Defaults.Exposed

Defaults.ExposedПоправкиGuides

Имейлите от Mailchimp, Brevo или Klaviyo не преминават DMARC? Активирайте истинската автентикация на домейна (2026)

Публикувано 2026-07-08

Данни към 2026-06-29 · методология v7. Обобщени данни от census за 261 милиона оценени домейна. Вижте как оценяваме.

Платформите за бюлетини не преминават DMARC, когато изпращат „от” вашия домейн, без да се автентикират като вашия домейн. Поправката е персонализираната автентикация на домейна в платформата — DKIM CNAME записите й, плюс персонализиран домейн за отвърнати писма, където е предложен. Пропускът е нормален: от 740,321 домейни, упълномощаващи SendGrid, само 18.0% прилагат DMARC, според census на Defaults.Exposed за 261,086,232 домейна (2026-06-29).

Поправката се състои от няколко DNS записа и десет минути в настройките на вашата платформа. По-долу: защо споделената автентикация на платформата спря да е достатъчна от февруари 2024 г., кой превключвател да активирате в Mailchimp, Brevo, Klaviyo и SendGrid, и стъпките за поправяне в ред — включително преместването от адрес за безплатна поща, което никакъв DNS запис не може да спаси.

Защо имейлите на бюлетини не преминават DMARC, когато платформата казва, че всичко е проверено?

Защото платформата е автентикирала себе си, не вас. По подразбиране, ESP изпраща вашите кампании с неговия собствен домейн за отвърнати писма в Return-Path и често подписва DKIM с неговия собствен домейн. Получателите оценяват SPF спрямо домейна в Return-Path (RFC5321.MailFrom), а не заглавието From, така че SPF преминава изчистено… за домейна на платформата.

DMARC не се интересува дали SPF или DKIM е преминал абстрактно. Той пита дали някой от тях е преминал за домейна в адреса ви From — това съответствие се нарича alignment. SPF преминаването на ESP е за неговия домейн за отвърнати писма, а не за вашия; без DKIM с персонализиран домейн, подписът му е за неговия домейн, а не за вашия. Нищо не съответства, затова вашият From домейн не преминава DMARC — докато таблото на платформата показва зелени отметки, защото от нейна гледна точка автентикацията работи. Активирането на автентикацията на персонализиран домейн (DKIM, подписан като вашия домейн) е цялата поправка. За пълната механика на alignment, вижте DMARC не успява, но SPF и DKIM преминават.

Какво се промени от февруари 2024 г.?

Google и Yahoo започнаха да прилагат изисквания за масови изпращачи: aligned автентикация за From домейна, публикувана DMARC политика, деабониране с едно кликване и ограничения за процент спам. Прекиятът с обща инфраструктура — яздете автентикацията на ESP, изпращайте от каквото пожелаете — престана да работи. Две последствия за изпращачите на бюлетини:

Пълният набор от изисквания е в нашата статия с данни за изискванията на Google и Yahoo за изпращачи.

Как се казва превключвателят в Mailchimp, Brevo, Klaviyo и SendGrid?

Всяка платформа има същата функция под различно ime. Това, което тя винаги произвежда, е малък набор от CNAME записи за вашия DNS — така я разпознавате, независимо какво казва менюто.

ПлатформаПриблизително наименование на функциятаКакво добавяте в DNSБележки
MailchimpАвтентикация на домейнаDKIM CNAME (k2._domainkey, k3._domainkey)Само DKIM alignment — Mailchimp вече не използва SPF include; не добавяйте такъв
BrevoАвтентикирайте вашия домейнDKIM CNAME набор + запис за проверкаПроверете текущия набор от записи в документацията на Brevo при настройването
KlaviyoСпециален домейн за изпращанеDKIM CNAME + поддомейн за отвърнати писма (Return-Path)Специалният домейн ви дава и SPF alignment
SendGridАвтентикация на домейна (автоматизирана сигурност)CNAME набор (DKIM + return-path)Не е нужен SPF include — CNAME записите го покриват

Два модела, заслужаващи внимание. Първо, нито една от тези платформи не иска добавяне на include: към вашия SPF запис — съвременната автентикация на ESP е делегирана чрез CNAME, а остатъчен include само изразходва бюджета за DNS търсения. Второ, делегирането чрез CNAME е функция: платформата ротира DKIM ключовете зад делегираните имена, без вие да докосвате DNS отново.

Как да поправите неуспеха на DMARC за бюлетини стъпка по стъпка?

