Defaults.Exposed

Defaults.ExposedПоправкиGuides

Настройване на имейл за нов домейн: контролният списък за SPF, DKIM и DMARC за 20 минути (2026)

Публикувано 2026-07-08

Данни към 2026-06-29 · методология v7. Обобщени данни от census за 261 милиона оценени домейна. Вижте как оценяваме.

Новият домейн се нуждае от четири неща преди първия имейл: базово сканиране, един SPF запис назоваващ вашия реален доставчик, DKIM подписване с персонализиран домейн и DMARC запис с докладване от самото начало. Повечето домейни никога не стигат дотам — 46.4% (121,145,609 от 261,086,232 оценени домейна) нямат никакъв SPF, според census на Defaults.Exposed (към 2026-06-29).

Публикуването на всичко отнема около 20 минути: сканирайте за базова линия, добавете един SPF запис, активирайте DKIM подписването с персонализиран домейн на вашия доставчик, публикувайте DMARC p=none с адрес за докладване, по желание добавете MTA-STS, след това сканирайте отново и запазете доклада. Това, което отнема повече, е нещото, което никой контролен списък не може да ускори — DNS разпространението и репутацията за изпращане — и това ръководство е честно за двете.

Наистина ли са достатъчни 20 минути?

За публикуването на записите, да — всяка стъпка по-долу е DNS запис плюс няколко клика в административната конзола на вашия доставчик. Две неща отнемат повече, и да се правим, че не е така, е причината новите домейни да попадат в спам:

Честното твърдение: 20 минути осигуряват правилно публикувана автентикация. Следващите седмици на разумно изпращане осигуряват доставимост.

Контролният списък за 20 минути

  1. Първо стартирайте безплатното сканиране на defaults.exposed. Сканирайте новия домейн преди да докоснете DNS. Оценената базова линия „нищо не е конфигурирано” се заснема за секунди и прави след-доклада значим — ще искате двойката преди и след (стъпка 6).
  2. Публикувайте един SPF запис за вашия действителен доставчик. Точно един TXT запис, започващ с v=spf1, съдържащ include на вашия доставчик — например v=spf1 include:_spf.google.com ~all за Google Workspace, или include:spf.protection.outlook.com за Microsoft 365; ако вашият DNS е при регистраторски панел, ръководството за GoDaddy описва особеностите на интерфейса. Само един запис: два v=spf1 записа представляват постоянна грешка, която анулира SPF изцяло — в това положение са 1,013,416 домейна, приблизително един на 138 от домейните, опитали SPF (census към 2026-06-29), обикновено остатък от миграция. Не добавяйте includes „за всеки случай”: SPF ограничава DNS търсенията до 10, и поне 797,263 домейна са анулирали записа си, превишавайки тази граница. И знайте какво всъщност проверява SPF: получателите го оценяват спрямо домейна на Return-Path (RFC5321.MailFrom) — адреса за отвърнати писма — а не заглавието From, което виждат получателите ви.
  3. Активирайте DKIM подписването с персонализиран домейн. Вашият доставчик подписва пощата така или иначе; въпросът е кой домейн назовава подписът. Докато не завършите тази стъпка, Google Workspace подписва с неговия стандарт gappssmtp.com и Microsoft 365 с onmicrosoft.com — подписи, преминаващи DKIM, но несъвпадащи с вашия домейн, така че DMARC все пак се проваля. Генерирайте ключа в административната конзола и публикувайте това, което доставчикът ви дава: 2048-битов TXT запис за Google, два CNAME (selector1/selector2) за Microsoft 365. Ако запис не се побира в DNS панела ви, вижте поправяне на DKIM — дългите ключове, наострени от интерфейси, са класика.
  4. Публикувайте DMARC от самото начало — p=none с адрес за докладване. Един TXT запис на _dmarc.yourdomain.com: v=DMARC1; p=none; rua=mailto:[email protected]. Бъдете ясни какво прави това: p=none все още не защитава нищо — това е режим на наблюдение. Но не струва нищо, а обобщените доклади след това обхващат историята на изпращане на вашия домейн от самото първо съобщение. Установените домейни прекарват седмици в докладване само за да открият изпращачи, за които са забравили; вие купувате тази видимост безплатно, от самото начало. Вижте поправяне на DMARC за анатомията на записа.
  5. По желание, но евтино за нов домейн: MTA-STS и TLS-RPT. MTA-STS казва на изпращащите сървъри, че вашият домейн изисква TLS за входящата поща (DNS запис плюс малък хостван файл с политика); TLS-RPT докладва грешки в криптирането при доставяне. При установен домейн те изискват внимание; при нов домейн с един пощенски доставчик няма какво да се счупи, и mode: testing е практически безрискови. Настройте ги сега или пропуснете — но вземете решение, не се оставяйте на случайността.
  6. Сканирайте отново и запазете доклада. Пуснете сканирането отново — SPF, DKIM и DMARC трябва да показват зелено. Запазете оценения доклад: датирано доказателство за положението на домейна при стартирането и точно това, което застраховател или клиентски въпросник ще поиска.

