SPF-запись защищает получателей от спама и писем мошенников. Поэтому компании, которые отправляют рассылки, настраивают ее для своих почтовых доменов. Это улучшает доставляемость писем.
20 января 2026
Как и зачем настраивать SPF-запись для домена
Как и зачем настраивать SPF-запись для домена
Часть писем, которые приходят на электронную почту, оказываются спамом или вовсе отправлены мошенниками. Чтобы защитить от них получателей, почтовые сервисы используют цифровые подписи: SPF-запись, DKIM-подпись и политику DMARC. Они работают как пропуск: по ним почтовик решает, доставить письмо, отклонить или отправить в спам. Поэтому компании, которые отправляют рассылки, настраивают цифровые подписи для своих почтовых доменов. Это положительно влияет на их репутацию у почтовых сервисов, а значит, и на доставляемость рассылок.
В статье расскажем, как настроить SPF-запись.
Что такое SPF-запись
SPF-запись (sender policy framework) — это запись в системе доменных имен (DNS) отправителя. DNS похожа на справочник: в ней указаны названия сайтов ― домены и их цифровые адреса ― IP-адреса. С помощью IP-адреса устройства в сети могут обмениваться информацией, в том числе отправлять электронные письма.
Она содержит список IP-адресов, которым разрешено отправлять почту от имени домена отправителя. Так почтовые сервисы могут проверить, что письмо действительно пришло с сервера, который может отправлять письма от имени этого домена.
v=spf1 ip4:192.0.2.1 include: example.com ~all ― так выглядит типичная SPF-подпись.
Вот как она работает:
- Сервер с IP-адресом 192.0.2.1 отправляет письмо от имени домена example.ru.
- Почтовый сервер получателя ищет в DNS домена example.ru запись SPF.
- Если она есть, сервер проверит, указан ли в ней IP-адрес 192.0.2.1.
- Если IP-адрес указан, письмо отправляется в папку «Входящие». Если нет, почтовый сервер может отклонить письмо или отправить его в спам.
Для рассылок можно использовать один или несколько IP-адресов. Например, с одного IP-адреса отправлять продающие рассылки, а с другого ― транзакционные. В этом случае в SPF-подпись нужно включить их все.
Эта цифровая подпись помогает:
- улучшить доставляемость писем, так как с ее помощью почтовый сервер определяет, что сообщение прислал действительный и авторизованный отправитель;
- бороться со спуфингом и фишингом, когда мошенник пытается отправить письмо от имени чужого домена. Например, известной компании вроде «Сбера» или «Госуслуг».
Синтаксис SPF-записи
Запись состоит из нескольких тегов, их еще называют механизмами. В каждом из них зашифрована подсказка для почтового сервера: откуда пришло письмо, опасно ли оно для получателя и что с ним нужно сделать.
Разберем на примере: v=spf1 ip4:192.0.2.1 include: example.com ~all.
- Тег v=spf1 указывает на версию SPF. Сейчас поддерживается только версия spf1, поэтому эта часть будет одинаковой во всех записях.
- Тег ip4:192.0.2.1 означает, что разрешена отправка почты с IP-адреса 192.0.2.1. Наравне с механизмом ip4 может использоваться механизм ip6. Он тоже указывает IP-адреса, с которых можно отправлять письма.
- Тег include: example.com указывает, что нужно учитывать настройки SPF домена example.com. То есть разрешает принимать письма со всех серверов, указанных в ней.
- Тег ~all указывает, что механизм нужно применять ко всем входящим письмам.
В SPF-подпись можно добавить один из четырех префиксов, или квалификаторов: +, -, ~, ?. Он говорит серверу получателя, что делать с письмом, если оно не пройдет проверку. Если у механизма не будет квалификатора, проверка будет считаться пройденной.
В нашем примере используется префикс ~. Он означает, что письмо можно принять, но пометить как подозрительное. Например, отправить в спам.
Вот что означают остальные три:
- принять письмо: +;
- отклонить письмо: -;
- нейтральный префикс, который показывает, что явно не указано, что IP-адресу можно отправлять письма от имени домена: ?.
Синтаксис можно прописать самому, а можно воспользоваться генератором SPF-записи. Это быстро, бесплатно и гарантирует отсутствие ошибок.
Однако одной SPF-записи недостаточно, чтобы дать указание почтовому сервису, что делать с письмом, если оно не пройдет проверку. Она работает только в комплексе с DKIM-подписью и политикой DMARC. Если письмо не пройдет проверку SPF и DKIM, политика DMARC укажет, что с ним сделать: отклонить, положить в спам или пропустить. Поэтому лучше настроить все эти цифровые подписи.
