Настройки Яндекс-почты, SPF, DKIM, DMARC для своего домена

Содержание

Почта

DMARC — TXT-запись в зоне DNS домена, определяющая политику обработки исходящих писем. Она необходима для защиты репутации доменного имени: адрес отправителя часто подделывается и используется для спама и фишинга. Например, клиенты вашего интернет-магазина получат письма с предложением купить товары по акции, а ссылки на них будут фальшивыми: при переходе откроется мошеннический сайт.

Почтовые сервисы защищают пользователей от таких писем, проверяя записи SPF и DKIM доменов-отправителей. В DMARC указывается, как действовать серверу, когда сообщение не проходит проверку.

Если ваши письма попадают в спам или не доходят до получателя, укажите в зоне DNS домена (раздел «Управление сайтами» → «Настройка DNS» в Панель управления) три записи: SPF, DKIM и DMARC.

Настройка SPF

SPF (Sender Policy Framework) — TXT-запись с перечнем серверов, которым разрешено отправлять почту с обратным адресом в домене.

SPF состоит из трех частей:

Версия протокола — spf1.

  • + — принимать сообщение. Этот параметр установлен по умолчанию;
  • — — отклонить сообщение;

— отправить в спам;

  • ? — требуется дополнительная проверка.
    • all — любой сервер;
    • ip4 — IP-адрес или подсеть адресов;
    • a — определенный домен;
    • mx — все серверы, указанные в MX-записях домена;
    • include — получить данные с другого адреса.
    • redirect — проверить SPF-запись указанного домена вместо используемого

    Пример

    domain.com. TXT «v=spf1 a mx ip4:141.8.194.175

    all» Принимать сообщения:

    • c основного домена (a);
    • домена из MX-записи (mx);
    • IP-адреса 141.8.194.175 (ip4:141.8.194.175).

    C других серверов (all) — перемещать в папку спам.

    Если домен делегирован на наши NS-серверы, SPF настроена по умолчанию.

    Настройка DKIM

    DKIM (DomainKeys Identified Mail) — технология подтверждения почтового домена, с помощью добавления зашифрованной подписи в заголовки исходящих писем. Ключ для расшифровки указывается в TXT-записи доменного имени.

    Запись имеет вид: mail._domainkey.domain.com. TXT «k=rsa\; t=s\; p=. » где:

    • mail._domainkey — имя записи типа DKIM;
    • k, t, p — параметры ключа.

    Включите DKIM-подпись в Панели управления, блок «Электронная почта» раздела «Управление сайтами».

    Если почта обслуживается внешним сервисом:

    • запросите публичный ключ у провайдера;
    • перейдите в раздел «Управление сайтами» → ваш сайт → «Настройка DNS» Панели управления;
    • добавьте запись DKIM, указав полученный ключ после «p=».

    Настройка DMARC

    После настройки SPF и DKIM укажите политику их обработки: добавьте запись DMARC.

    Она выглядит так:
    _dmarc.domain.com. TXT «v=; p=; . »

    Тег Описание Значение
    v Версия протокола DMARC1
    p Правила для домена none — бездействовать;
    quarantine — поместить в спам;
    reject — отклонить.
    aspf Режим проверки соответствия SPF-записей r (relaxed) — разрешить частичные совпадения;
    s (strict) — разрешить только полные совпадения.
    pct Сообщения, подлежащие фильтрации (в %) Процент сообщений, для которых применяется политика. По умолчанию 100%.
    sp Правила для поддоменов none — бездействовать;
    quarantine — поместить в спам;
    reject — отклонить.

    Обязательно укажите атрибуты, выделенные цветом.

    Примеры

    «v=DMARC1; p=quarantine; sp=quarantine; aspf=r;» Все сообщения с ящика в домене или поддомене, не прошедшие проверку записи SPF, помещать в спам.

    «v=DMARC1; p=reject; sp=quarantine; ptc=50;» Отклонять 50% сообщений, не прошедших проверку.

    DMARC для защиты корпоративной почты

    DMARC – Domain-based Message Authentication, Reporting and Conformance (аутентификация сообщений, предоставление отчётов и проверка соответствия на базе доменного имени). Это относительно новая технология (утверждена в качестве RFC 7489 в марте 2015 года), призванная уменьшить количество подделок сообщений электронной почты, снизить количество фишинговых писем и способствовать борьбе со спамом.

    Как настроить DMARC?

    DMARC работает как надстройка над уже существующими технологиями SPF и DKIM. Это означает, что перед внедрением DMARC для почтового домена уже должны существовать корректные SPF и DKIM-записи, а на почтовом сервере должно производиться подписание исходящих сообщений доменными ключами. Без этой базы DMARC работать не будет, поэтому:

    Шаг 1. SPF – настройка Sender Policy Framework

    Наилучшей практикой для большинства почтовых доменов будет следующая SPF-политика:

    где v=spf1 – зарезервированное имя механизма авторизации, a и mx разрешают приём почты с A- и MX-записей, описанных в доменной зоне отправителя, а политика по умолчанию -all требует безоговорочно отклонять приём сообщений со всех других адресов. За информацией о более детальной настройки SPF следует обратиться к отдельной статье по этому вопросу «SPF — применение в почтовых серверах и массовых рассылках».

    Шаг 2. DKIM – настройка Domain Keys Identified Mail

    Настройка DKIM несколько более сложная, чем SPF, так как подразумевает внесение уникальных изменений в каждое отправляемое сообщение. Значит, без настроек самого почтового сервера или установки дополнительного ПО не обойтись. В Linux это может быть, например, пакет OpenDKIM, который будучи установленным в режиме milter (mail filter) осуществляет подписание всех исходящих через него сообщений доменными ключами.

    После настройки ПО необходимо опубликовать открытую часть ключа DKIM (public key) в DNS-зоне защищаемого домена. Запись должна иметь тип TXT и может выглядеть подобным образом:

    dkimselector._domainkey IN TXT «v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX6lXGcAh7J5DfH9fBmHMAMiMaWN3GPD6+t7IaDACNcd4NDYYwi3VTXQxtqbPlB68ZnH7BLHefST+uiXZB RJffSJjqMlpylGGJ5wmTrgAg2LJ5iohd21LfwOQsDoAuwx295JzyZi89Cfa7zs/vnoWUdd8wEEHOEteSeUE/ejHuqQIDAQAB»

    _adsp._domainkey IN TXT «dkim=discardable»

    Шаг 3. Собственно настройка DMARC

    Настройка DMARC весьма несложная и подобна указанию записи SPF. В DNS-зону защищаемого домена вносится дополнительная TXT-запись предопределённого наименования _dmarc Например, для домена корпоративной почты example.com DMARC-запись должна называться _dmarc.example.com Содержимое этой записи регламентируется следующими операторами:

    Оператор Описание Пример Обязательный Принимаемые значения Значение по умолчанию
    v Версия протокола v=DMARC1 Да Пока может быть только DMARC1 . Других значений в настоящее время не определено, зарезервировано для будущих версий протокола. Не применимо — обязательный оператор.
    p Политика домена p=reject Да none — не предпринимать действий, может использоваться для получения отчётов;
    quarantine — направлять не прошедшие проверку сообщения в карантин (или в папку «Спам»);
    reject — отклонять сообщения;
    Не применимо — обязательный оператор.
    adkim Режим проверки соответствия DKIM-подписей adkim=s Нет r (relaxed) — разрешены частичные совпадения, например для поддоменов основного домена;
    s (strict) — только точные совпадения разрешены;
    r
    aspf Режим проверки SPF aspf=s Нет r (relaxed) — разрешены частичные совпадения, например для поддоменов основного домена;
    s (strict) — только точные совпадения разрешены;
    r
    pct Процент сообщений, к которым в случае не прохождения проверки будет применяться политика pct=50 Нет Оператор может использоваться для постепенного развёртывания политики DMARC. Например, сначала указывается pct=1 для того чтобы убедиться, что все легитимные сообщения достигают получателей, далее увеличивается до 100. 100
    sp Политика для поддоменов sp=reject Нет none — не предпринимать действий, может использоваться для получения отчётов;
    quarantine — направлять не прошедшие проверку сообщения в карантин (или в папку «Спам»);
    reject — отклонять сообщения;
    Значение по умолчанию отсутствует.
    fo Настройка условий, при которых сообщения, не прошедшие проверку, будут попадать в отчёты fo=1 Нет 0 — записывать попытку в отчёт, если не прошла ни SPF, ни DKIM проверка;
    1 — записывать попытку в отчёт, если не прошла либо SPF, либо DKIM проверка;
    d — записывать попытку в отчёт, если не прошла DKIM проверка;
    s — записывать попытку в отчёт, если не прошла SPF проверка;
    rua Email для получения агрегированных отчётов rua=mailto:root@example.com Нет Адрес(а) электронной почты, на который почтовые серверы с поддержкой DMARC будут отправлять XML-отчёты. Пример DMARC-отчёта. Значение по умолчанию отсутствует.
    ruf Email для получения детализированных отчётов ruf=mailto:root@example.com Нет Адрес(а) электронной почты, на который почтовые серверы с поддержкой DMARC будут отчёты с детальной информацией по сообщениям, не прошедшим DKIM/SPF-проверки. Значение по умолчанию отсутствует.
    rf Формат отправляемого администратору агрегированного XML-отчёта. rf=iodef Нет Принимаемые значения afrf (Authentication Failure Reporting Format) и iodef (Incident Object Description Format). afrf
    ri Частота получения агрегированных отчётов в XML ri=604800 Нет Интервал получения отчётов указывается в секундах, 86400 — для суток, 604800 — для недели и т.д. 86400 (сутки)

    Для большинства почтовых доменов с правильно настроенными и корректно функционирующими SPF и DKIM наилучшим вариантом настройки DMARC будет:

    так как только такая настройка может гарантировать отклонение поддельных писем от имени защищаемого домена на почтовых серверах, проверяющих DMARC.

