👾 твой cto

📮 SPF, DKIM, DMARC

Если эти аббревиатуры для вас ничего не значат, то этот пост — знак о том, что пора разобраться. Дело в том, что на протяжении последних лет предпринято много усилий, чтобы сократить количество нежелательных или поддельных писем в вашем почтовом ящике, и эти три стандарта сейчас — необходимый минимум знаний о том, как сделать так, чтобы ваши имейлы доходили до почтовых ящиков адресатов.

Когда протокол SMTP создавался в 1981 году, основным способом аутентификации (то есть проверки, что у пользователя есть права отправлять почту от указанного адреса) была проверка по IP. Расширение AUTH, позволяющее добавлять авторизацию поверх соединения к SMTP-серверу официально появилось в виде черновика только в 1995 году, когда стала остро вставать проблема спама и распространения вирусов и троянов через email. В 1998 году Internet Mail Consorcium оценил количество открытых (не требующих аутентификации) почтовых серверов в 55%, а к 2002 году их уже было меньше 1%.

Впрочем, это всё равно не решило главной проблемы: имейлы всё ещё можно было отправлять от любого адреса, используя свой личный или любой из публичных open relay — серверов, которые позволяли рассылать почту кому угодно. Появились блоклисты с IP таких серверов, почта с которых автоматически отправлялась в спам. Это всё приводило к постоянным false positive срабатываниям, создавая постоянные проблемы с доставкой почты (впрочем, это до сих пор актуально, я постоянно вылавливаю в спаме нормальные письма, только виноваты в этом не блоклисты, а машин лёрнинг модели).

Для того, чтобы починить SMTP придумали три технологии: SPF, DKIM и DMARC.

SPF позволяет указать, какие серверы (прям по IP) имеют право рассылать почту от имени этого домена. Можно указать серверы Google, если вы пользуетесь Google Workspace, или, например, Mailchimp.

DKIM позволяет криптографически подписать заголовки письма, чтобы получатель мог быть точно уверен, что письмо было отправлено именно из вашего аккаунта в Mailchimp, а не чьего-то ещё.

DMARC позволяет настроить, насколько обязательные предыдущие две технологии в вашем конкретном случае, а также, что делать с нарушителями и куда на них жаловаться (на случай, если нарушитель — это вы, просто вы забыли добавить новый сервис email-рассылок в SPF 😅).

Вот тут пост с разными примерами, потому что очень важно понимать, чем ~all отличается от -all. Вот инструкция от Google, по которой я много раз постепенно выкатывал всё более и более жёсткие политики на старых доменах чтобы ничего не сломать.

Ну и настоящая жемчужина, о которой вы наверняка не знали — бесплатный сервис от Postmark для агрегации и получения отчётов по вашим SPF, DKIM и DMARC. Из разряда настроил и забыл — просто раз в неделю проверяешь, что настоящие легитимные письма не улетают в спам.

www.tg-me.com/ye/ твой cto/com.techdir/184

1.8K viewsSep 8, 2021 at 08:00

📮 SPF, DKIM, DMARC

Если эти аббревиатуры для вас ничего не значат, то этот пост — знак о том, что пора разобраться. Дело в том, что на протяжении последних лет предпринято много усилий, чтобы сократить количество нежелательных или поддельных писем в вашем почтовом ящике, и эти три стандарта сейчас — необходимый минимум знаний о том, как сделать так, чтобы ваши имейлы доходили до почтовых ящиков адресатов.

Когда протокол SMTP создавался в 1981 году, основным способом аутентификации (то есть проверки, что у пользователя есть права отправлять почту от указанного адреса) была проверка по IP. Расширение AUTH, позволяющее добавлять авторизацию поверх соединения к SMTP-серверу официально появилось в виде черновика только в 1995 году, когда стала остро вставать проблема спама и распространения вирусов и троянов через email. В 1998 году Internet Mail Consorcium оценил количество открытых (не требующих аутентификации) почтовых серверов в 55%, а к 2002 году их уже было меньше 1%.

Впрочем, это всё равно не решило главной проблемы: имейлы всё ещё можно было отправлять от любого адреса, используя свой личный или любой из публичных open relay — серверов, которые позволяли рассылать почту кому угодно. Появились блоклисты с IP таких серверов, почта с которых автоматически отправлялась в спам. Это всё приводило к постоянным false positive срабатываниям, создавая постоянные проблемы с доставкой почты (впрочем, это до сих пор актуально, я постоянно вылавливаю в спаме нормальные письма, только виноваты в этом не блоклисты, а машин лёрнинг модели).

Для того, чтобы починить SMTP придумали три технологии: SPF, DKIM и DMARC.

SPF позволяет указать, какие серверы (прям по IP) имеют право рассылать почту от имени этого домена. Можно указать серверы Google, если вы пользуетесь Google Workspace, или, например, Mailchimp.

DKIM позволяет криптографически подписать заголовки письма, чтобы получатель мог быть точно уверен, что письмо было отправлено именно из вашего аккаунта в Mailchimp, а не чьего-то ещё.

DMARC позволяет настроить, насколько обязательные предыдущие две технологии в вашем конкретном случае, а также, что делать с нарушителями и куда на них жаловаться (на случай, если нарушитель — это вы, просто вы забыли добавить новый сервис email-рассылок в SPF 😅).

Вот тут пост с разными примерами, потому что очень важно понимать, чем ~all отличается от -all. Вот инструкция от Google, по которой я много раз постепенно выкатывал всё более и более жёсткие политики на старых доменах чтобы ничего не сломать.

Ну и настоящая жемчужина, о которой вы наверняка не знали — бесплатный сервис от Postmark для агрегации и получения отчётов по вашим SPF, DKIM и DMARC. Из разряда настроил и забыл — просто раз в неделю проверяешь, что настоящие легитимные письма не улетают в спам.

BY 👾 твой cto