Как настроить SPF-запись
Запись настраивается на сайте DNS-провайдера домена. Вот как это сделать:
1. Определить список серверов, которые могут отправлять письма от имени домена. Это могут быть серверы почтового провайдера: «Яндекс», Gmail или облачные сервисы электронной почты, например Google Cloud или Microsoft Exchange Online.
2. Создать TXT-запись DNS. Запись TXT — это текстовая информация о домене. Например, ее используют, чтобы подтвердить право собственности на домен. А в нашем случае — как контейнер для SPF. В SPF-записи может быть не больше 255 символов, а файл TXT не должен весить больше 512 байт.
3. Добавить TXT-запись DNS на сайте DNS-провайдера домена. Для этого нужно войти в консоль управления DNS-провайдера и найти страницу управления записями домена.
4. Проверить, что все настроено правильно. В специальном сервисе можно проверить:
- существует ли опубликованная запись SPF;
- не превышает ли она установленную длину, используется ли в ней разрешенный набор символов;
- подлинность указанных в ней IP-адресов и доменов.
Например, это можно сделать в сервисе MxToolbox. Для этого нужно ввести имя домена и выбрать из списка проверок SPF Record Lookup.
В сервисе MXToolbox можно проверить валидность каждого элемента отдельно и всю запись целиком
Почему настраивать SPF-запись нужно не всегда
Некоторые платформы для рассылок автоматически обеспечивают корректность настройки SPF-подписи — в этом случае самостоятельно настраивать ее не нужно. Обычно это указано в инструкции по настройке цифровых подписей.
У каждого письма отправитель указывается в техническом заголовке, который используется только для отправки почты, и в теле письма ― его получатель видит в интерфейсе почтового сервиса.
Если клиент отправляет письма через посредника, например, через Mindbox или другой рассыльщик, есть вероятность, что технический домен, для которого сделана SPF-запись, не совпадает с клиентским. В таком случае рассыльщик настраивает ее на своей стороне. Поэтому нашим клиентам не нужно самим создавать и настраивать SPF-запись.
Как правильно прописать SPF-запись?
SPF-запись добавляют как TXT-запись в настройках DNS домена у регистратора или хостинга. Запись начинается с v=spf1 и содержит список разрешенных IP-адресов или доменов, с которых отправляются письма. Пример SPF-записи:
v=spf1 ip4:123.456.789.0 include: _spf.example.com ~all
v=spf1 ip4:123.456.789.0 include: _spf.example.com ~all
Как должна выглядеть запись в системе SPF?
SPF-запись — это строка в TXT-документе DNS сервера, которая начинается с v=spf1 и содержит набор механизмов проверки.
Элементы записи:
v=spf1 ― версия протокола SPF;
ip4: или ip6: ― IP-адреса серверов, с которых отправляются письма;
include: ― подключение SPF-записи другого домена (например, сервиса рассылок);
~all или -all ― политика для писем с других адресов: ~all (soft fail) отправляет в спам, -all (hard fail) блокирует полностью.
Сколько может быть SPF-записей?
Для одного домена должна быть только одна SPF-запись. Если создать несколько TXT-записей с v=spf1, почтовые провайдеры не смогут определить, какую использовать, и письма начнут попадать в спам или отклоняться.
Если нужно разрешить отправку с нескольких серверов или сервисов, все они добавляются в одну SPF-запись через пробел:
v=spf1 ip4:123.456.789.0 include: spf.mindbox.ru include: _spf.google.com ~all
Здесь в одной записи указаны IP-адрес собственного сервера, платформа Mindbox и Google Workspace. Все источники перечислены последовательно, политика ~all применяется ко всем остальным отправителям.
Важно следить за лимитом DNS-запросов: SPF позволяет максимум 10 обращений к внешним доменам через include:. Если превысить лимит, запись перестанет работать корректно.
Как проверить работу SPF?
Использовать онлайн-сервисы ― MXToolbox, dmarcian, SPF Record Checker. Ввести домен, сервис покажет SPF-запись и ошибки: неправильный синтаксис, превышение лимита DNS-запросов, дубли записей.
Отправить тестовое письмо ― отправить письмо с домена на свой почтовый ящик (Gmail, Mail.ru, Яндекс). Открыть письмо, посмотреть заголовки (обычно в настройках письма есть опция «Показать оригинал» или «Заголовки»). Найти строку Received-SPF ― если там pass, SPF работает корректно. Если fail или softfail ― письмо не прошло проверку.
Проверить DNS-запись напрямую ― через командную строку выполнить команду:
nslookup -type=txt yourdomain.com
Команда покажет все TXT-записи домена, включая SPF. Проверить, что запись существует и корректно прописана.
Если SPF не работает, причины: запись ещё не распространилась (нужно подождать до 48 часов), ошибка в синтаксисе, несколько SPF-записей для одного домена.