    Серверы корпоративной почты Tendence.ru производят проверку политики DMARC наряду с SPF и DKIM и отклоняют не прошедшие проверку сообщения согласно указанными отправителями значениям. Благодаря этому пользователи почтового хостинга защищены от спама, фишинга и подделки сообщений с доменов, опубликовавших запись DMARC.

    Критика DMARC

    Технология DMARC, являясь по сути лишь надстройкой над SPF и DKIM, не привнесла практически ничего нового в процесс идентификации отправителя сообщения. Для определения спам/не спам используются те же старые добрые технологии. То есть вполне достаточно было бы просто применять (внедрять в доменные зоны с одной стороны и проверять на принимающих почтовых серверах, с другой) в полном объёме имеющийся у них потенциал.

    Например, в политике SPF присутствует оператор all , задав которому значение «-» можно запретить приём всех сообщений в неавторизованных IP-адресов/доменных имён. Аналог в DMARC – p=reject;

    А в стандарте DKIM (вернее в его подстандарте ADSP RFC 5617) описан Author Domain Signing Practices, который в случае значения dkim=discardable предписывает отклонять неподписанные/подписанные неверно сообщения. Нынешний аналог в DMARC опять же p=reject;

    Если бы все отправители опубликовали у себя эти политики, а все почтовые серверы при получении проверяли бы эти записи, то во внедрении нового стандарта DMARC не возникло бы особой необходимости. К сожалению, многолетняя практика использования SPF и DKIM показывает, что отправители неохотно публикуют запретительные политики (если публикуют их вообще), а серверы-получатели зачастую игнорируют при приёме почты даже явные запреты. Так, например, почтовый сервер mail.ru не учитывает значение политики ADSP при проверке подписи DKIM, что делает возможным отправку на почтовые ящики этого сервиса фишинговых сообщений даже от имени доменов с политикой dkim=discardable . Это, конечно же, является игнорированием RFC со стороны mail.ru (т.н. rfc ignorant).

    Остаётся лишь надеяться, что подобная участь не постигнет DMARC и эта технология будет широко внедрена и повсеместно станет применяться согласно стандартам RFC.

    Единственной по-настоящему полезной новинкой DMARC может быть средство обратной связи, реализуемое через отправку агрегированных отчётов. Это действительно интересная возможность по контролю за попытками фишинга и/или рассылкой спама от имени легитимного отправителя.

    Пример отчёта DMARC

    Название сервиса
    Email-адрес отправителя
    Контактная информация — сайт, телефон
    4037169972434315646

    1470518900
    1470416399

    Как настроить DKIM и DMARC для почты REG.RU?

    DKIM (DomainKeys Identified Mail) — метод почтовой идентификации. Цифровая подпись DKIM для почтового домена позволяет снизить шанс попадания письма в спам и защититься от фишинговых рассылок.

    Настройка DKIM

    Чтобы настроить DKIM-подпись, откройте панель управления хостингом. В зависимости от используемой панели (ISPmanager, Plesk или cPanel) следуйте дальнейшей инструкции.

    Перейдите в раздел «Почта» — Почтовые домены, кликните по имени домена, для которого хотите настроить DKIM , и нажмите Изменить:

    В открывшемся окне поставьте галочку в графе «Включить DKIM для домена». Нажмите кнопку Ок, чтобы подтвердить изменения:

    Настройка DKIM для отдельного домена

    Нажмите Настройка почты в блоке домена, для которого вы хотите подключить DKIM:

    Поставьте галочку перед пунктом «Использовать систему защиты от спама DKIM для подписи исходящих сообщений» и нажмите Применить:

    Готово! Все письма, отправленные с выбранного домена, будут содержать DKIM-подпись.

    Настройка DKIM для нескольких доменов

    На всех выбранных доменах будет одинаково настроена почтовая служба.

    В разделе «Почта» откройте вкладку Настройка почты. Затем поставьте галочки перед теми доменами, для которых хотите подключить DKIM, и нажмите Включить/отключить службы:

    В строке «Система защиты от спама DKIM для подписи исходящих сообщений» выберите пункт «Включить» и нажмите OK:

    В блоке «Электронная почта» нажмите Проверка подлинности:

    На открывшейся странице найдите блок «DKIM» и нажмите Включить:

    Готово! Все письма, отправленные с выбранного домена (почтового домена), будут содержать DKIM-подпись.

    Настройка DMARC

    DMARC — технология, которая задаёт алгоритм действий с письмами, не содержащими DKIM-подписи, т.е. признанными поддельными. Они могут быть приняты, отправлены в папку «Спам» или отклонены.

    Чтобы установить DMARC-политику, нужно добавить TXT-запись с нужным алгоритмом. Нейтральная DMARC-политика задаётся следующей TXT-записью:

    Имя записи Тип записи TTL Значение записи
    _dmarc.domain.ru TXT 3600 v=DMARC1; p=none; aspf=r; sp=none

    где domain.ru — имя вашего почтового домена.

    Вы можете настроить DMARC-политику иначе, обратившись к статье Mail.ru.

    Чтобы настроить DMARC на хостинге REG.RU, откройте панель управления. В зависимости от используемой панели (ISPmanager, Plesk или cPanel) следуйте дальнейшей инструкции.

    Перейдите в раздел «Почта» — Почтовые домены, кликните по имени домена, для которого хотите настроить DMARC, и нажмите Изменить:

    В открывшемся окне поставьте галочку в графе «Включить DMARC для домена». Нажмите кнопку Оk, чтобы подтвердить изменения:

    Нажмите Настройки DNS в блоке домена, для которого вы хотите подключить DMARC:

    На открывшейся странице нажмите Добавить запись:

    • Тип записи: TXT
    • Имя домена: _dmarc
    • TXT-запись: v=DMARC1; p=none; aspf=r; sp=none

    Нажмите Обновить, чтобы изменения вступили в силу:

    В разделе «Домены» нажмите Zone Editor. Затем кликните по кнопке «Управлять» в строке домена, для которого хотите настроить DMARC. На открывшейся странице нажмите Добавить запись:

    • Имя: _dmarc.domain.ru (где вместо domain.ru имя вашего домена)
    • TTL: 3600
    • Тип: TXT
    • Запись: v=DMARC1; p=none; aspf=r; sp=none

    И нажмите Добавить запись:

    Готово! Для почтового домена настроена нейтральная DMARC-политика.

    Настройка spf и dkim для доменной почты

    Друзья, привет! Сегодня расскажу, как настроить цифровую подпись dkim и spf-запись для своей доменной почты.

    Это одна из мер, которая поможет улучшить доставляемость ваших рассылок, снизив вероятность попадания их в спам. По той же причине для коммуникации с подписной базой и отправки писем мы используем почту на своем домене. Как ее сделать – я рассказывала здесь.

    Также рекомендую ознакомиться с другими советами в статье «Как не попасть в спам, отправляя рассылки». Ну а мы вернемся к нашей теме.

    Не важно, на каких сервисах вы ведете рассылки – Смартреспондер, Джастклик, GetResponse и т.д. Эта информация актуальна для всех, кто массово отправляет письма подписчикам.

    Что такое dkim и spf?

    Цифровая подпись DKIM – привязывается к домену и служит удостоверением подлинности отправителя письма. Чтобы не повторяться приведу предельно понятное определение Яндекса:

    SPF-запись имеет похожее предназначение:

    Принцип настройки у них схожий, для этого нам понадобится доступ к редактированию dns-записей домена.

    Все настройки я показываю на примере доменной почты от Яндекса и действую по его инструкциям.

    Смотрите мой видеоурок:

    Так как домен и хостинг я приобретала отдельно друг от друга, то добавлять dkim и spf я буду на сайте, где регистрировала домен – 2domains.ru.

    Начнем с настройки SPF

    Добавим запись с такими параметрами:

    • Имя поддомена: @
    • Тип записи: TXT
    • Данные: v=spf1 redirect=_spf.yandex.net

    Примечание от Яндекса:

    Авторизовавшись в своем аккаунте на 2domains, я захожу в раздел «Мои домены», выбираю интересующий меня домен.

    И во всплывающем окне выбираю раздел «Управление зоной DNS».

    Здесь добавляю новую тхт-запись для этого домена по инструкции Яндекса:

    Теперь настрою DKIM. Для этого перейду к списку своих доменов, подключенных к Яндекс-почте, вот по этому адресу .

    Опять же, кликаю по интересующему меня домену и попадаю на такую страничку, где справа снизу вижу информацию «Цифровая подпись DKIM». Нажимаю на вкладку «Показать содержимое записи».

