Настраиваем аутентификацию почтового домена в ispmanager. Руководство для администраторов от email-маркетолога
Я Кристина, email-маркетолог в ispmanager. Одна из моих задач в компании — следить за доставляемостью писем. На доставляемость влияет немало факторов, но один из основных — правильная настройка аутентификации почтового домена. Неверная настройка грозит попаданием писем в спам, домена и IP — в чёрные списки и вовсе большим процентом отказов SMTP серверов получателей принимать письма. В этой статье я дам пошаговое руководство по настройке DNS-записей в ispmanager, поделюсь советами, как контролировать доставку писем и устранять распространённые проблемы. Статья подойдёт пользователям ispmanager и всем, кому интересно, как настроить аутентификацию домена.
Содержание
Настройка DNS-записей и аутентификация почтового домена
Мониторинг доставки писем и устранение неполадок
Настройка DNS-записей и аутентификация почтового домена
Чтобы письма успешно доставлялись клиентам, важно настроить четыре записи в DNS: SPF, DKIM, DMARC и rDNS. Эти записи гарантируют, что письма, поступающие с домена на сервер получателя, законные, а не спам или подделка.
Важно! Заранее убедитесь, что домен направлен на сервер панели у регистратора доменных имён. Иначе созданные записи не будут работать, и понадобится создавать или переносить их на нужные серверы имён.
Настройка SPF (Sender Policy Framework)
SPF (Sender Policy Framework) — DNS-запись, которая указывает, какие IP-адреса авторизованы для отправки электронных писем от имени вашего домена. В одной SPF-записи может быть указано несколько серверов и IP-адресов. Например, когда письма отправляются с вашего IP и из сервиса для рассылок, — как делаем мы в ispmanager.
Чтобы создать SPF-запись в ispmanager:
1. Войдите в ispmanager и перейдите в раздел Управление DNS.
2. Выберите домен → Управлять DNS записями.
Нажмите Создать запись и выберите тип TXT в качестве типа записи.
4. В поле «Имя» введите @, что означает корневой домен.
В поле «Значение» введите запись SPF в следующем формате: v=spf1 include:_spf.yourdomain.com ~all
TTL оставляем 3600 сек. — этот интервал рекомендует ставить Google. При необходимости его можно изменить. Подробнее о TTL читайте в документации Google Workspace.
Формат v=spf1 include:_spf.yourdomain.com ~all
не единственно верный вариант. В записи могут быть параметры ip4, ip6, a, mx, include, redirect, ptr, exists и exp
, ведь проверить SPF-запись можно в том числе по IP, A-записи, MX-записи и так далее. Я расскажу о тех, что содержатся в указанном примере.
Часть v=spf1
показывает, что запись относится к типу SPF версии 1. Сейчас поддерживается только spf1.
В части include
перечислены серверы, которым разрешено отправлять письма с домена.
Квалификатор ~all
указывает, что электронное письмо, не прошедшее проверку SPF, рассматривается как soft fail. Это означает, что возможно оно доставится, но будет помечено как подозрительное.
Настройка DKIM
DKIM (DomainKeys Identified Mail) — ещё один технический стандарт, который помогает выявлять поддельные адреса электронной почты, бороться со спамом, предотвращать спуфинг и кражу личных данных. DKIM добавляет цифровую подпись в заголовки писем. Почтовые серверы проверяют заголовки на предмет, не изменилось ли сообщение при передаче и отправлено ли оно из надёжного источника.
Чтобы настроить DKIM-запись:
1. В ispmanager в разделе Настройки → Конфигурация ПО.
2. Выберите Почтовый сервер (SMTP/POP3/IMAP) → Изменить.
3. Поставьте галочку напротив OpenDKIM.
Перейдите в раздел Почта → Почтовые домены.
5. У домена нажмите Изменить.
6. Поставьте галочку напротив Включить DKIM для домена, укажите DKIM-селектор и выберите желаемую длину DKIM-ключа.
Автоматически создастся DKIM-запись в следующем формате: v=DKIM1; k=rsa; p=публичный ключ
.
Часть v=DKIM1
показывает, что запись относится к типу DKIM версии 1.
В части k=rsa
, k — тип ключа. Значение у k всегда rsa.
