SPF, DKIM и DMARC — Защо имейлите ви отиват в спам и как да го спрете
Изпращате важен имейл до клиент и той попада в спам. Или още по-лошо — никога не пристига. Звучи познато? През 2024 г. Google и Microsoft въведоха строги изисквания за email автентикация. Ако домейнът ви няма правилно конфигурирани SPF, DKIM и DMARC записи, имейлите ви ще бъдат блокирани. Тази статия ви обяснява всичко — и ви дава безплатните инструменти да го оправите сами.
Защо Google и Microsoft започнаха да режат имейлите?
През февруари 2024 г. Google обяви, че всеки, който изпраща повече от 5,000 имейла на ден към Gmail потребители, ТРЯБВА да има SPF, DKIM и DMARC. Microsoft последва с подобни изисквания за Outlook.com и Hotmail. От април 2025 г. тези правила важат за ВСИЧКИ изпращачи, не само за масови.
Причината е проста: над 3.4 милиарда фишинг имейла се изпращат всеки ден. Без email автентикация, всеки може да изпрати имейл, който изглежда като от вашия домейн.
Какво е SPF?
SPF (Sender Policy Framework) е DNS запис, който казва на света кои сървъри имат право да изпращат имейли от вашия домейн. Представете си го като списък с "одобрени изпращачи".
Пример: Вашата компания използва Microsoft 365 за имейл и Mailchimp за бюлетини. SPF записът казва: "Само Microsoft и Mailchimp сървърите могат да изпращат от нашия домейн. Всички други — отхвърли."
Ето как изглежда типичен SPF запис:
v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -allКакво означава всяка част:
- v=spf1 — версия на SPF (винаги е spf1)
- include:spf.protection.outlook.com — разрешава Microsoft 365 сървърите
- include:servers.mcsv.net — разрешава Mailchimp
- -all — отхвърля всички останали (строга политика)
Грешки, които виждаме:
- ~all вместо -all — "soft fail" е по-слаб, препоръчваме "-all" (hard fail)
- Твърде много include-и — SPF има лимит от 10 DNS lookups. Повече = запис, който не работи
- Липсващ SPF — без SPF, имейлите ви ще бъдат маркирани като подозрителни
👉 Проверете вашия SPF запис безплатно или генерирайте нов SPF запис с нашия инструмент.
Какво е DKIM?
DKIM (DomainKeys Identified Mail) добавя цифров подпис към всеки имейл, който изпращате. Получателят може да провери, че имейлът наистина идва от вас и не е бил променян по пътя.
Аналогия: Ако SPF е списъкът с одобрени куриери, DKIM е восъчният печат на писмото. Дори ако куриерът е одобрен (SPF pass), печатът доказва, че писмото не е отворено и променено.
DKIM работи с два ключа:
- Частен ключ — съхранява се на вашия mail сървър, подписва всеки изходящ имейл
- Публичен ключ — публикува се в DNS като TXT запис, получателят го използва за проверка
При Microsoft 365 DKIM се настройва автоматично за вашия onmicrosoft.com домейн, но за custom домейн трябва да го конфигурирате ръчно от Microsoft Defender портала.
👉 Проверете DKIM конфигурацията на вашия домейн
Какво е DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) е "шефът" на email автентикацията. DMARC казва на получаващия сървър какво да прави, когато имейл не премине SPF или DKIM проверката.
DMARC има три политики:
Не предприемай действие, но ми изпращай отчети. Перфектно за начало.
Постави подозрителните имейли в спам папката.
Напълно блокирай неавтентични имейли. Максимална защита.
Ето как изглежда DMARC запис:
v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com; adkim=r; aspf=rКритично: Не скачайте директно на p=reject! Започнете с p=none, анализирайте отчетите 2-4 седмици, после quarantine, и накрая reject.
👉 Проверете DMARC записа на вашия домейн или генерирайте нов DMARC запис
Как работят заедно?
Процесът при изпращане на имейл:
- Вашият mail сървър изпраща имейла с DKIM подпис
- Получаващият сървър проверява SPF — "Този сървър има ли право да изпраща от този домейн?"
- Проверява DKIM — "Подписът валиден ли е? Имейлът променян ли е?"
- Проверява DMARC — "Какво казва собственикът на домейна да направя, ако SPF или DKIM fail?"
- Ако всичко е ОК → Inbox. Ако не → Spam или Reject
Какво се случва без SPF, DKIM и DMARC?
- Имейлите ви отиват в спам — Google и Microsoft изрично изискват автентикация от 2024 г.
- Фишинг атаки от вашия домейн — всеки може да изпрати "от" вашия адрес без тези защити
- Загуба на репутация — клиентите получават фалшиви имейли "от вас"
- Blacklisting — вашият домейн попада в черни списъци
- Правни рискове — GDPR и NIS2 изискват подходящи мерки за защита
Стъпка по стъпка: Как да настроите всичко
Стъпка 1: Проверете текущото състояние
Използвайте нашия Full Security Scan — въведете вашия домейн и за 10 секунди ще видите какво имате и какво ви липсва.
Стъпка 2: Настройте SPF
Използвайте SPF Generator — изберете вашите email providers и генерирайте записа.
Стъпка 3: Включете DKIM
За Microsoft 365: влезте в Microsoft Defender портала → Email & collaboration → Policies → DKIM. Изберете вашия домейн, добавете CNAME записите и активирайте подписването.
Стъпка 4: Добавете DMARC
Използвайте DMARC Generator — започнете с p=none и добавете reporting email.
Стъпка 5: Мониторинг и затягане
След 2-4 седмици с p=none, анализирайте DMARC отчетите. Ако всичко е наред — преминете към quarantine, после reject.
Чести грешки
SPF има лимит от 10 DNS lookups. Всеки "include" е 1 lookup. Ако ги надвишите, SPF спира да работи напълно.
Може да имате САМО ЕДИН SPF TXT запис. Два записа = невалидна конфигурация.
Скачане директно на p=reject може да блокира легитимни имейли от third-party services.
Microsoft 365 подписва с DKIM за *.onmicrosoft.com по подразбиране, но НЕ за вашия custom домейн.
Нашите безплатни инструменти
Нямате време да го правите сами?
Нашата Email Defence услуга включва пълна конфигурация на SPF, DKIM, DMARC, BIMI и мониторинг. Или заявете безплатна консултация