    И вот эти данные, по аналогии с SPF, мне нужно добавить в DNS домена. Вот так:

    Итак, все необходимые записи мы добавили, через сутки (может чуть больше) у нашего домена должна появиться цифровая подпись. О ее наличии свидетельствует вот такой значок:

    Теперь, когда у домена есть spf и dkim можно зарегистрироваться в postmaster mail.ru и postmaster tools от gmail для анализа эффективности своих рассылок. Но это уже другая история…

    Друзья, если у вас есть вопросы по теме статьи, буду рада помочь.

    Настройка SPF, DKIM, DMARC для домена Вашей корпоративной почты

    Об этом кворке

    Настрою для Вашего домена цифровые подписи DKIM, SPF, DMARc.

    DKIM (DomainKeys Identified Mail) — цифровая подпись Ваших писем, два ключа, публичный ключ в DNS и секретный в конфигурации почтового сервера. Необходим для проверки подлинности писем и защиты от подмены.

    SPF (Sender Policy Framework) — запись в DNS, указывающая, с каких серверов могут быть отправлены Ваши письма, и что делать с письмами, не перечисленными в записи.

    DMARc (Domain-based Message Authentication, Reporting and Conformance) — это техническая спецификация, созданная группой организаций для борьбы со спамерами.

    Все рекомендации на майле, яндексе, в сервисах рассылок учитывают лишь вариант, когда Ваши письма отправляются из одного источника. Если же к примеру, Ваши письма могут быть отправлены с майла, сайта и майлчимпа, Вы сильно рискуете попасть в спам.

    Доверьте настройку Вашего домена специалисту!

    Необходим домен и доступ к его dns-зоне (обычно у регистратора или на хостинге)

    Также необходимо понимать, из каких источников будут отправляться письма. Каждый новый источник должен быть прописан.

    Настраиваем SPF, DKIM и DMARC на сервере Hmailserver

    Цель данной статьи: настроить бесплатный почтовый сервер Hmailserver (Windows) так, чтобы письма отправляемые вашим сервером от имени вашего домена не попадали в СПАМ на других серверах, в том числе на MAIL.RU, YANDEX.RU и GMAIL.COM

    Исходные данные

    Имеется корпоративный домен вида domainname.tld и локальный почтовый сервер Hmailserver под Windows. С почтовых адресов домена ведется только деловая переписка, общее количество отправляемых писем не превышает 100 штук в сутки, массовые рассылки отсутствуют как класс.

    В последнее время все больше и больше получателей стали жаловаться, что отправляемые нами письма у них попадают в СПАМ. При этом у пользователей MAIL.RU попадание в СПАМ было 100% вне зависимости от содержимого письма.

    Официальное обращение в MAIL.RU

    Я написал письмо в поддержку MAIL.RU. В ответе мне сообщили, что причиной блокировки писем является массовый спам, который отправляется от имени моего домена.

    Ответ службы поддержки MAIL.RU

    Из рекомендаций полученных от MAIL.RU мне стало ясно, чтобы письма отсылаемые нашим сервером не попадали в СПАМ у получателей мне необходимо настроить SPF, DKIM и DMARC.

    Необходимые условия

    Для того, чтобы настроить SPF, DKIM и DMARC нам понадобиться доступ к NS серверам управляющими записями для вашего домена и доступ к Windows серверу на котором работает Hmailserver.

    Как настроить SPF

    Напомню, что SPF-запись указывает список серверов, которые имеют право отправлять письма от имени домена.

    Чтобы настроить SPF необходимо добавить TXT запись для вашего домена. Для большинства доменов подойдет следующая универсальная запись:

    Хост Тип Значение
    domainname.tld TXT v=spf1 +a +mx -all
    • domainname.tld — имя вашего домена;
    • v=spf1 — обязательный параметр;
    • +a — разрешать письма от серверов указанных в A-записи;
    • +mx — разрешать письма от серверов указанных в MX-записи;
    • -all — блокировать письма с остальных серверов.

    Опубликовав такую запись для своего домена вы даете четкие инструкции всем почтовым серверам в интернете как поступать с письмами с отправителями из вашего домена. Письма отправленные с серверов, IP адреса которых не указаны в записях A и MX, не являются легитимными и могут получателями трактоваться как SPAM письма.

    Как настроить DKIM

    DKIM-подпись позволяет получателю проверить, что письмо действительно было отправлено с заявленного домена. Для определения отправителя сообщения DKIM добавляет в него цифровую подпись, связанную с именем домена организации. Эта подпись автоматически проверяется на стороне получателя.

    При этом используются пары публичных (открытых) и частых (закрытых) ключей шифрования. Открытый ключ указывается в соответствующей TXT записи домена и используется получателями при декодировании подписи, а закрытый ключ используется на стороне почтового сервера для шифрования подписи.

    Таким образом, для настройки DKIM нужно сделать следующее:

    • Сгенерировать пару ключей;
    • Добавить открытый (публичный) ключ в TXT запись вашего домена;
    • Добавить закрытый (частный) ключ на почтовый сервер Hmailserver.

    Генерация пары ключей

    Самый простой способ сгенерировать пару необходимых нам ключей для DKIM — это воспользоваться сервисом https://port25.com/dkim-wizard/

    Поле DomainKey Selector позволяет привязать к одному домену несколько DKIM записей для разных нужд, например если у вас несколько почтовых серверов. У меня только один почтовый сервер и в роли селектора я выбрал просто «mail». Нажмите кнопку [CREATE KEYS] и вы получите пару ключей.

    Настройка DKIM в Hmailserver

    Приватный ключ необходимо сохранить на Windows сервер где установлен Hmailserver. Для имени файла ключа я использовал значение mail.domainname.tld.pem, а сам файл сохранил на сервере в папку C:\pmta.

    Далее в настройках домена в Hmailserver необходимо включить поддержку DKIM и указать путь к закрытому ключу.

    Не забывайте указать Selector, который вы назначили при генерации ключа.

    Настройка DKIM подписи домена

    Добавьте подобную TXT запись для вашего домена:

    Хост Тип Значение
    mail._domainkey.domainname.tld TXT v=DKIM1; k=rsa; t=s; p=MIIBIjANBg
    • domainname.tld — имя вашего домена;
    • mail в имени хоста — селектор выбранный при генерации ключей и указанный в настройках Hmailserver;
    • p=MIIBIjANBg — открытый ключ.

    Настройка политики DMARC

    DMARC — это политика действий с пришедшими письмами, у которых в поле From используется публикующий политику домен. DMARC позволяет не только указать, как поступать с такими письмами, но и собрать статистику от всех получателей, поддерживающих серверную часть DMARC.

    Опубликуйте DMARC-запись с необходимой политикой для домена

    Хост Тип Значение
    _dmarc.domainname.tld TXT v=DMARC1;p=reject
    • domainname.tld — имя вашего домена;
    • v=DMARC1 — обязательный параметр;
    • p=reject — политика DMARC.

    Проверка работы почтового сервера

    После внесения указанных изменений я оправил тестовое письмо:

    Как видите все три настройки произведены правильно.

    Благодарности

    При написании статьи были использованы следующие источники:

    Что такое SPF, DKIM и DMARC и почему вы обязательно должны их настроить

    Разобраться в технических записях и терминологии, когда ты обычный макетолог, не всегда легко. На всех курсах для email-маркетологов, говорят, что у каждого домена-отправителя должны быть прописаны SPF, DKIM и DMARC. Что без этого письма не будут доставляться или, в лучшем случае, попадут в СПАМ.

    Чтобы раз и навсегда разобраться с этими аббревиатурами и разложить вбитые насмерть аксиомы по полочкам, попросила нашего саппорт-ангела Артема написать доходчиво и понятно: как, зачем и почему у всех должны быть эти цифровые подписи.

    Итак, чтобы прописать необходимые записи, нам нужен доступ к DNS (Domain Name System). Обычно доступ к DNS в компании имеют системные администраторы или, на крайний случай, программисты. Для них вы должны написать ТЗ, по которому они смогут добавить записи в DNS.

    Что такое SPF?

    SPF (Sender Policy Framework) — это подпись, содержащая информацию о серверах, которые могут отправлять почту с вашего домена. Важно помнить, что SPF запись может быть только одна для одного домена. В рамках одной SPF может быть несколько записей (например, если письма отправляются с нескольких платформ для рассылок — маловероятно, но все же). Для поддоменов нужны свои записи.

    Допустим, почтальон принес письмо с доставкой до квартиры, но, как бдительный гражданин, вы для начала звоните на почтамт и спрашиваете, есть ли у них такой сотрудник и может ли он приносить письма. На почтамте сверяются со списком всех служащих и отвечают. Так вот SPF – это список таких вот «сотрудников», которым вы доверяете доставлять свои письма.

    Сама запись SPF создается с помощью нескольких правил. Синтаксис SPF:

    • «+» – пропустить. Используется, чтобы добавить адрес(а).
    • «?» – результат не определен. Примерно то же самое, что полное отсутствие записи.
    • «

    » – мягкий отказ. Что-то среднее между неопределенностью и отказом. Такие письма обычно принимаются, но скорее всего попадут в папку «Спам».