Колко домейна всъщност завършват този контролен списък?

Много малко — и повечето падат при първата пречка. От 261,086,232 домейни, оценени в census на Defaults.Exposed (към 2026-06-29):

Контролен пунктРеалност от census (от 261,086,232 оценени домейна, към 2026-06-29)
Стъпка 2 — публикуване на какъвто и да е SPF запис46.4% никога не го правят: 121,145,609 домейна нямат никакъв SPF
Стъпка 4+ — DMARC с политика на прилагане10.59% (27,640,987 домейна); 89.41% нямат приложена политика
Пълната триада — SPF + DKIM + приложен DMARC3.87% (10,092,481 домейна)

20-те минути, описани на тази страница, поставят чисто нов домейн пред приблизително 96% от интернет по отношение на пълната триада. Моделът за зрялост при приемане на SPF разбива всяко стъпало на тази стълба.

Колко бързо може нов домейн да достигне p=reject?

Седмици, не месеци — истинското предимство на свежия старт. Това, което прави прилагането на DMARC бавно за установени домейни, е наследството: забравеният CRM конектор, инструментът за фактуриране, закачен от някого през 2019, платформата за бюлетини, която никой не е документирал. Всеки трябва да бъде открит в докладите и поправен, преди политиката да може да се затегне — оттук и стандартното разпростиране в продължение на месеци.

Нов домейн няма наследствени изпращачи: вие сами сте конфигурирали всеки изпращащ источник, тази седмица, и докладите от стъпка 4 ще го потвърдят. Пуснете p=none за две до четири седмици реално изпращане, проверете дали докладите обхващат всичко, което действително използвате (пощенски кутии, фактури, разписки, формуляра за контакт на уебсайта), след което преминете към p=quarantine и към p=reject, когато резултатите са чисти. Поетапната механика — рамповете на pct, политика за поддомейни, какво да наблюдавате — е в от p=none до p=reject; при нов домейн ще преминете през тях бързо, до място, достигнато само от 10.59% от оценените домейни.

Какво да кажем за стария домейн, който замествате?

Ако този нов домейн е част от ребрандиране, домейнът, който оставяте зад гърба си, е сега най-голямото ви имейл рискове: все още ваш, все още доверен от партньори, вече не наблюдаван. Не го изоставяйте — заключете го изрично. Това е отделна кратка задача: старият домейн от вашето ребрандиране е врата, която сте оставили отворена.

Често задавани въпроси

Мога ли да публикувам тези записи преди да избера пощенски доставчик? DMARC — да: p=none с rua е независим от доставчика, затова го публикувайте в деня на регистрацията. SPF се нуждае от include на вашия доставчик; докато не сте избрали такъв, публикувайте v=spf1 -all (нищо не е упълномощено да изпраща) и заменете при стъпка 2. Това е строго по-добре от положението без запис, в което са 121,145,609 домейна (46.4% от 261,086,232 оценени, към 2026-06-29).

Нужен ли ми е DKIM, ако SPF вече преминава? Да. SPF се разпада при препращане по предназначение и валидира домейна на Return-Path, който за много инструменти не е вашият — съответстващият DKIM е компонентът, оцеляващ и при двете. Само 3.87% от оценените домейни завършват пълната триада SPF+DKIM+приложен-DMARC (census към 2026-06-29); DKIM е стъпката, която повечето изоставят. Започнете от поправяне на DKIM, ако сканирането го маркира.

Трябва ли новият домейн да използва ~all или -all? При установен домейн ~all е предпазливият избор, докато откривате забравени изпращачи. Нов домейн няма такива за откриване: след като include на вашия доставчик е въведен и DKIM подписва, -all е безопасен много по-рано. Искате ли двойна гаранция? Потвърдете с две чисти седмици доклади от DMARC.

И трите записа преминават — защо имейлът ми все още попада в спам? Защото автентикацията и репутацията са различни неща: преминаващите записи означават, че получателите могат да проверят, че пощата е ваша, а не че ви вярват. Новите домейни печелят доверие, изпращайки последователна, желана, нискообемна поща и увеличавайки постепенно. Ако пощата не успява при проверки, а не само попада в спам, започнете от поправяне на SPF и работете надолу по резултатите от сканирането.

Изпратете на собственика доклада

Ако настройвате този домейн за клиент, затворете задачата с доказателство. Пуснете отново безплатното сканиране след стъпка 6 и препратете оценения доклад на собственика на бизнеса: SPF, DKIM и DMARC преминаващи, на разбираем език, датиран при стартирането. Това е артефактът, от който ще се нуждаят за подновяване на киберзастраховката и следващия въпросник за сигурност от доставчик — и доказва, че домейнът е стартирал по начина, по който 96% от интернет никога не успява.

Проверете вашия домейн → · От p=none до p=reject без загуба на легитимен имейл → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.