Defaults.Exposed › Remedieri › Guides
Configurarea e-mailului pe un domeniu nou: Lista de verificare SPF, DKIM și DMARC de 20 de minute (2026)
Publicat 2026-07-08
Date din 2026-06-29 · metodologie v7. Date agregate din recensământul a 261 milioane de domenii clasificate. Consultați cum clasificăm.
Un domeniu nou are nevoie de patru lucruri înainte de primul e-mail: o scanare de bază, un singur record SPF care numește furnizorul dvs. real, semnare DKIM cu domeniu personalizat și o înregistrare DMARC cu raportare activă din prima zi. Cele mai multe domenii nu ajung niciodată acolo — 46.4% (121,145,609 din 261,086,232 domenii clasificate) nu au niciun SPF, conform recensământului Defaults.Exposed (din 2026-06-29).
Publicarea tuturor durează aproximativ 20 de minute: scanați pentru o linie de bază, adăugați un singur record SPF, activați DKIM cu domeniu personalizat al furnizorului dvs., publicați DMARC p=none cu o adresă de raportare, opțional adăugați MTA-STS, apoi re-scanați și păstrați raportul. Ce durează mai mult este ceea ce nicio listă de verificare nu poate grăbi — propagarea DNS și reputația de trimitere — și acest ghid este sincer în privința ambelor.
Sunt suficiente cu adevărat 20 de minute?
Pentru publicarea înregistrărilor, da — fiecare pas de mai jos este o intrare DNS plus câteva clicuri în consola de administrare a furnizorului dvs. Două lucruri durează mai mult, iar prefăcând că nu este așa se ajunge la noi domenii care ajung la spam:
- Propagarea. Înregistrările noi se rezolvă de obicei în câteva minute, dar rezolvatorii fac cache conform TTL-ului, iar un domeniu nou delegat poate dura ore pentru a răspunde consistent. Verificați cu
dig; nu editați în panică în timp ce cache-urile se actualizează. - Încălzirea. Un domeniu nou are zero reputație de trimitere, iar autentificarea este precondiția pentru reputație, nu un substitut. Începeți cu volum mic, la scară umană, și creșteți gradual pe parcursul săptămânilor.
Afirmația sinceră: 20 de minute cumpără autentificare publicată corect. Săptămânile următoare de trimitere sensibilă cumpără livrabilitate.
Lista de verificare de 20 de minute
- Rulați mai întâi scanarea gratuită la defaults.exposed. Scanați noul domeniu înainte de a atinge DNS-ul. Linia de bază clasificată „nimic configurat” durează secunde de capturat și face raportul de după semnificativ — veți dori perechea înainte-și-după (pasul 6).
- Publicați un singur record SPF pentru furnizorul dvs. real. Exact o înregistrare TXT care începe cu
v=spf1, conținând include-ul furnizorului dvs. — de exempluv=spf1 include:_spf.google.com ~allpentru Google Workspace, sauinclude:spf.protection.outlook.compentru Microsoft 365; dacă DNS-ul dvs. se află la un panou de registrator, instrucțiunile pas cu pas GoDaddy acoperă particularitățile interfeței. Numai o înregistrare: două înregistrăriv=spf1constituie o eroare permanentă care anulează SPF în totalitate — starea în care se află 1,013,416 domenii, aproximativ una din 138 domenii care încearcă SPF (recensământ din 2026-06-29), de obicei o relicvă de migrare. Nu adăugați include-uri „just in case”: SPF limitează interogările DNS la 10, iar cel puțin 797,263 domenii și-au anulat înregistrarea depășind acel plafon. Și știți ce verifică de fapt SPF: receptorii îl evaluează față de domeniul Return-Path (RFC5321.MailFrom) — adresa de bounce — nu antetul From pe care îl văd destinatarii dvs. - Activați semnarea DKIM cu domeniu personalizat. Furnizorul dvs. semnează e-mailul oricum; întrebarea este care domeniu numește semnătura. Până nu completați acest pas, Google Workspace semnează cu
gappssmtp.comimplicit și Microsoft 365 cuonmicrosoft.com— semnături care trec DKIM dar nu se aliniază cu domeniul dvs., deci DMARC tot eșuează. Generați cheia în consola de administrare și publicați ceea ce vă oferă furnizorul: o înregistrare TXT de 2048 de biți pentru Google, două CNAME-uri (selector1/selector2) pentru Microsoft 365. Dacă o înregistrare nu se potrivește în panoul dvs. DNS, consultați reparați DKIM — cheile lungi distorsionate de interfețe sunt clasice. - Publicați DMARC din prima zi —
p=nonecu o adresă de raportare. O înregistrare TXT la_dmarc.yourdomain.com:v=DMARC1; p=none; rua=mailto:[email protected]. Fiți clar în privința a ce face asta:p=nonenu protejează nimic încă — este modul de monitorizare. Dar nu costă nimic, iar rapoartele agregate acoperă apoi istoricul de trimitere al domeniului dvs. de la primul mesaj. Domeniile stabilite petrec săptămâni de raportare descoperind expeditori pe care i-au uitat; dvs. cumpărați acea vizibilitate gratuit, de la ziua zero. Consultați reparați DMARC pentru anatomia înregistrării. - Opțional, dar ieftin pe un domeniu nou: MTA-STS și TLS-RPT. MTA-STS le spune serverelor de trimitere că domeniul dvs. necesită TLS pentru e-mailul de intrare (o înregistrare DNS plus un mic fișier de politică găzduit); TLS-RPT raportează eșecurile de criptare la livrare. Pe un domeniu stabilit acestea necesită îngrijire; pe un domeniu nou cu un singur furnizor de e-mail nu există nimic de stricat, iar
mode: testingeste practic fără risc. Configurați-le acum sau săriți-le — dar decideți, nu derivați. - Re-scanați și păstrați raportul. Rulați din nou scanarea — SPF, DKIM și DMARC ar trebui să arate verde. Salvați raportul clasificat: dovadă datată a stării domeniului la lansare, și exact ceea ce va cere un asigurator sau chestionarul unui client.