  • «–» – твердый отказ. Такие письма не будут приниматься вообще.
  • Наиболее используемые механизмы:

    • «a» – позволяет добавить (удалить) в список адреса из всех записей типа А для домена. Такая запись необходима, если письма отправляются напрямую с хостинга или сервера, привязанного к домену.
    • «mx» – позволяет добавить (удалить) в список адреса из всех записей типа MX для домена. Такая запись необходима, если письма отправляются с личных почтовых серверов, принадлежащих домену.
    • «include:example.com» – позволяет добавить (удалить) в список адреса, прописанные для другого домена.
    • «ip4» или «ip6» – такая запись позволит напрямую добавить (удалить) IP-адрес(а) сервера, имеющего разрешение отправлять письма. Число, соответственно, обозначает 4 или 6 версию протокола.
    • «all» – все случаи. Обычно используется после внесения всех положительных правил для отсечения остальных случаев.

    А также часто используемый модификатор:
    «redirect=example.com» – позволяет полностью перевести запрос на другой домен. Обычно такая запись имеет смысл, если письма принимаются и отправляются только внешним сервисом.

    Например, запись: «v=spf1 +a -mx ?include:example.com

    all» даст следующий результат:
    1) «+а» – добавить в список все ip-адреса из записей A на домене;
    2) «- mx» – исключить из списка все ip-адреса из записей MX на домене;
    3) «?include:example.com» – всем правилам, прописанным для домена «example.com», присвоить нейтральное отношение;
    4) «

    all» – всем остальным ip-адресам присвоить мягкий возврат (попадание в папку «спам»).

    Проверить SPF можно здесь .

    Что такое DKIM?

    DKIM (DomainKeysIdentifiedMail) — это цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки письма и незаметна для пользователя. DKIM хранит 2 ключа шифрования — открытый и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS записи в виде TXT файла.

    Проверка DKIM происходит автоматически на стороне получателя. Если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или помещено в спам, в зависимости от политики получателя.

    Если брать ту же аналогию c почтальоном, как и для SPF, то подписью DKIM будет удостоверение почтальона с печатью и идентификационным номером, которое можно проверить звонком на почтамт.

    Запись DKIM формируется проще, чем SPF. Вот 3 главные вещи, которые нужно указать:

    • «v» – версия протокола, всегда устанавливается как DKIM1.
    • «k» – тип ключа, всегда указывается как rsa.
    • «p» – сам открытый ключ.

    Пример записи домена mailigen.com:
    «v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDl3Ju9fsWggJqzUZfaEjMjYZiNBJOtC6tZ+

    Проверить DKIM можно здесь .

    Что такое DMARC?

    DMARC (Domain-based Message Authentication, Reportingand Conformance) —это политика, которая показывает как обходиться с письмами, не прошедшими проверок SPF и DKIM.

    Прибегая к аналогии с почтальоном – это решение, которое вы примете после всех проверок: пустить или не пустить.

    На самом деле в случае с DMARC есть три настройки, что делать с письмами, не прошедшими проверку: ничего, отправить в спам или вообще не принимать. Более того, каждый день можно получать отчеты на свой почтовый ящик.

    К сожалению, отчеты приходят в формате, плохо воспринимаемым людьми, но есть специальные инструменты для преобразования отчета в читаемый формат, например, этот.

    Проверить DMARC можно здесь .

    Надеюсь, что эта статья помогла вам разобраться в синтаксисе записей, и теперь вы с легкостью сможете написать ТЗ для системного администратора или программиста на внесение этих записей в DNS.

    P.S. Остались вопросы? Пишите на team@mailigen.ru

    Рекомендуемые статьи

    Если вы для отправки рассылок через Mailigen пользуетесь публичными доменами, например, Mail или Gmail, то…

    Email-маркетинг в B2B – это не акционные письма, яркие баннеры и подборка товаров каждую неделю.…

    Понравился кейс?

    Мы поможем его реализовать и у вас! Напишите нам

    Настройки Яндекс-почты, SPF, DKIM, DMARC для своего домена

    SPF-запись защищает от подделки вашего домена и позволяет предотвратить попадание в спам писем, отправленных с ваших адресов. SPF настраивается для адреса, используемого в envelope-from (SMTP конверте). Подробнее об SPF-записи вы можете прочитать здесь. Для того, чтобы узнать о распространённых заблуждениях относительно SPF и часто встречающихся ошибках при её настройке, прочтите нашу статью.

    Чтобы настроить SPF-запись:

    1. Перейдите на сайт провайдера, у которого находится DNS-зона управления вашим доменом;
    2. Введите логин и пароль для входа в «Панель управления»;
    3. Перейдите в раздел управления DNS-зонами необходимого домена;
    4. Добавьте новую ТХТ-запись. Пример такой записи:«v=spf1 ip4:165.165.165.0/24 ip4:136.136.136.0/20 a mx

    Некоторые провайдеры ставят кавычки для SPF-записи самостоятельно, поэтому вы можете уточнить необходимость кавычек у вашего хостинг-провайдера или поступить по аналогии с другими ТХТ-записями домена, если они присутствуют.

    Если вы не знаете, где находятся настройки SPF-записи у вашего провайдера, воспользуйтесь инструкциями для пользователей biz.mail.ru. Не забудьте заменить содержимое TXT-записи на актуальное для вас.

    Постмастер проверяет наличие SPF-записи раз в неделю.

    DKIM-подпись

    DKIM-подпись позволяет подтвердить, что адрес, указанный в поле «От кого», является реальным адресом отправителя письма, а также повышает «доставляемость» писем. Подробнее о DKIM вы можете прочитать здесь.

    Чтобы настроить DKIM-подпись:

    1. Сгенерируйте ключевую пару DKIM (приватный и публичный ключи).

    Генерация пары ключей с использованием OpenSSL

    Генерация пары ключей с использованием OpenDKIM

    Для генерации приватного ключа в командной строке введите: openssl genrsa -out privatekey.pem 1024, где «privatekey.pem» — файл приватного ключа, «1024» — длина ключа.

    Для генерации публичного ключа введите команду: openssl rsa -pubout -in privatekey.pem -out publickey.pem, где «publickey.pem» — файл публичного ключа

    Для генерации ключей используйте команду opendkim-genkey -d example.ru -s mail, где «example.ru» — ваш домен, «mail» — селектор.

    При этом в текущей директории будут созданы файлы mail.private с приватным ключом и mail.txt с готовым публичным ключом в формате DNS-записи.

    2. Поместите приватный ключ в файл в директории с ограниченным доступом на вашем отправляющем сервере. Обратите внимание, почтовый сервер должен иметь доступ к этому файлу.

    3. Включите поддержку DKIM в вашем почтовом сервере. В некоторых серверах поддержка встроена, в некоторых может быть реализована с помощью бесплатных программ.

    4. Перейдите на сайт провайдера, у которого находится DNS-зона управления вашим доменом.

    5. Введите логин и пароль для входа в «Панель управления».

    6. Перейдите в раздел управления DNS-зонами домена.

    7. Добавьте новую ТХТ-запись, указав в теге «p» сгенерированный публичный ключ. Помните, что время обновления записи может занимать до 48 часов. Пример TXT-записи:

    8. Некоторые регистраторы ставят кавычки для TXT (SPF и DKIM)-записи самостоятельно, поэтому для надежности впишите или скопируйте ее так, как представлено в инструкции — с кавычками.

    Корректность настройки подписи DKIM можно узнать по наличию подписи DKIM-Signature в заголовках письма, а также строчке dkim=pass в заголовке «Authentication-Results».

    Пример DKIM-подписи в заголовках письма:

    В DKIM-подписи параметр [d] должен совпадать с именем вашего домена, по которому вы хотите просматривать статистику в Постмастере Mail.ru.

    Если вы не знаете, как устанавливать подпись в письмо, обратитесь к своему системному администратору или в службу поддержки вашего хостинга.

    Без DKIM-подписи просматривать статистику в Постмастере невозможно.

    DMARC

    DMARC (Domain-based Message Authentication, Reporting and Conformance) — это техническая спецификация, созданная группой организаций для борьбы со спамерами, подделывающими адреса отправителей.

    Благодаря настройке DMARC владельцы доменов могут создавать правила обработки писем, которые поступили с доменов, не прошедших авторизацию. Воспользуйтесь нашей статьей для того, чтобы продумать все этапы настройки политики DMARC заранее.

    Подготовка к настройке DMARC

    Перед настройкой DMARC необходимо:

    Это связано с тем, что технология DMARC использует данные средства. Если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC. Если же сообщение успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC сообщение пройдет успешно.

    Настройка DMARC

    Чтобы настроить политику DMARC:

    1. Перейдите на сайт провайдера, у которого находится DNS-зона управления вашим доменом;
    2. Введите логин и пароль для входа в «Панель управления»;
    3. Перейдите в раздел управления DNS-зонами необходимого домена.
    4. Добавьте новую TXT-запись вида _dmarc.example.com (где вместо example.com должен быть ваш домен), соответствующую выбранной политике.

    Пример записи: «v=DMARC1;p=none;rua=mailto:rua@example.com;ruf=mailto:ruf@example.com;fo=s»

    Некоторые провайдеры ставят кавычки для TXT-записи самостоятельно. Вы можете уточнить необходимость кавычек у хостинг-провайдера или взять за образец другую ТХТ-запись домена, если она есть.

    В TXT-записи можно использовать следующие теги:

    Защищаем почтовый сервер без антивируса. Настройка DKIM-, SPF- и DMARC-записей

    Содержание статьи

    Немного теории о том, что мы будем настраивать

    Итак, прежде чем мы приступим непосредственно к изменению настроек безопасности нашего почтового сервера, нужно разобраться с тем, что именно мы собираемся настраивать. Если тебя не пугают страшные на вид аббревиатуры, состоящие из трех и более заглавных букв латинского алфавита, ты можешь пропустить этот раздел. Остальных приглашаю освежить свои знания, ибо повторение, как гласит народная мудрость, мать учения.