  1. Стартирайте безплатното сканиране на defaults.exposed преди да докоснете DNS. То показва текущото SPF, DKIM и DMARC положение на вашия домейн, за да видите пропуска в alignment, който предстои да затворите.
  2. Активирайте персонализираната автентикация на домейна в платформата (таблицата по-горе). То генерира CNAME записи, специфични за вашия акаунт.
  3. Добавете CNAME записите в DNS точно така, както са посочени. Класическата грешка: DNS панели, автоматично добавящи зоната ви, превръщайки k2._domainkey.yourdomain.com в k2._domainkey.yourdomain.com.yourdomain.com. Поставяйте само частта на хоста, ако панелът ви добавя домейна. Ако платформата по-късно съобщава „без ключ за подпис”, записът на селектора не е кацнал — вижте DKIM „без ключ за подпис”.
  4. Задайте персонализирания домейн за отвърнати писма (Return-Path), където платформата го предлага. Това съгласува и SPF компонента, давайки на DMARC два начина за преминаване. Където не се предлага (Mailchimp), само съответстващият DKIM е пълно преминаване на DMARC — един съответстващ компонент е всичко, което DMARC изисква.
  5. Преместете адреса From на вашия собствен домейн, ако все още е с безплатна поща. [email protected], а не [email protected]. Изискване, а не предпочитание.
  6. Проверете в платформата, след това сканирайте отново. Изчакайте проверката на платформата да стане зелена (DNS може да отнеме минути до няколко часа), изпратете си тестова кампания и потвърдете, че заглавията показват DKIM, подписан от вашия домейн. След това преминете към всичко останало, маркирано на страницата поправяне на DMARC — ако вашият домейн изобщо няма DMARC запис, това е следващите десет минути.

Колко изпращачи на бюлетини имат това наред?

Census го чете от DNS страната: за всяка платформа, колко домейна я упълномощават — и колко от тях защитават домейна, извършващ изпращането, според census на Defaults.Exposed за 261,086,232 домейна (2026-06-29).

Платформа (SPF цел)Домейни, упълномощаващи яDMARC приложен
SendGrid (sendgrid.net)740,32118.0%
Mailgun (mailgun.org)1,306,69235.9%
Amazon SES (amazonses.com)551,44641.9%

Данни към census от 2026-06-29. „DMARC приложен” = упълномощаващият домейн публикува p=quarantine или p=reject.

Дори в горната част на таблицата, повечето изпращачи на професионални платформи оставят домейна незащитен: 41.9% от 551,446 домейна, упълномощаващи Amazon SES, прилагат DMARC, 35.9% от 1,306,692 при Mailgun — и само 18.0% от 740,321 при SendGrid. Инфраструктурата е професионална; защитата на домейна в повечето случаи не е. Пълната класация на доставчиците — включително пощенски хостове — е в кой пощенски доставчик има най-силен SPF.

Често задавани въпроси

Трябва ли да добавям Mailchimp към моя SPF запис? Не — и не го правете. Mailchimp използва само DKIM alignment чрез своите CNAME k2/k3 и вече не публикува SPF include за клиентите. Стар include:servers.mcsv.net не прави нищо за DMARC и изразходва бюджета за DNS търсения; съответстващият компонент тук е DKIM.

Ще изведе ли автентикацията на домейна бюлетините ми от папката за спам? Тя премахва най-голямата причина — несъответстваща поща за домейн с DMARC политика — и е задължително изискване по правилата на Google/Yahoo. Няма да поправи проблемите с качеството на списъка: висок процент оплаквания и липсващо деабониране с едно кликване задържат пощата в спам дори когато автентикацията е перфектна. Поправете автентикацията първо; тя е частта с определен отговор.

Мога ли да продължа да изпращам кампании от адреса си @gmail.com? Не. Доставчиците на безплатна поща публикуват строги DMARC политики именно за да не може никой друг да изпраща като тях, а вашият ESP никога не може да съответства с gmail.com. От февруари 2024 г. тези имейли се отхвърлят или изхвърлят масово. Адрес From на вашия собствен домейн е единственият път.

Активирах автентикацията на домейна — защо DMARC все още не успява? Обикновено едно от три неща: CNAME записите са наострени от DNS панел, добавящ зоната (стъпка 3), From домейнът на кампанията не съвпада с домейна, който сте автентикирали, или различен изпращащ источник не успява наред с бюлетина. Сред всички 261,086,232 домейни в census от 2026-06-29, само 10.59% прилагат DMARC изобщо — ако вашият го прави, сте близо; сканирайте отново и прочетете кой компонент не съответства.

Важи ли това за малки списъци, под 5 000 имейла на ден? Най-строгите прагове са формално за масови изпращачи, но получателите прилагат основите на автентикацията за всички, и ESP вече изискват автентикация на домейна независимо от обема. Третирайте я като задължителна: това са няколко DNS записа и предотвратява прекъсването на кампаниите ви в деня, в който списъкът ви порасне.

Изпратете на собственика доклада

Ако поправяте това за клиент — или вие притежавате бюлетина, но не и DNS — завършете работата с доказателство. Пуснете отново безплатното сканиране след кацането на CNAME записите и препратете оценения доклад на собственика на бизнеса: разбираем език, датиран, DMARC alignment поправен. Това е артефактът, отговарящ на подновяването на киберзастраховката и следващия въпросник за сигурност на клиента — документирано преди и след, а не „кликнах някои бутони в Mailchimp”.

Проверете вашия домейн → · DMARC не успява, но SPF и DKIM преминават → · Поправяне на DMARC → · Поправяне на DKIM → · Как оценяваме → · Само обобщени данни. Данните се съхраняват и обработват в ЕС.