Câte domenii completează efectiv această listă?
Foarte puține — și cele mai multe cad la primul obstacol. Din cele 261,086,232 domenii clasificate în recensământul Defaults.Exposed (din 2026-06-29):
| Punct de referință al listei | Realitatea recensământului (din 261,086,232 domenii clasificate, din 2026-06-29) |
|---|---|
| Pasul 2 — publicați orice record SPF | 46.4% nu o fac niciodată: 121,145,609 domenii nu au niciun SPF |
| Pasul 4+ — DMARC cu politică de aplicare | 10.59% (27,640,987 domenii); 89.41% nu au nicio politică aplicată |
| Triada completă — SPF + DKIM + DMARC aplicat | 3.87% (10,092,481 domenii) |
Cele 20 de minute descrise pe această pagină plasează un domeniu complet nou înaintea aproximativ 96% din internet pe triada completă. Modelul de maturitate a adopției SPF descompune fiecare treaptă a acelei scări.
Cât de repede poate ajunge un domeniu nou la p=reject?
Săptămâni, nu luni — avantajul real al pornitului de la zero. Ceea ce face aplicarea DMARC lentă pe domeniile stabilite este moștenirea: conectorul CRM uitat, instrumentul de facturare pe care cineva l-a conectat în 2019, platforma de newsletter pe care nimeni nu a documentat-o. Fiecare trebuie găsit în rapoarte și reparat înainte ca politica să se poată strânge — de aceea rularea standard durează luni.
Un domeniu nou nu are expeditori moștenitori: ați configurat dvs. fiecare sursă de trimitere, săptămâna aceasta, iar rapoartele pasului 4 o vor confirma. Rulați p=none timp de două până la patru săptămâni de trimitere reală, verificați că rapoartele acoperă tot ce folosiți efectiv (căsuțe poștale, facturi, chitanțe, formularul de contact al site-ului), apoi treceți la p=quarantine și la p=reject odată ce rulează curat. Mecanica etapizată — rampe pct, politica subdomeniului, ce să urmăriți — se află în de la p=none la p=reject; pe un domeniu nou veți trece prin ele cu viteză, ajungând acolo unde au ajuns doar 10.59% din domeniile clasificate.
Dar domeniul vechi pe care îl înlocuiți?
Dacă acest domeniu nou face parte dintr-un rebrand, domeniul pe care îl lăsați în urmă este acum cel mai mare risc de e-mail al dvs.: încă al dvs., încă de încredere pentru contrapărți, nu mai este monitorizat. Nu îl abandonați — blocați-l explicit. Acesta este un job scurt separat: acel domeniu vechi din rebrandul dvs. este o ușă lăsată deschisă.
Întrebări frecvente
Pot publica aceste înregistrări înainte de a alege un furnizor de e-mail?
DMARC, da — p=none cu rua este independent de furnizor, deci publicați-l în ziua în care vă înregistrați. SPF are nevoie de include-ul furnizorului dvs.; până nu ați ales unul, publicați v=spf1 -all (nimic nu este autorizat să trimită) și înlocuiți-l la pasul 2. Aceasta este strict mai bine decât starea fără înregistrare în care se află 121,145,609 domenii (46.4% din 261,086,232 clasificate, din 2026-06-29).
Am nevoie de DKIM dacă SPF trece deja? Da. SPF se strică sub forwarding prin design și validează domeniul Return-Path, care pentru multe instrumente nu este al dvs. — DKIM aliniat este piciorul care supraviețuiește ambelor. Doar 3.87% din domeniile clasificate completează triada completă SPF+DKIM+DMARC-aplicat (recensământ din 2026-06-29); DKIM este pasul pe care îl sar cei mai mulți. Începeți la reparați DKIM dacă scanarea îl semnalează.
Ar trebui un domeniu nou să folosească ~all sau -all?
Pe un domeniu stabilit, ~all este alegerea prudentă în timp ce găsiți expeditorii uitați. Un domeniu nou nu are niciunul de găsit: odată ce include-ul furnizorului dvs. este adăugat și DKIM semnează, -all este sigur mult mai devreme. Vreți centură și bretele? Confirmați mai întâi cu două săptămâni curate de rapoarte DMARC.
Toate cele trei înregistrări trec — de ce e-mailul meu ajunge totuși la spam? Deoarece autentificarea și reputația sunt lucruri diferite: înregistrările care trec înseamnă că receptorii pot verifica că e-mailul este al dvs., nu că au încredere în dvs. încă. Domeniile noi câștigă încredere trimițând e-mail consistent, dorit, cu volum mic și crescând gradual. Dacă e-mailul eșuează verificări în loc să ajungă pur și simplu la spam, începeți la reparați SPF și coborâți prin rezultatele scanării.
Trimiteți proprietarului raportul
Dacă configurați acest domeniu pentru un client, închideți jobul cu dovezi. Re-rulați scanarea gratuită după pasul 6 și trimiteți raportul clasificat proprietarului afacerii: SPF, DKIM și DMARC trecând, în limbaj simplu, datat la lansare. Este artefactul de care vor avea nevoie pentru reînnoirea asigurării cibernetice și pentru următorul chestionar de securitate al furnizorilor — și dovedește că domeniul și-a început viața modul în care 96% din internet nu reușește niciodată.
Verificați domeniul → · De la p=none la p=reject fără a pierde e-mailul legitim → · Doar date agregate. Date stocate și procesate în UE.