    WARNING

    Важно помнить, что, к сожалению, настройка DKIM-, SPF- и DMARC-записей не панацея от всех бед. Если почтовый сервер был взломан, эти функции безопасности не смогут защитить от нелегитимного трафика. Поэтому важно заранее продумать эшелонированную защиту системы, включая антиспам-фильтры, антивирусное детектирование и прочее.

    Что такое DKIM?

    DKIM (Domain Keys Identified Mail) — это, условно говоря, цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки сообщения и остается незаметной для самого пользователя. Поскольку в DKIM используется асимметричная система шифрования, репозиторий сервера всегда хранит два ключа шифрования — открытый (сертификат) и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS-записи в виде TXT-файла.

    Статус DKIM проверяется автоматически на стороне получателя при сохранении письма в контейнер (именной почтовый ящик). И если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или же сразу помещено в папку «Спам», в зависимости от настроенной политики безопасности. Кстати, это одна из ключевых причин, почему письма определенных отправителей постоянно попадают в спам, даже несмотря на валидность домена отправителя.

    Для работы с DKIM требуется выполнение следующих условий:

    • поддержка DKIM почтовым сервером (а она есть у всех современных почтовиков);
    • создание приватного и публичного ключа шифрования (это нужно сделать ручками);
    • занесение в DNS домена записей, связанных с DKIM (и это тоже ручками).

    Принцип работы DKIM

    Для интересующихся этой темой в нашем журнале публиковался краткий гайд «Как настроить почтовый сервер для обхода спам-фильтров: руководство по DNS, SPF, DKIM», который поможет тебе взглянуть на проблему рассылки спама, вредоносного ПО и фишинга глазами владельца почтового ботнета. ��

    Что такое SPF?

    SPF (Sender Policy Framework) — это еще одна специальная подпись, содержащая информацию о серверах, которые могут отправлять почту с твоего домена. То есть SPF позволяет владельцу домена указать в TXT-записи для DNS-домена специальным образом сформированную строку, содержащую весь список серверов, которые имеют право отправлять email-сообщения с обратными адресами в этом домене. А если сказать то же самое понятными словами, то в этой записи мы сообщаем, с каких почтовых серверов можно посылать письма от имени сотрудников нашей компании. Воу! Вот так просто! В общем, наличие SPF снижает вероятность, что твое письмо попадет в спам.

    Важно помнить, что SPF-запись должна быть только одна для одного домена, хотя уже в рамках одной SPF может содержаться несколько записей. И надо сказать, что для поддоменов будут нужны свои записи. И никак иначе! Безопасность требует времени и усердия. ��

    Принцип работы SPF

    Что такое DMARC?

    DMARC (Domain-based Message Authentication, Reporting and Conformance) — это еще одна подпись, которая позволяет серверу получателя принять решение, что делать с пришедшим письмом. Важно заметить, что DMARC — это скорее дополнительная фича к уже используемым DKIM и SPF. Например, если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC. Все логично. А вот если письмо успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC оно тоже преодолеет. Также при помощи DMARC можно получать репорты от почтовых систем с информацией, сколько через них пыталось пройти или прошло поддельных сообщений на ваш домен. Из сказанного становится понятно, что DMARC добавляется только после того, как уже настроены записи SPF и DKIM.

    Принцип работы DMARC

    От чего нельзя защититься с помощью DKIM, SPF и DMARC

    С использованием DKIM, SPF и DMARC можно противостоять email-спуфингу и распространению малвари. Однако важно понимать, что это не гарантирует безопасности в случае взлома сервера, например путем компрометации админки или применения эксплоита, а также если письма форвардятся через иные почтовые сервисы с сомнительной репутацией или с полностью отсутствующими записями DKIM, SPF и DMARC.

    Некоторые полезные ссылки для проверки корректности настройки DKIM- и SPF-записей, а также репутации домена:

    SPF Policy Tester — онлайн-сервис проверки корректности SPF-записи. Для проведения теста на сайте указываешь почтовый адрес, с которого хочешь отправлять письма, и IP-адрес почтового сервера. Если все хорошо, то после нескольких секунд ожидания внизу страницы должна появиться зеленая надпись PASS .

    Dkimvalidator.com — разработчики этого сервиса дают тебе адрес почты, на который нужно выслать письмо. После этого можно просмотреть отчет о валидности DKIM. Все просто!

    Mail-tester.com — еще один вариант аналогичного сервиса, где тебе предоставляется адрес почты для отправки тестового сообщения, а после этого можно посмотреть отчет о доставке. Если возникли проблемы, из представленного репорта можно понять, в чем именно заключаются косяки.

    Также не стоит забывать о регистрации своего сервера в службах постмастера для публичных почтовых серверов (если ты, конечно, администрируешь такой сервер). Это позволит тебе не только получать статистику по рассылкам, но и заработать чуть больше доверия от этого почтового сервиса. Вот самые известные и часто используемые постмастеры: Mail.RU, Yandex и Gmail.

    Практика и еще раз практика

    В практической части мы рассмотрим конфигурирование описанных выше настроек безопасности на примере двух наиболее популярных почтовых серверов — опенсорсного Postfix на Debian (ну, или Ubuntu Server) и проприетарного Microsoft Exchange Server 2013+. Предполагается, что почтовые серверы у тебя уже установлены и настроены под твой домен, поэтому рассматривать будем только само конфигурирование фич на обезличенных данных.

    Настраиваем SPF, DKIM и DMARC на Postfix (Debian)

    Общий принцип работы нашего почтового сервера будет таков:

    1. Принимающий сервер получает письмо с адреса info@example.com, отправленное с сервера mx.example.com.
    2. Сервер получателя делает запрос к DNS для домена example.com и ищет записи SPF и DKIM.
    3. В случае если записей нет, письму проставляется статус neutral (конкретно по этим проверкам) и письмо проверяется дополнительными фильтрами.
    4. В случае если записи обнаружены, проверяется, разрешено ли серверу mx.example.com отправлять почту домена example.com.
    5. Если домен mx.example.com не найден в списке разрешенных, то или письмо отбрасывается, или ему устанавливается статус neutral.
    6. Если домен mx.example.com таки найден в списке разрешенных, письму устанавливается статус Pass и повышается его рейтинг при прохождении других фильтров.

    WARNING

    Перед любыми операциями по конфигурированию системы не забывай сделать бэкап! Даже одна неправильно включенная опция может отрезать всех пользователей от получения и отправки почтовой корреспонденции. И обязательно тестируй все изменения перед переносом в их продакшен!

    Настройка SPF-записи

    Если ты отправляешь все сообщения только с одного сервера (почтовые клиенты не считаются), то в SPF-записи будет достаточно указать IP-адрес этого сервера:

    • v=spf1 — используемая версия SPF;
    • + — принимать корреспонденцию (Pass). Этот параметр установлен по умолчанию. То есть, если никаких параметров не установлено, это автоматически Pass ;
    • — — отклонить (Fail);

    — мягкое отклонение (SoftFail). Письмо будет принято, но будет помечено как спам;

  • ? — нейтральное отношение, то есть никаких действий не предпринимать;
  • mx — включает в себя все адреса серверов, указанные в MX-записях домена;
  • ip4 — опция позволяет указать конкретный IP-адрес или подсеть IP-адресов;
  • a — указываем поведение в случае получения письма от конкретного домена;
  • include — включает в себя хосты, разрешенные SPF-записью указанного домена;
  • all — все остальные серверы, не перечисленные в SPF-записи.
  • Продолжение доступно только участникам

    Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

    Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

    Вариант 2. Открой один материал

    Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

    Иван Пискунов

    Технический эксперт, ресерчер, участник CTF-команды CraZY Geek$, 10 лет в индустрии ИБ. Автор блога ipiskunov.blogspot.com. Канал в telegram @w2hack или t.me/w2hack. Увлекается миром Unix, malware analysis, reverse engineering и тестированием сетей на проникновение

    Check Also

    Корпоративный КоПИРАТ. О конфликтах между работодателями и сотрудниками по исключительным правам

    Программисты, меняя компанию-нанимателя, порой уносят с собой из старого офиса не только а…

    Подробно о почте для домена и настройке SPF/DKIM/DMARK/PTR

    В этой статье подробно рассматривается вопрос бесплатного подключения почты для домена, чтобы работали такие адреса как, например, info@mysite.com или support@mysite.com. При этом должны соблюдаться несколько важных условий:

    1. Использование почты должно быть бесплатно либо иметь какой-либо бесплатный тариф с ограничениями количества пользователей, дискового пространства и т.д.
    2. Отправляемая почта обязательно должна попадать в папку Входящие, а не Спам

    На первый взгляд задача достаточно простая, но если такие аббревиатуры, как SFP, DKIM и DMARC вам пока ничего не говорят, или ничего такого в DNS вы не настраивали, то вся ваша исходящая почта, скорее всего, залетает адресату сразу в папку Спам или вообще до него не доходит. Как сделать правильно разберемся ниже.

