Defaults.Exposed › Поправки › Guides
Настройване на имейл за нов домейн: контролният списък за SPF, DKIM и DMARC за 20 минути (2026)
Публикувано 2026-07-08
Данни към 2026-06-29 · методология v7. Обобщени данни от census за 261 милиона оценени домейна. Вижте как оценяваме.
Новият домейн се нуждае от четири неща преди първия имейл: базово сканиране, един SPF запис назоваващ вашия реален доставчик, DKIM подписване с персонализиран домейн и DMARC запис с докладване от самото начало. Повечето домейни никога не стигат дотам — 46.4% (121,145,609 от 261,086,232 оценени домейна) нямат никакъв SPF, според census на Defaults.Exposed (към 2026-06-29).
Публикуването на всичко отнема около 20 минути: сканирайте за базова линия, добавете един SPF запис, активирайте DKIM подписването с персонализиран домейн на вашия доставчик, публикувайте DMARC p=none с адрес за докладване, по желание добавете MTA-STS, след това сканирайте отново и запазете доклада. Това, което отнема повече, е нещото, което никой контролен списък не може да ускори — DNS разпространението и репутацията за изпращане — и това ръководство е честно за двете.
Наистина ли са достатъчни 20 минути?
За публикуването на записите, да — всяка стъпка по-долу е DNS запис плюс няколко клика в административната конзола на вашия доставчик. Две неща отнемат повече, и да се правим, че не е така, е причината новите домейни да попадат в спам:
- Разпространение. Новите записи обикновено се разрешават в рамките на минути, но резолверите кешират според TTL и пресен делегиран домейн може да отнеме часове, за да отговаря последователно. Проверете с
dig; не редактирайте паническо, докато кешовете се синхронизират. - Загряване. Нов домейн има нулева репутация за изпращане, а автентикацията е предпоставка за репутацията, а не заместител. Започнете с ниски, хуманни обеми и увеличавайте постепенно в продължение на седмици.
Честното твърдение: 20 минути осигуряват правилно публикувана автентикация. Следващите седмици на разумно изпращане осигуряват доставимост.
Контролният списък за 20 минути
- Първо стартирайте безплатното сканиране на defaults.exposed. Сканирайте новия домейн преди да докоснете DNS. Оценената базова линия „нищо не е конфигурирано” се заснема за секунди и прави след-доклада значим — ще искате двойката преди и след (стъпка 6).
- Публикувайте един SPF запис за вашия действителен доставчик. Точно един TXT запис, започващ с
v=spf1, съдържащ include на вашия доставчик — напримерv=spf1 include:_spf.google.com ~allза Google Workspace, илиinclude:spf.protection.outlook.comза Microsoft 365; ако вашият DNS е при регистраторски панел, ръководството за GoDaddy описва особеностите на интерфейса. Само един запис: дваv=spf1записа представляват постоянна грешка, която анулира SPF изцяло — в това положение са 1,013,416 домейна, приблизително един на 138 от домейните, опитали SPF (census към 2026-06-29), обикновено остатък от миграция. Не добавяйте includes „за всеки случай”: SPF ограничава DNS търсенията до 10, и поне 797,263 домейна са анулирали записа си, превишавайки тази граница. И знайте какво всъщност проверява SPF: получателите го оценяват спрямо домейна на Return-Path (RFC5321.MailFrom) — адреса за отвърнати писма — а не заглавието From, което виждат получателите ви. - Активирайте DKIM подписването с персонализиран домейн. Вашият доставчик подписва пощата така или иначе; въпросът е кой домейн назовава подписът. Докато не завършите тази стъпка, Google Workspace подписва с неговия стандарт
gappssmtp.comи Microsoft 365 сonmicrosoft.com— подписи, преминаващи DKIM, но несъвпадащи с вашия домейн, така че DMARC все пак се проваля. Генерирайте ключа в административната конзола и публикувайте това, което доставчикът ви дава: 2048-битов TXT запис за Google, два CNAME (selector1/selector2) за Microsoft 365. Ако запис не се побира в DNS панела ви, вижте поправяне на DKIM — дългите ключове, наострени от интерфейси, са класика. - Публикувайте DMARC от самото начало —
p=noneс адрес за докладване. Един TXT запис на_dmarc.yourdomain.com:v=DMARC1; p=none; rua=mailto:[email protected]. Бъдете ясни какво прави това:p=noneвсе още не защитава нищо — това е режим на наблюдение. Но не струва нищо, а обобщените доклади след това обхващат историята на изпращане на вашия домейн от самото първо съобщение. Установените домейни прекарват седмици в докладване само за да открият изпращачи, за които са забравили; вие купувате тази видимост безплатно, от самото начало. Вижте поправяне на DMARC за анатомията на записа. - По желание, но евтино за нов домейн: MTA-STS и TLS-RPT. MTA-STS казва на изпращащите сървъри, че вашият домейн изисква TLS за входящата поща (DNS запис плюс малък хостван файл с политика); TLS-RPT докладва грешки в криптирането при доставяне. При установен домейн те изискват внимание; при нов домейн с един пощенски доставчик няма какво да се счупи, и
mode: testingе практически безрискови. Настройте ги сега или пропуснете — но вземете решение, не се оставяйте на случайността. - Сканирайте отново и запазете доклада. Пуснете сканирането отново — SPF, DKIM и DMARC трябва да показват зелено. Запазете оценения доклад: датирано доказателство за положението на домейна при стартирането и точно това, което застраховател или клиентски въпросник ще поиска.
