Defaults.Exposed › Исправления › Guides
Настройка почты на новом домене: чек-лист SPF, DKIM и DMARC за 20 минут (2026)
Опубликовано 2026-07-08
Показатели по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 млн оценённых доменов. См. как мы выставляем оценки.
Новому домену перед первым письмом нужны четыре вещи: отправное сканирование, одна запись SPF с вашим реальным провайдером, подписывание DKIM собственным доменом и запись DMARC с включёнными отчётами с первого дня. Большинство доменов до этого так и не доходят — у 46,4% (121 145 609 из 261 086 232 оценённых доменов) вообще нет SPF, по данным переписи Defaults.Exposed (по состоянию на 2026-06-29).
Публикация всего занимает около 20 минут: сканирование для отправной точки, одна запись SPF, включение DKIM собственного домена у провайдера, публикация DMARC p=none с адресом для отчётов, по желанию MTA-STS, затем повторное сканирование и сохранение отчёта. Дольше занимает то, что не ускорит ни один чек-лист — распространение DNS и репутация отправителя, — и это руководство честно об обоих.
Действительно ли хватит 20 минут?
Для публикации записей — да: каждый шаг ниже — это одна запись в DNS плюс пара кликов в консоли администрирования провайдера. Две вещи занимают дольше, и делать вид, что это не так, — верный путь новых доменов в спам:
- Распространение. Новые записи обычно начинают резолвиться в течение минут, но резолверы кешируют по TTL, и свежеделегированный домен может часами отвечать непоследовательно. Проверяйте через
dig; не правьте в панике, пока кеши догоняют. - Прогрев. У нового домена нулевая репутация отправителя, а аутентификация — предусловие репутации, а не её замена. Начинайте с малого, человеческого объёма и наращивайте постепенно в течение недель.
Честное обещание: 20 минут покупают корректно опубликованную аутентификацию. Следующие несколько недель разумной отправки покупают доставляемость.
Чек-лист на 20 минут
- Сначала запустите бесплатное сканирование на defaults.exposed. Просканируйте новый домен до того, как тронете DNS. Оценённая отправная точка «ничего не настроено» фиксируется за секунды и делает итоговый отчёт осмысленным — вам понадобится пара «до и после» (шаг 6).
- Опубликуйте одну запись SPF для вашего фактического провайдера. Ровно одна TXT-запись, начинающаяся с
v=spf1и содержащая include вашего провайдера — напримерv=spf1 include:_spf.google.com ~allдля Google Workspace илиinclude:spf.protection.outlook.comдля Microsoft 365; если ваш DNS живёт в панели регистратора, причуды интерфейса разобраны в пошаговом руководстве для GoDaddy. Только одна запись: две записиv=spf1— это постоянная ошибка, полностью аннулирующая SPF, — состояние, в котором застряли 1 013 416 доменов, примерно один из 138 доменов, пытающихся использовать SPF (перепись по состоянию на 2026-06-29), обычно как остаток после миграции. Не добавляйте include «на всякий случай»: SPF ограничивает DNS-запросы десятью, и как минимум 797 263 доменов аннулировали свою запись, пробив этот потолок. И знайте, что SPF на самом деле проверяет: получатели вычисляют его по домену Return-Path (RFC5321.MailFrom) — адресу возврата, — а не по заголовку From, который видят ваши получатели. - Включите подписывание DKIM собственным доменом. Провайдер подписывает почту в любом случае; вопрос в том, какой домен называет подпись. Пока вы не завершите этот шаг, Google Workspace подписывает своим умолчанием
gappssmtp.com, а Microsoft 365 —onmicrosoft.com— подписи, которые проходят DKIM, но не выравниваются с вашим доменом, поэтому DMARC всё равно не проходит. Сгенерируйте ключ в консоли администрирования и опубликуйте то, что выдаст провайдер: 2048-битную TXT-запись для Google, два CNAME (selector1/selector2) для Microsoft 365. Если запись не влезает в вашу DNS-панель, см. исправить DKIM — длинные ключи, искалеченные интерфейсами, — это классика. - Опубликуйте DMARC с первого дня —
p=noneс адресом для отчётов. Одна TXT-запись на_dmarc.yourdomain.com:v=DMARC1; p=none; rua=mailto:[email protected]. Будьте честны с собой в том, что это даёт:p=noneпока ничего не защищает — это режим мониторинга. Но он ничего не стоит, и агрегированные отчёты тогда покрывают историю отправки вашего домена с самого первого сообщения. Устоявшиеся домены тратят недели отчётов только на то, чтобы обнаружить отправителей, о которых забыли; вы покупаете эту видимость бесплатно, с нулевого дня. Анатомия записи — в разделе исправить DMARC. - Необязательно, но дёшево на новом домене: MTA-STS и TLS-RPT. MTA-STS сообщает отправляющим серверам, что ваш домен требует TLS для входящей почты (запись в DNS плюс небольшой размещённый файл политики); TLS-RPT сообщает о сбоях шифрования при доставке. На устоявшемся домене с ними нужна осторожность; на новом домене с одним почтовым провайдером ломать нечего, и
mode: testingпрактически безрисков. Настройте их сейчас или пропустите — но примите решение, а не пускайте на самотёк. - Пересканируйте и сохраните отчёт. Запустите сканирование ещё раз — SPF, DKIM и DMARC должны показывать зелёный. Сохраните отчёт с оценкой: датированное доказательство состояния домена на старте — и ровно то, что запросит страховщик или анкета клиента.