    Пока можно начать с необходимости подключения стороннего сервиса управления почтой для домена. На сегодняшний день хостинг-провайдеры часто предлагают такую услугу вместе с хостингом. Если же использовать VPS и какой-либо панелью, то управление почтой также зачастую поддерживается. Можно сказать, что штатного веб-интерфейса и возможностей вполне достаточно, а кто-то пользуется почтовой программой, как Mozilla Thunderbird. При этом интерфейс определяется программой, а почта отправляется через SMTP и принимается через POP или IMAP.

    Зачем подключать сторонний почтовый сервис?

    Однозначно ответить на этот вопрос сложно и решение каждый принимает самостоятельно, но мы попробуем перечислить некоторые преимущества такого подхода:

    • хранение почты, файлов вложений и т.д. происходит на стороннем сервере, в результате чего экономится пространство на хостинге
    • защита от спама
    • антивирусная защита
    • дружелюбный и удобный веб-интерфейс, но тут все на любителя
    • множество настроек и дополнительных сервисов

    Где бесплатно подключить почту для домена?

    Предположим, что мы все же решили подключить почту для домена и воспользоваться сторонними почтовыми серверами, но с бюджетом под эти нужды пока не сложилось. Это еще не тупик, некоторые компании предлагают бесплатные тарифы с рядом ограничений. Но для начала этого вполне достаточно. Итак, где же подключить бесплатную почту для домена? Немного изучив этот вопрос, мы остановились на двух вариантах:

    Первый вариант отлично подойдет жителям РФ. Здесь нам обещают 1000 бесплатных почтовых аккаунтов, 10 ГБ места для каждого из них на Яндекс Диске и другие плюшки. Ограничение на количество подключенных доменов точно не указано, но несколько десятков точно можно. Более чем достаточно для самых разных задач, а особенно для небольшого проекта, у которого 1-2 почтовых ящика. При этом никакой рекламы в письмах, но в интерфейсе реклама незначительно присутствует.

    Вариант с Zoho Mail более скромный. Нам предлагают бесплатно 25 почтовых аккаунтов (+ еще 25 по реферальной программе), 5 ГБ места и подключение только одного домена. Не много, но и не удивительно, как для западной компании такого уровня. Недостаток только с одним доменным именем легко преодолеть, регистрируясь отдельно для каждого сайта. В остальном также вполне подходит для небольших компаний, которые по той или иной причине не хотят или не могут воспользоваться услугами Яндекс почты для домена. Примером может служить блокировка сервисов Яндекса в Украине (Указ Президента Украины №133/2020 от 15 мая 2020 года).

    В дальнейшем будем рассматривать работу с настройками почты на примере этих двух сервисов.

    Как подключить почту для домена?

    Общая структура подключения почты для домена схожа для Яндекса и Zoho. Рассмотрим их вместе.

    Добавление домена

    В первую очередь нужно подключить домен, для которого мы хотим использовать почту. Конечно же, у нас должен быть доступ к настройкам домена у регистратора или в панели хостинга, в зависимости от того, где он регистрировался.

    В случае с Яндекс Почтой для домена авторизуемся на сайте yandex.ru и переходим на https://pdd.yandex.ru/domains_add/. Для Zoho Mail достаточно перейти по ссылке https://workplace.zoho.eu/biz/mailsignup.do?plan=free или нажать на кнопку регистрации для бесплатного тарифа на странице с тарифными планами.

    Для подтверждения владения доменом оба сервиса попросят нас выполнить определенные действия. Выбираем любой удобный способ подтверждения домена и выполняем указанные в инструкции действия. Чаще всего, используется создание CNAME записи в DNS вашего домена или создание специального файла на хостинге. Обратите внимание, что записи DNS не обновляются моментально, а к файлу можно обратиться сразу после загрузки на хостинг. Но управление DNS записями домена будет необходимо при дальнейшей настройке почты, так что убедиться, что у нас есть все возможности для управления ими будет не лишней.

    В результате мы должны успешно подтвердить право на владение доменом и перейти к созданию почтовых аккаунтов. Остановимся пока на одном, например, info@mysite.com.

    Настройка MX записей домена

    Как уже упоминалось выше, для настройки почты нам понадобится управление DNS записями для домена. В частности нам необходимо добавить несколько MX записей, которые отвечают за маршрутизацию электронной почты.

    Для Zoho Mail нужно добавить три MX записи:

    Имя Адрес Приоритет Тип
    @ mx.zoho.eu. 10 MX
    @ mx2.zoho.eu. 20 MX
    @ mx3.zoho.eu. 30 MX

    Для Яндекс почты достаточно создать одну MX запись с параметрами:

    Имя Адрес Приоритет Тип
    @ mx.yandex.net. 10 MX

    Если же у домена есть MX записи с другими параметрами роутинга почты, то их необходимо удалить.

    Обратите внимание, что доменное имя или адрес желательно указывать с точкой справа. Иногда это не обязательно или правая точка может устанавливаться автоматически при создании соответствующей DNS записи, но на это лучше не полагаться.

    Можем проверить правильность настройки MX записи для Zoho Mail нажав на MX Lookup в нижней части страницы. Если все правильно, то мы увидим следующее окно и можем переходить к следующему шагу.

    Для Яндекс почты успешная проверка MX закрывает сообщение о его проверке, после чего остается только форма добавления нового пользователя.

    Еще раз напомним, что у DNS есть кэш и для его обновления нужно время. Для проверки различных параметров домена и в том числе MX записей, можно воспользоваться удобным онлайн-сервисом https://mxtoolbox.com/SuperTool.aspx.

    Теперь вся входящая почта направляется не на сервер нашего хостинг провайдера или VPS, а на почтовые сервера Яндекса или Zoho. На этом Яндекс почта для домена заканчивает стандартную процедуру настройки, а Zoho Mail предлагает перейти к настройки SPF и DKIM, речь о которых пойдет ниже.

    Sender Policy Framework или SPF

    Используется для проверки того, не подделан ли домен отправителя. Будучи владельцем домена, можно указать в специальной TXT записи DNS для него список серверов, которые могут отправлять почту с обратными адресами в этом домене.

    Для настройки SPF необходимо добавить TXT запись в настройках DNS нужного домена со следующими параметрами:

    Имя Тип Значение
    @ TXT v=spf1 параметры_spf

    Для разных почтовых сервисов используются разные параметры SPF. Но есть и еще один фактор, который необходимо упомянуть.

    Если домен используется только для работы почты вида user@mysite.com, то можно воспользоваться инструкциями по настройки SPF Яндекса или Zoho Mail. Но чаще всего у нас есть сайт, расположенный на хостинге и привязанный к данному домену. И этот сайт часто использует внутренние возможности сервера для отправки различных email сообщений. Например, при регистрации пользователя на сайте, администратору может приходит уведомление о данном событии. Или забыв пароль, пользователь хочет воспользоваться формой его восстановления. При этом на email адрес пользователя, который указан в его профиле, отправляется письмо с новым паролем или ссылка, по которой его можно сбросить.

    В результате нам нужно указать в SPF записи не только сервер Яндекс или Zoho, с которого мы будем отправлять почту при использовании их веб-интерфейса, но и IP своего сервера. Мы же не хотим, чтобы при восстановлении пароля письмо попало в Спам или вообще было отклонено и не дошло до пользователя?

    В результате значение TXT записи чаще всего имеет следующий вид:

    v=spf1 ip4:123.123.123.123 include:_spf.yandex.ru

    v=spf1 ip4:123.123.123.123 include:zoho.eu

    для Яндекса и Zoho соответственно. Конечно же, вместо 123.123.123.123 нужно подставить адрес своего VPS сервера или сервера хостера, где расположен сайт. У владельцев виртуальных серверов не должно возникнуть никаких проблем с определением их IP-адресов. Для тех же, кто использует обычный хостинг, можно посоветовать воспользоваться любым Whois сервисом или обратиться в службу поддержки хостинга.

    Разберемся с параметрами чуть подробнее:

    • v=spf1 — указывает на версию SPF
    • ip4:123.123.123.123 — адрес сервера в формате IPv4, что позволяет принимать письма с этого адреса
    • include:zoho.eu — позволяет принимать письма, разрешенные SPF записями zoho.eu

    all — говорит о том, что для всех серверов не перечисленные в SPF записи (параметр «all») будет применено «мягкое» (SoftFail) отклонение (параметр «

    Приведем еще несколько примеров SPF записей домена. Например, мы можем указать адрес сервера с использованием IPv6.

    v=spf1 ip6:1080::8:800:68.0.3.1/96 include:zoho.eu

    Или несколько дополнительных доменных имен.

    v=spf1 include:domain1.com include:domain2.com include:zoho.eu

    Параметр +a позволяет принимать письма от узла, IP которого совпадает с адресом A записи для данного домена. +mx разрешает прием почты, если отправитель указан в одной из MX записей для нашего домена. Таким образом, можно настроить SPF и без указания IP сервера вручную. Например, так:

    v=spf1 +a include:_spf.yandex.ru

    при подключении Яндекс почты для домена

    v=spf1 +a include:zoho.eu

    Вообще SPF имеет достаточно разнообразный набор параметров, который подробно описан на http://www.openspf.org/SPF_Record_Syntax. Мы же остановимся на предложенном выше варианте SPF записи.