Колко домейна всъщност завършват този контролен списък?
Много малко — и повечето падат при първата пречка. От 261,086,232 домейни, оценени в census на Defaults.Exposed (към 2026-06-29):
| Контролен пункт | Реалност от census (от 261,086,232 оценени домейна, към 2026-06-29) |
|---|---|
| Стъпка 2 — публикуване на какъвто и да е SPF запис | 46.4% никога не го правят: 121,145,609 домейна нямат никакъв SPF |
| Стъпка 4+ — DMARC с политика на прилагане | 10.59% (27,640,987 домейна); 89.41% нямат приложена политика |
| Пълната триада — SPF + DKIM + приложен DMARC | 3.87% (10,092,481 домейна) |
20-те минути, описани на тази страница, поставят чисто нов домейн пред приблизително 96% от интернет по отношение на пълната триада. Моделът за зрялост при приемане на SPF разбива всяко стъпало на тази стълба.
Колко бързо може нов домейн да достигне p=reject?
Седмици, не месеци — истинското предимство на свежия старт. Това, което прави прилагането на DMARC бавно за установени домейни, е наследството: забравеният CRM конектор, инструментът за фактуриране, закачен от някого през 2019, платформата за бюлетини, която никой не е документирал. Всеки трябва да бъде открит в докладите и поправен, преди политиката да може да се затегне — оттук и стандартното разпростиране в продължение на месеци.
Нов домейн няма наследствени изпращачи: вие сами сте конфигурирали всеки изпращащ источник, тази седмица, и докладите от стъпка 4 ще го потвърдят. Пуснете p=none за две до четири седмици реално изпращане, проверете дали докладите обхващат всичко, което действително използвате (пощенски кутии, фактури, разписки, формуляра за контакт на уебсайта), след което преминете към p=quarantine и към p=reject, когато резултатите са чисти. Поетапната механика — рамповете на pct, политика за поддомейни, какво да наблюдавате — е в от p=none до p=reject; при нов домейн ще преминете през тях бързо, до място, достигнато само от 10.59% от оценените домейни.
Какво да кажем за стария домейн, който замествате?
Ако този нов домейн е част от ребрандиране, домейнът, който оставяте зад гърба си, е сега най-голямото ви имейл рискове: все още ваш, все още доверен от партньори, вече не наблюдаван. Не го изоставяйте — заключете го изрично. Това е отделна кратка задача: старият домейн от вашето ребрандиране е врата, която сте оставили отворена.
Често задавани въпроси
Мога ли да публикувам тези записи преди да избера пощенски доставчик?
DMARC — да: p=none с rua е независим от доставчика, затова го публикувайте в деня на регистрацията. SPF се нуждае от include на вашия доставчик; докато не сте избрали такъв, публикувайте v=spf1 -all (нищо не е упълномощено да изпраща) и заменете при стъпка 2. Това е строго по-добре от положението без запис, в което са 121,145,609 домейна (46.4% от 261,086,232 оценени, към 2026-06-29).
Нужен ли ми е DKIM, ако SPF вече преминава? Да. SPF се разпада при препращане по предназначение и валидира домейна на Return-Path, който за много инструменти не е вашият — съответстващият DKIM е компонентът, оцеляващ и при двете. Само 3.87% от оценените домейни завършват пълната триада SPF+DKIM+приложен-DMARC (census към 2026-06-29); DKIM е стъпката, която повечето изоставят. Започнете от поправяне на DKIM, ако сканирането го маркира.
Трябва ли новият домейн да използва ~all или -all?
При установен домейн ~all е предпазливият избор, докато откривате забравени изпращачи. Нов домейн няма такива за откриване: след като include на вашия доставчик е въведен и DKIM подписва, -all е безопасен много по-рано. Искате ли двойна гаранция? Потвърдете с две чисти седмици доклади от DMARC.
И трите записа преминават — защо имейлът ми все още попада в спам? Защото автентикацията и репутацията са различни неща: преминаващите записи означават, че получателите могат да проверят, че пощата е ваша, а не че ви вярват. Новите домейни печелят доверие, изпращайки последователна, желана, нискообемна поща и увеличавайки постепенно. Ако пощата не успява при проверки, а не само попада в спам, започнете от поправяне на SPF и работете надолу по резултатите от сканирането.
Изпратете на собственика доклада
Ако настройвате този домейн за клиент, затворете задачата с доказателство. Пуснете отново безплатното сканиране след стъпка 6 и препратете оценения доклад на собственика на бизнеса: SPF, DKIM и DMARC преминаващи, на разбираем език, датиран при стартирането. Това е артефактът, от който ще се нуждаят за подновяване на киберзастраховката и следващия въпросник за сигурност от доставчик — и доказва, че домейнът е стартирал по начина, по който 96% от интернет никога не успява.
Проверете вашия домейн → · От p=none до p=reject без загуба на легитимен имейл → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.