В части p указывается публичный ключ, который генерируется с помощью OpenDKIM. Пример публичного ключа:
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDwZ5t5LK5S5ybh9Y+5p0dLFL+8ZvPmDm6HfnU6n/S+q3rU6lX9QatmJPOaWxQ8+I7MDe/A1zTupTJWJ/8gyl7+X9YJfxsE+yPrTlC1ksAFwzW8nnLLbZ/D9XHDKmsbVdIu8pF+BK7dUEzkpUz/u6Ux8RvAkKMZDTPbg6Qtk63QIDAQAB
Настройка DMARC
DMARC (Domain-based Message Authentication, Reporting & Conformance) — это DNS-запись, которая указывает, как почтовые провайдеры должны обрабатывать письма, не прошедшие проверку SPF или DKIM.
Чтобы настроить DMARC-запись:
- В ispmanager перейдите в раздел Почта → Почтовые домены.
- У домена нажмите Изменить.
- Поставьте галочку напротив Включить DMARC для домена.
Ispmanager автоматически генерирует DMARC-записи в таком формате: v=DMARC1; p=none; rua=mailto:youremail@example.com; adkim=r; aspf=r; pct=100; sp=none
В части p
отмечается политика обработки письма, если письмо не проходит аутентификацию. Есть три типа политики:
- None — письма доставляются адресату, но вы получаете отчёты о прошедших и не прошедших аутентификацию письмах.
- Reject — не прошедшие аутентификацию письма отклоняются сервером адресата. Письма не доставляются, но вы получаете отчёты о недоставке.
- Quarantine — не прошедшие аутентификацию письма отправляются в папку «Спам».
В справке администратора Google Workspace рекомендуют начинать с none, если вы ещё не рассылали письма с домена. Рекомендуется не выставлять reject или quarantine, пока вы не поймёте, как письма проходят проверку на серверах получателей. Отслеживать это можно по приходящим отчётам на адрес, указанный в rua. Подробнее о DMARC-записи читайте в справке администратора Google Workspace.
Настройка rDNS
rDNS (reverse DNS), или обратная DNS-запись — это DNS-запись, которая связывает IP-адрес с доменным именем. Эта проверка тоже помогает бороться со спамом и фишингом, так как у злоумышленников могут быть трудности с настройкой корректных rDNS-записей для своих IP-адресов.
Чтобы настроить rDNS-запись:
1. В ispmanager в разделе Управление DNS > Управлять DNS записями.
2. У домена нажмите Создать запись и выберите PTR (реверсная запись) в качестве типа записи.
3. В поле «Имя» укажите IP в обратном порядке и добавьте суффикс in-addr.arpa. К примеру, если ваш IP 10.20.30.40, в поле «Имя» вы пишете: 40.30.20.10.in-addr.arpa
В поле «Домен» укажите доменное имя, для которого настраиваете PTR-запись.
Мониторинг доставки писем и устранение неполадок
После настройки параметров проверки подлинности DNS и электронной почты, важно следить за доставляемостью писем и устранять возникающие проблемы.
Вы можете следить за письмами от почтовых провайдеров и использовать такие инструменты, как Mail Tester, GlockApps или MXtoolbox, чтобы контролировать доставляемость ваших писем. Инструменты помогают определить следующие проблемы:
- непройденная проверка подлинности электронной почты;
- низкая репутация отправителя;
- контент, который запускает спам-фильтры;
- наличие домена или IP в чёрных списках.
Корректность технических настроек можно посмотреть также в заголовке тестового письма. В Gmail нажмите «Показать оригинал» у отправленного вами письма.
Лучше делать такие проверки для писем, отправленных из разных источников: вручную через почтового провайдера, из сервиса рассылок и с SMTP-сервера.
Часто разработчики сталкиваются с такими сложностями:
- Несвоевременное обновление записей проверки подлинности электронной почты при смене IP или почтового провайдера.При смене IP или почтового провайдера важно обновить записи SPF, DKIM и DMARC, чтобы отразить изменения.
- Неправильная настройка SPF-записи, например использование некорректного синтаксиса или включение неверных IP-адресов. Важно убедиться, что ваша SPF-запись настроена корректно: с правильным синтаксисом; включает авторизованные IP-адреса ваших почтовых серверов.
- Неправильная настройка DMARC. Политики DMARC важно настроить корректно, чтобы сообщения не помечались как спам. Проверить запись DMARC можно с помощью инструмента Google Проверка MX.
Если у вас возникнут проблемы с доставляемостью писем, используйте ispmanager для их решения. В панели есть журналы почтовых серверов Exim и Dovecot, которые помогут определить причину проблемы и принять меры по её устранению.
Стопроцентной вам доставляемости!