    Как проверить что SPF запись успешно добавлена и записана правильно? Для этого достаточно снова воспользоваться сервисом https://mxtoolbox.com/SuperTool.aspx. При успешном добавлении и обновлении SPF (дожидаемся обновления кэша DNS) мы увидим что-то похожее

    Теперь мы точно знаем, что запись есть и она заполнена корректно. Пока этого достаточно.

    DomainKeys Identified Mail или DKIM

    Эта технология позволяет проверить отправителя email сообщения не по IP адресу, а методом добавления к письму цифровой подписи. На сервере отправителя письмо подписывается закрытым ключом, а к домену добавляется специальная DNS запись типа TXT с открытым ключом, с помощью которой на стороне получателя выполняется автоматическая проверка подписи.

    Параметры DNS записи для настройки DKIM:

    Имя Тип Значение
    _domainkey TXT o=
    selectorname._domainkey TXT v=DKIM1; k=rsa; p=MIG………..AB

    Первая запись (DKIM Policy Record) определяет политику добавления электронной подписи для почты и объявляет о том, что для данного домена некоторые email сообщения используют электронную подпись по стандарту DKIM.

    Для параметра «o» значение «

    » говорит о том, что некоторые письма этого домена подписываются, а значение «-«, что все письма подписываются. Иногда в документации по настройке для разных почтовых сервисов или при автоматической генерации DNS записей также может присутствовать параметр «t=y» для тестирования. Нам он не нужен, оставляем только «o=

    Для второй записи вместо «selectorname» нужно подставить название ключа (идентификатор ключа, имя селектора). На этот счет поговорим ниже при разборе настройки для конкретных сервисов. В значении TXT записи главным параметром является «p=publickey», где вместо «publickey» нужно подставить публичный ключ для проверки цифровой подписи. А теперь как это выглядит для Яндекс почты и Zoho Mail.

    Настройка DKIM для Яндекс почты

    После авторизации под своим пользователем на Яндексе переходим на страницу https://pdd.yandex.ru и нажимаем на название нужного нам домена. Теперь смотрим в правую колонку и листаем страницу вниз. Нам нужен заголовок «Цифровая подпись DKIM». Ниже ищем ссылку «Показать содержимое записи», где и видим параметры DKIM.

    Копируем содержимое текстового поля и вставляем в значение TXT записи в настройках DNS нашего домена. Важно, что имя селектора обязательно должно быть «mail», а значит при создании записи в редакторе DNS имя (хост) должен быть только «mail._domainkey».

    В документации Яндекса по настройке DKIM https://yandex.ru/support/pdd/set-mail/dkim.html рекомендуется подождать, пока изменения DNS вступят в силу, что может занять до 72 часов. Но чаще всего, это занимает от нескольких часов до суток.

    А пока можем протестировать настройку DKIM этим инструментом. Вводим доменное имя и название селектора (в данном случае «mail»).

    Если тестирование прошло успешно, значит и Яндекс через некоторое время увидит настройку и добавит рядом с доменным именем иконку DKIM подписи.

    Настройка DKIM для Zoho Mail

    Входим в панель Zoho https://www.zoho.eu/mail/cpanel-login.html под созданным адресом (info@mysite.com) и переходим на страницу https://mailadmin.zoho.eu/cpanel/.

    В меню слева выбираем Mail Administration > Email Authentication > DKIM и видим добавленный недавно домен. Нажимаем на иконку редактирования.

    Видим пустой список тех самых селекторов. Нажимаем на ссылку создания Add Selector. Поскольку домен у нас один, в поле Domain он выбран автоматически. В поле Selector Name нужно ввести произвольное имя для нового селектора. Но мы бы не советовали называть селектор «mail». Почему? Обсудим ниже. Например, можно назвать его «zohodkim».

    После сохранения видим параметры TXT записи, которую нужно добавить в DNS домена.

    Копируем все из поля «TXT record value» и вставляем в значение TXT записи для домена. Здесь же есть кнопка проверки DKIM записи. Если запись добавлена правильно, то появляется сообщение о ее успешной проверке и кнопка более не показывается. Также можем убедиться, что с настройками все в порядке на вкладке Domains.

    Настройка DKIM подписи на собственном сервере

    Выше мы подробно осветили вопрос настройки DKIM для Яндекс почты для домена и Zoho Mail, но как мы уже упоминали, почта также отправляется и с сервера, на котором расположен наш сайт. А значит необходимо подписывать и эти сообщения цифровой подписью.

    Здесь есть два наиболее распространенных варианта: использование хостинга или собственного сервера. Если вы пользуетесь услугами хостинг-провайдера, то помочь с настройкой DKIM может только ее служба поддержки. Туда и стоит обращаться за параметрами TXT записи для настройки DKIM и наличием самой подписи у email сообщений.

    Настройку DKIM на собственном сервере рассмотрим на примере использования бесплатной панели Vesta Control Panel версии 0.9.8. В качестве почтового сервера в этом случае используется exim4. Для начала нужно зайти в панель под своим пользователем и перейти на вкладку «MAIL», после чего нажать на кнопку «Добавить домен».

    В форме вводим имя домена и обязательно устанавливаем флажок напротив опции DKIM.

    Также важно добавить пользователя, от имени которого будут отправляться email сообщения с сервера. В нашем случае это info@mysite.com. Если используется несколько почтовых адресов, то для каждого из них нужно добавить отдельную учетную запись. В противном случае сообщения не будут отправляться с сервера, а в логе exim4 появится ошибка.

    Для добавления почтовых аккаунтов сначала нажимаем на ссылку «Показать аккаунты» для нужного домена

    после чего нажать на ссылку «Добавить аккаунт».

    Заполняем форму и нажимаем на кнопку «Добавить».

    Теперь поддержка почты включена, а на вкладке DNS автоматически добавилось несколько записей. Переходим на нее и нажимаем на «Показать записи» для нашего домена.

    Здесь видим TXT запись с именем «mail._domainkey» в значении которой указан публичный ключ для проверки DKIM подписи. Это значит, что в качестве названия селектора автоматически был выбран «mail», а на сервере был сформирован приватный ключ в файле /home/username/conf/mail/domain/dkim.pem .

    Если мы подключали почту для домена Zoho Mail, то у нас разные селекторы для проверки DKIM подписей для Zoho Mail и собственного сервера. Помните выше, при настройке почты в панели Zoho, мы назвали селектор «zohodkim»? Отлично! Тогда осталось настроить DNS запись. В нашем случае управление DNS записями домена происходит в панели регистратора. Заходим в нее и добавляем запись с параметрами:

    Имя Тип Значение
    mail._domainkey TXT v=DKIM1; k=rsa; p=ключ_из_vesta

    Не сложно догадаться, что вместо «ключ_из_vesta» нужно подставить публичный ключ, который был сформирован в аналогичной DNS записи в панели.

    Заходим в ее редактирование, копируем все, что указано после «p=» и подставляем в аналогичный параметр.

    Если же пользуемся Яндекс почтой для домена, то у нас нет возможности указать имя селектора, который будет использоваться для проверки DKIM подписи. Яндекс автоматически выбирает имя селектора «mail», которое в нашем случае совпадает с именем селектора в Vesta. Выйти из ситуации можно двумя способами.

    1. Изменить имя селектора в настройках exim4
    2. Заменить приватный ключ, сформированный панелью Vesta на ключ, который используется Яндексом

    Здесь мы рассмотрим только второй вариант, поскольку считаем его более простым. Для тех же, кто желает разобраться с первым, можем посоветовать искать подсказки по настройке exim4, например, на форуме Vesta.

    Хотя Яндекс почта и не позволяет самостоятельно указать имя селектора DKIM записи, мы можем получить приватный ключ DKIM с помощью API Яндекс почты. Как следует из документации для этого нужно выполнить несколько шагов:

    1. Зайти по ссылке https://pddimp.yandex.ru/api2/admin/get_token, ввести капчу и название домена и получить токен для дальнейшей авторизации.
    2. Получить приватный ключ по ссылке https://pddimp.yandex.ru/api2/admin/dkim/status?domain=mysite.com&token=YOUR_TOKEN&secretkey=yes , куда нужно подставить свой домен и полученный в пункте 1 токен.

    После чего можно получить файл json.txt с приватным DKIM ключом для соответствующего домена. Поскольку содержимое файла находится в json формате, копируем все и пользуемся каким-либо онлайн сервис для разбора json. Например, http://jsoneditoronline.org. В поле dkim > secretkey находится нужный нам ключ. Копируем значение этого поля и сохраняем в отдельный файл. Все бы хорошо, но вместо переносов строк мы видим символы «\n». Преобразовать их достаточно просто. Например, можно заменить все вхождения «\n» на тег
    и открыть файл в браузере. Теперь копируем уже полностью подготовленный приватный ключ и сохраняем в файле dkim.pem. Если все сделано правильно, nо содержимое файла должно начинаться на

    ——BEGIN RSA PRIVATE KEY——

    ——END RSA PRIVATE KEY——

    Теперь у нас есть приватный ключ, которым Яндекс подписывает все письма, отправленные с его сервера. TXT запись c публичным ключом тоже добавлена в настройки DNS для домена. Осталось только подменить файл dkim.pem, чтобы на нашем сервере exim4 тоже подписывал email сообщения этим же приватным ключом.