Сколько доменов реально доходят до конца этого чек-листа?
Очень немногие — и большинство спотыкаются на первом же барьере. Из 261 086 232 доменов, оценённых в переписи Defaults.Exposed (по состоянию на 2026-06-29):
| Этап чек-листа | Реальность переписи (из 261 086 232 оценённых доменов, по состоянию на 2026-06-29) |
|---|---|
| Шаг 2 — опубликовать хоть какую-то запись SPF | 46,4% так и не делают этого: у 121 145 609 доменов вообще нет SPF |
| Шаг 4+ — DMARC с принудительной политикой | 10,59% (27 640 987 доменов); у 89,41% нет принудительной политики |
| Полная триада — SPF + DKIM + принудительный DMARC | 3,87% (10 092 481 доменов) |
20 минут, описанные на этой странице, выводят совершенно новый домен вперёд примерно 96% интернета по полной триаде. Модель зрелости внедрения SPF разбирает каждую ступень этой лестницы.
Как быстро новый домен может дойти до p=reject?
За недели, а не месяцы — подлинное преимущество чистого старта. Принудительное применение DMARC на устоявшихся доменах замедляет наследие: забытый коннектор CRM, инструмент выставления счетов, который кто-то подключил в 2019 году, платформа рассылок, которую никто не задокументировал. Каждого нужно найти в отчётах и починить, прежде чем политику можно ужесточить, — отсюда стандартное многомесячное развёртывание.
У нового домена нет унаследованных отправителей: каждый источник отправки вы настроили сами, на этой неделе, и отчёты из шага 4 это подтвердят. Отработайте на p=none две–четыре недели реальной отправки, убедитесь, что отчёты покрывают всё, чем вы реально пользуетесь (почтовые ящики, счета, чеки, контактную форму сайта), затем переходите на p=quarantine и дальше на p=reject, как только они станут чистыми. Поэтапная механика — плавный ввод через pct, политика для поддоменов, за чем следить — в руководстве от p=none к p=reject; на новом домене вы пройдёте её быстро — туда, куда добрались лишь 10,59% оценённых доменов.
А что со старым доменом, который вы заменяете?
Если новый домен — часть ребрендинга, домен, который вы оставляете позади, теперь ваш крупнейший почтовый риск: всё ещё ваш, всё ещё пользуется доверием контрагентов, но больше никем не наблюдается. Не бросайте его — явно заприте. Это отдельная короткая работа: тот старый домен после ребрендинга — дверь, которую вы оставили открытой.
Часто задаваемые вопросы
Можно ли опубликовать эти записи до выбора почтового провайдера?
DMARC — да: p=none с rua не зависит от провайдера, публикуйте в день регистрации. SPF требует include вашего провайдера; пока вы его не выбрали, опубликуйте v=spf1 -all (никому не разрешено отправлять) и замените на шаге 2. Это строго лучше состояния «без записи», в котором сидят 121 145 609 доменов (46,4% из 261 086 232 оценённых, по состоянию на 2026-06-29).
Нужен ли DKIM, если SPF уже проходит? Да. SPF по самой своей конструкции ломается при пересылке, и он проверяет домен Return-Path, который у многих инструментов не ваш, — выровненный DKIM — та опора, которая переживает и то и другое. Лишь 3,87% оценённых доменов завершают полную триаду SPF+DKIM+принудительный DMARC (перепись по состоянию на 2026-06-29); DKIM — тот шаг, который бросающие пропускают чаще всего. Если сканирование его отмечает, начните с раздела исправить DKIM.
Что использовать на новом домене — ~all или -all?
На устоявшемся домене ~all — осторожный выбор, пока вы ищете забытых отправителей. У нового домена искать некого: как только include провайдера на месте и DKIM подписывает, -all безопасен куда раньше. Хотите перестраховаться? Сначала подтвердите двумя чистыми неделями отчётов DMARC.
Все три записи проходят — почему моя почта всё равно попадает в спам? Потому что аутентификация и репутация — разные вещи: проходящие записи означают, что получатели могут убедиться, что почта ваша, а не что они вам уже доверяют. Новые домены зарабатывают доверие последовательной, желанной, малообъёмной отправкой с постепенным наращиванием. Если почта именно не проходит проверки, а не просто попадает в спам, начните с раздела исправить SPF и пройдитесь по результатам сканирования.
Отправьте владельцу отчёт
Если вы настраиваете этот домен для клиента, завершите работу доказательством. После шага 6 повторно запустите бесплатное сканирование и перешлите владельцу бизнеса отчёт с оценкой: SPF, DKIM и DMARC проходят, простым языком, с датой запуска. Это документ, который понадобится ему для продления киберстраховки и следующей анкеты безопасности от поставщика, — и он доказывает, что домен начал жизнь так, как 96% интернета не удаётся никогда.
Проверьте свой домен → · От p=none к p=reject без потери легитимной почты → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.