

Запись DKIM

DKIM расшифровывается как DomainKeys Identified Mail и означает «идентифицированная почта». Эта запись используется для аутентификации отправляемого письма и является стандартом. Она защищает от хакерских отправок писем от вашего лица.

DKIM предоставляет электронным письмам заголовок аналога цифровой подписи, который добавляется к электронному письму и защищается шифрованием. Эта запись действует как защищенная от несанкционированного доступа печать для электронного письма. Она проверяет, что письмо действительно пришло из заявленного домена и что оно не было подделано. Специальные подписи передаются вместе с электронными письмами и по пути проверяются почтовыми серверами, которые доставляют электронные письма к конечному пункту назначения.

Технология DKIM включает в себя несколько методов борьбы со спамом и кражей персональных данных: логинов, паролей, кодов доступа.

Задача DKIM — указать серверу, что делать с письмом, если записи DMARC и SPF окажутся некорректны. В письме есть зашифрованные данные о том, кем и когда было отправлено письмо. Почтовый провайдер, например, Gmail или Mail.ru, получает эти данные вместе с письмом. Провайдер расшифровывает их с помощью публичного ключа, выложенного на домене, с которого отправлено письмо. Если данные совпадают — значит, это честный отправитель, письмо можно пропускать во «Входящие». Если нет — мошенник, письмо отправляется в «Спам».

Политика DMARC

DMARC (domain-based message authentication reporting and conformance) — это политика защиты пользователей от спама и фишинговых писем. 

DMARC защищает от злоумышленников, которые маскируют свои письма под сообщения известных компаний. Если пользователь следует инструкциям из таких писем, он теряет личные данные и нередко деньги. А известная компания получает существенный репутационный ущерб. 

Если же у компании настроен DMARC, то письмо якобы от ее имени либо вовсе не будет доставлено, либо будет помечено как подозрительное.

Запись SPF

SPF или Sender Policy Framework — тип аутентификации электронной почты. Это запись DNS TXT, опубликованная в настройках хостинг-провайдеров вашего домена, например, Reg.ru. Он определяет, какие почтовые серверы или приложения могут использоваться для отправки писем с вашего домена.

Некоторые сервисы вроде Битрикс24, Hubspot, Salesforce подключаются к домену и позволяют отправлять электронные письма из CRM. Другие, например, ESP вроде Unisender, работают как внешний инструмент. Но и тем. и другим нужна SPF.

Важно! На вашем домене должна быть SPF-запись для каждого сервиса, через который вы делаете отправки.

Как завести домен и настроить аутентификацию

Чтобы получить возможность делать email-рассылки, необходимо: 

• купить домен (сайт делать не обязательно, но он понадобится, чтобы законно собирать базу подписчиков рассылки) и привязать его к хостингу;
• завести корпоративную почту, с которой будут вестись рассылки;
• настроить аутентификацию.

Ниже разберём каждый пункт пошагово.

Покупаем домен

Купить домен просто. Нужно выбрать доменное имя, проверить, не занято ли оно, и оплатить.

Купить домены можно, например, на Beget.ru, Rucenter, Reg.ru.  Рассмотрим на примере последнего.

Выбираем asaraev.com.

После покупки ставим в настройках галочку «Использовать сервера регистратора».

Важно! С 1 сентября 2026 года при регистрации домена в русскоязычных зонах (.ru, .su, .рф) необходима идентификация через Госуслуги. Для этого нужен верифицированный аккаунт в государственном сервисе — домен будет «привязан» к нему.

Привязываем домен к хостингу

Любой домен («имя» сайта) нужно привязывать к хостингу («месту» размещения). Для этого надо настроить DNS. Вот несколько хостеров навскидку: Reg.ru, Fozzy, Timeweb, Ru-center.

Как выбрать хостинг

После покупки хостинга нужно узнать в службе поддержки хостера данные для настройки DNS и ввести их в панели управления доменом.

Если вы делаете сайт через платформу вроде Tilda, то хостинг покупать не надо — она предоставит его сама.

Заводим почту на домене

Корпоративную почту со своим доменом можно завести как через хостинг-провайдера (например, такая возможность есть у Reg.ru), так и в почтовом сервисе — для этого понадобится платный аккаунт. Процесс выглядит примерно так: вводим доменное имя, получаем DNS-запись, которую нужно добавить к сайту в кабинете провайдера, у которого зарегистрирован домен.

Подробнее процесс, функционал и стоимость основных российских сервисов мы разобрали в статье «Как завести корпоративную почту на своём домене».

Настраиваем аутентификацию

Заходим в панель управления на сайте регистратора домена и находим ресурсные записи DNS. В нашем случае путь выглядит так:

Личный кабинет → Мои домены → Управление зоной → Ресурсные записи домена (RRs).

Оказываемся в том же месте, где привязывали хостинг и домен.

Кроме указания SPF и DKIM, Mail.ru требует настройки MX-записи. Она указывает на сервер, который обрабатывает вашу почту.

В списке операций в панели управления доменом выбираем, какой тип записи добавить:

В нашем случае сервер — emx.mail.ru. Вы прописываете свой сервер. Информацию о сервере даёт почтовый провайдер.

Теперь идем за настройками в Unisender. Если нет аккаунта — создаем. 

Заходим в свой аккаунт, переходим в настройки аутентификации и вбиваем в поле ввода свой домен.

Во всплывающем окне вбиваем домен еще раз.

Появляется окно с информацией, какие записи нужно ввести в настройки DNS.

Верхняя запись — SPF. Нижняя — DKIM. Переходим в Панель управления доменом и вносим их как записи TXT.

Прописываем SPF. В списке операций выбираем «Добавить запись TXT».

Добавляем запись SPF1.

Иногда запись SPF1 уже содержится в настройках. Тогда нужно добавить в эту запись значение include:spf.unisender.com ~all  так, как показано на скриншоте.

Прописываем DKIM. Для этого выбираем опцию «Добавить запись TXT».

В итоге полностью ресурсные записи выглядят так:

Основные настройки аутентификации закончены.

Коротко о главном

Аутентификация писем важна для проверки подлинности отправителя и защиты от мошенников и спамеров.

Преимущества email-аутентификации: гарантия доставляемости писем, использование продвинутых сервисов статистики рассылок и повышение репутации отправителя у почтовых серверов.

Для настройки аутентификации нужно внести несколько TXT-записей в настройки DNS хостинг-провайдера:

• Запись DKIM используется для аутентификации отправляемых писем и защищает от хакерских пересылок. 

• DMARC защищает от злоумышленников, маскирующих свои письма под сообщения известных компаний.

• SPF определяет, какие почтовые серверы или приложения могут использоваться для отправки писем с домена.

• Помимо SPF и DKIM, Mail.ru также требует настройку MX-записи.

Если возникают вопросы или нет времени разбираться, можно обратиться в техподдержку Unisender для помощи в настройке аутентификации.