    Для этого на нужен root доступ к серверу. Сгенерированный для нашего домена файл, который мы должны заменить лежит по пути

    «username» и «domain» соответственно нужно подставить свой. Вместо него ложим «dkim.pem» с ключом, полученным при помощи Яндекс API. Теперь письма, отправленные с Яндекса и с собственного VPS, будут подписаны одним приватным ключом, для проверки которого в любом случае будет использоваться одинаковый публичный ключ и имя селектора «mail». Так что проверка должна проходить успешно при любых вариантах отправки почты.

    Проверить валидность настроек DKIM можно разными инструментами. Приведем несколько примеров онлайн-сервисов для этого:

    Стоит также отметить, что существует RFC4870 с описанием стандарта DomainKeys. Стандарт и библиотека были разработаны Yahoo! для проверки подлинности email сообщений. С 2007 года эта библиотека не поддерживается. DKIM является приемником данного метода проверки и активно поддерживается современными почтовыми сервисами.

    Domain-based Message Authentication, Reporting and Conformance или DMARK

    DMARK (https://dmarc.org) — предназначен для борьбы с фишингом, установки политик фильтрации сообщений, которые не прошли аутентификацию и управления отчетностью. Настройку DMARK необходимо проводить после настройки SPF и DKIM, поскольку DMARK использует их для проверки email сообщений. Сам стандарт описан в RFC7489.

    Наиболее распространенный вариант DNS записи для настройки DMARK имеет следующие параметры

    Имя Тип Значение
    _dmarc TXT v=DMARC1; p=quarantine; adkim=r; aspf=r;

    Разберем параметры в поле значения TXT записи:

    • v (version) — обязательный параметр, в котором указывается версия протокола (DMARC1)
    • p (policy) — обязательный параметр с правилом обработки email сообщений для домена, которое может иметь одно из 3-х значений
      • none — не предпринимать действий, только регистрировать не прошедшие проверку сообщения
      • quarantine — помечать все не прошедшие проверку сообщения как спам
      • reject — отклонить email сообщения, которые не прошли проверку на уровне SMTP протокола
    • adkim (alignment mode for DKIM) — параметр указывает на режим аутентификации DKIM и может принимать значения:
      • r (relaxed) — «расслабленный» режим аутентификации, при котором должны совпадать организационные домены (Organizational Domain — RFC7489) полей «d=» в подписи и From (RFC5322) в email сообщении
      • s (strict) — строгий режим аутентификации, который подразумевает точное совпадение доменов FQDN для поля «d=» в подписи и From в email сообщении
    • aspf (alignment mode for SPF) — параметр указывает на режим аутентификации SPF и может принимать значения:
      • r (relaxed) — при этом методе аутентификации проверку пройдет email сообщения, для которых домен в поле From письма и SPF-аутентифицированный домен находятся в пределах одного организационного домена
      • s (strict) — для прохождения аутентификации требуется полное совпадение доменов в поле MailFrom (RFC5321) и From

    Приведем примеры еще несколько параметров, которые могут быть использованы для настройки DMARK:

    • pct (percentage) — указывает какой процент email сообщений будет подвергнут данной политике (по умолчанию pct=100). Например, при настройке «v=DMARC1; p=reject; pct=50;» будут отклонены 50% писем не прошедших аутентификацию.
    • sp (subdomain policy) — правила фильтрации для субдоменов. Может иметь те же значения, что и параметр «p» (policy).
    • rua (reporting URI for aggregate reports) — URI в формате mailto:report@example.com, на который один раз в сутки будут приходить отчеты в формате XML

    Тоже позволяет настроить политику добавления электронной подписи email сообщений для принимающего сервера. Сам стандарт RFC5617 помечен как Historic. Настройка не является обязательной, но все же часто встречается в различных инструкциях у разных почтовых сервисов.

    Для указания политики достаточно добавить DNS запись для домена со следующими полями

    Имя Тип Значение
    _adsp TXT dkim=all

    Здесь параметр dkim может принимать значения

    • all — все письма должны иметь электронную подпись по стандарту DKIM
    • discardable — все письма должны иметь электронную подпись по стандарту DKIM, а если таковой не оказалось, по какой-либо причине, то отправитель просит получателя отклонить такое сообщение
    • unknown — то же, что и отсутствие данной записи в DNS

    Эта запись также добавляется после настройки SPF и DKIM.

    Обратная DNS запись или PTR

    Благодаря этой записи можно получить доменное имя по IP адресу в процессе выполнения Reverse DNS lookup. Чаще всего вы не сможете настроить эту запись самостоятельно. Для этого нужно будет обратиться в поддержку хостинг-провайдера. Но в некоторых случаях (например, при покупке VPS) у вас может быть возможность указать PTR запись в панели управления сервером.

    В роли домена можно указать, например, «srv.mysite.com», где «mysite.com» является основным доменом для вашего сервера. При этом получение IP адреса по доменному имени происходит за счет наличия A записи. Значит для домена «srv.mysite.com» в DNS должна быть прописана A запись сопоставления с IP этого же сервера.

    В результате нам нужно, чтобы

    1. Домен «srv.mysite.com» указывал на IP сервера 123.123.123.123 (нужно подставить свой) за счет наличия A записи в DNS
    2. PTR запись для IP 123.123.123.123 (того же IP адреса) указывала на домен «srv.mysite.com»

    Настройка достаточно важная и при отрицательном результате проверки PTR записи принимающим почтовым сервером ваше сообщение может быть помечено как спам. Протестировать PTR запись также можно онлайн сервисом https://mxtoolbox.com/SuperTool.aspx.

    Reverse Lookup (PTR)

    Проверка настройки почты

    По мере настройки почты мы неоднократно упоминали различные онлайн-сервисы и другие способы, которые позволяют проверить правильность настройки. На этапе тестирования отдельных настроек, на наш взгляд, удобно пользоваться сервисом https://mxtoolbox.com/SuperTool.aspx. Он позволяет проверить целый ряд настроек DNS и убедиться в том, что записи успешно созданы и корректно заполнены.

    Отдельно нужно упомянуть о том, что принимающий почтовый сервер может пометить письмо как спам, если IP адрес отправителя находится в спам списках (Blacklist). Проверить домен или IP на попадание в такие списки можно упомянутым выше сервисом. Если же случилось так, что IP уже в спам листе, то это настройками не исправить. Конечно, попадание почты в спам не гарантируется, но это вполне вероятно. В этом случае можно посоветовать смену IP адреса или хостинг-провайдера.

    После того, как все настройки выполнены хотелось бы выполнить тестовую отправку email сообщения и точно увидеть, что все работает правильно. Для этого можно посоветовать онлайн-сервис https://www.port25.com/authentication-checker/. Для проверки почты достаточно отправить тестовое письмо на адрес check-auth@verifier.port25.com, в ответ на которое сервис отправит email с отчетом. Главная часть отчета выглядит так:

    Если у вас получился аналогичный результат, значит все отлично. Здесь мы видим, что SPF и DKIM успешно прошли проверку. Как мы уже упоминали выше, DomainKeys проверка не обязательна и полностью заменяется DKIM подписью. Ниже в отчете можно получить более детальную информацию про отдельные этапы проверки. Там же расшифровываются результаты проверки по отдельным параметрам (pass, neutral, fail и т.д.).

    Для того, чтобы сделать тестовую отправку email сообщения с собственного сервера можно, например, воспользоваться mail функцией php. Для этого достаточно создать файл mail-test.php с текстом:

    где вместо «info@mysite.com» нужно подставить свой адрес электронной почты. Далее нужно загрузить этот файл в корневую директорию сайта на хостинге и зайти по ссылке

    Если все сделано правильно, на странице браузера будет показано сообщение «Письмо отправлено!», а на указанную почту через несколько минут придет уже знакомый отчет. Результат отчета должен быть аналогичный, показанному выше, а в детальной информации можно увидеть другие IP и домены, соответствующие серверу хостинг-провайдера.

    Еще один сервис, которым можно проверить финальную настройку почты: https://www.mail-tester.com. На русском и с подробным отчетом по всем параметрам.

    Кроме этого можно отправить тестовое email сообщение на какой-либо собственный ящик gmail или Яндекс почты. Если письмо не попало во входящие, то можно посмотреть полную версию письма со всеми заголовками и т.д. и проверить статусы DKIM и SPF.

    Настройка субдомена mail.mysite.com

    На работу почты это не влияет, но если вы хотите попадать на страницу входа в почтовый аккаунт Яндекс почты для домена или Zoho Mail через свой субдомен, то настроить это очень просто. Достаточно добавить одну запись в DNS.

    Для Яндекс почты это

    Имя Тип Значение
    mail CNAME domain.mail.yandex.net.
    Имя Тип Значение
    mail CNAME business.zoho.eu.

    Заключение

    На первый взгляд, простая задача подключения почты для домена и ее правильной настройки вылилась в весьма объемную статью и может показаться, что это все очень сложно и затратно по времени. Но в действительности все не так уж печально. Первые несколько раз настройка может показаться долгой, но потом все занимает менее получаса. А полученный опыт и бесперебойно работающая почта покрывают все затраты усилий и времени.

    Последний совет: выполняйте настройки последовательно и не спеша. Контролируйте их правильность на каждом этапе. Помните, что DNS имеет кэш, для обновления которого может уйти до 72 часов.

    Удачной настройки почты и отличных результатов!

    Илон Маск рекомендует:  Что такое код getallheaders
    Понравилась статья? Поделиться с друзьями:
    Кодинг, CSS и SQL