Defaults.Exposed › Исправления › Guides
Письма из Mailchimp, Brevo или Klaviyo не проходят DMARC? Включите настоящую аутентификацию домена (2026)
Опубликовано 2026-07-08
Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 млн доменов с оценками. См. как мы выставляем оценки.
Платформы рассылок не проходят DMARC, когда отправляют письма «от» вашего домена, не аутентифицируясь как ваш домен. Решение — аутентификация собственного домена на платформе: её DKIM CNAME-записи плюс собственный bounce-домен там, где он предлагается. Этот пробел — норма: из 740 321 доменов, авторизующих SendGrid, лишь 18,0% применяют строгую политику DMARC, по данным переписи Defaults.Exposed из 261 086 232 доменов (2026-06-29).
Исправление — несколько DNS-записей и десять минут в настройках вашей платформы. Ниже: почему общей аутентификации платформы перестало хватать в феврале 2024 года, какой переключатель искать в Mailchimp, Brevo, Klaviyo и SendGrid, и шаги исправления по порядку — включая переезд с адреса From на бесплатной почте, который не спасёт никакая DNS-запись.
Почему письма рассылок не проходят DMARC, хотя платформа говорит, что всё подтверждено?
Потому что платформа аутентифицировала себя, а не вас. «Из коробки» ESP отправляет ваши кампании со своим bounce-доменом в Return-Path и нередко подписывает DKIM тоже своим доменом. Получатели проверяют SPF по домену Return-Path (RFC5321.MailFrom), а не по заголовку From, поэтому SPF проходит без нареканий… для домена платформы.
DMARC не интересует, прошли ли SPF или DKIM сами по себе. Он спрашивает, прошла ли хотя бы одна из этих проверок для домена в вашем адресе From — такое совпадение называется выравниванием. SPF у ESP проходит на её bounce-домене, а не на вашем; без DKIM для собственного домена её подпись стоит на её домене, а не на вашем. Ничего не выравнивается, поэтому ваш домен From не проходит DMARC — а в панели платформы при этом горят зелёные галочки, ведь с её точки зрения аутентификация работает. Включение аутентификации собственного домена (DKIM-подпись от имени вашего домена) — и есть всё решение. Полную механику выравнивания см. в руководстве DMARC не проходит, хотя SPF и DKIM проходят.
Что изменилось в феврале 2024 года?
Google и Yahoo начали принудительно применять требования к массовым отправителям: выровненная аутентификация домена From, опубликованная политика DMARC, отписка в один клик и лимиты на долю жалоб на спам. Короткий путь через общую инфраструктуру — ехать на аутентификации ESP и отправлять с чего угодно — перестал работать. Два следствия для отправителей рассылок:
- Каждая серьёзная ESP теперь настойчиво продвигает аутентификацию собственного домена, потому что кампании без неё начали попадать в спам или отклоняться сразу (версия Gmail — ошибка 550-5.7.26).
- Адреса From на бесплатной почте для массовых рассылок мертвы. Отправлять кампании с
[email protected]через ESP больше нельзя: домены бесплатной почты публикуют строгие политики DMARC, ваша ESP никогда не сможет с ними выровняться, и получатели отклоняют или отправляют в спам всё подряд. В адресе From нужен собственный домен — обходного пути нет.
Полный набор требований — в нашей аналитической статье о требованиях Google и Yahoo к отправителям.
Как этот переключатель называется в Mailchimp, Brevo, Klaviyo и SendGrid?
На каждой платформе одна и та же функция называется по-своему. Результат всегда один — небольшой набор CNAME-записей для вашего DNS; по нему её и узнаёшь, как бы ни назывался пункт меню.
| Платформа | Название функции (примерно) | Что вы добавляете в DNS | Примечания |
|---|---|---|---|
| Mailchimp | Domain authentication | DKIM CNAME-записи (k2._domainkey, k3._domainkey) | Выравнивание только по DKIM — Mailchimp больше не использует SPF-include; не добавляйте его |
| Brevo | Authenticate your domain | Набор DKIM CNAME + запись подтверждения | При настройке сверьте актуальный набор записей с документацией Brevo |
| Klaviyo | Dedicated sending domain | DKIM CNAME-записи + поддомен возвратов (Return-Path) | Выделенный домен отправки даёт вам и выравнивание SPF |
| SendGrid | Domain authentication (automated security) | Набор CNAME-записей (DKIM + return-path) | SPF-include не нужен — его покрывают CNAME-записи |
Два наблюдения, которые стоит отметить. Во-первых, ни одна из этих платформ не хочет, чтобы вы добавляли include: в свою SPF-запись — современная аутентификация ESP делегируется через CNAME, а оставшийся include лишь впустую сжигает лимит DNS-запросов. Во-вторых, делегирование через CNAME — это преимущество: платформа ротирует свои DKIM-ключи за делегированными именами, и вам больше не приходится трогать DNS.
Как исправить сбои DMARC в рассылках, шаг за шагом?
- Запустите бесплатную проверку на defaults.exposed, прежде чем трогать DNS. Она показывает текущее состояние SPF, DKIM и DMARC вашего домена, так что вы увидите разрыв выравнивания, который собираетесь закрыть.
- Включите аутентификацию собственного домена на платформе (таблица выше). Она сгенерирует CNAME-записи, привязанные к вашей учётной записи.
- Добавьте CNAME-записи в DNS ровно в том виде, в каком они выданы. Классическая ошибка: DNS-панели, автоматически дописывающие вашу зону, превращают
k2._domainkey.yourdomain.comвk2._domainkey.yourdomain.com.yourdomain.com. Если ваша панель дописывает домен сама, вставляйте только хостовую часть. Если платформа позже сообщает “no key for signature”, запись селектора не встала — см. DKIM “no key for signature”. - Настройте собственный bounce-домен (Return-Path) там, где платформа его предлагает. Так выравнивается и SPF-ветка, и у DMARC появляется два способа пройти проверку. Там, где такой опции нет (Mailchimp), одного выровненного DKIM достаточно для полного прохождения DMARC — DMARC требует лишь одну выровненную ветку.
- Перенесите адрес From на собственный домен, если он всё ещё на бесплатной почте.
[email protected], а не[email protected]. Это требование, а не пожелание. - Подтвердите настройку на платформе, затем просканируйте домен заново. Дождитесь, пока проверка платформы станет зелёной (DNS может обновляться от минут до нескольких часов), отправьте кампанию самому себе и убедитесь, что в заголовках DKIM подписан вашим доменом. Затем разберитесь со всем остальным, что отмечено на странице исправить DMARC, — если у вашего домена вообще нет записи DMARC, это ваши следующие десять минут.
У скольких отправителей рассылок это действительно настроено?
Перепись считывает это со стороны DNS: для каждой платформы — сколько доменов её авторизуют и сколько из них защищают домен, от имени которого идёт отправка, по данным переписи Defaults.Exposed из 261 086 232 доменов (2026-06-29).
| Платформа (цель SPF) | Доменов, авторизующих её | Строгая политика DMARC |
|---|---|---|
SendGrid (sendgrid.net) | 740 321 | 18,0% |
Mailgun (mailgun.org) | 1 306 692 | 35,9% |
Amazon SES (amazonses.com) | 551 446 | 41,9% |
Данные переписи по состоянию на 2026-06-29. «Строгая политика DMARC» = авторизующий домен публикует p=quarantine или p=reject.
Даже наверху таблицы большинство отправителей на профессиональных платформах оставляют домен без защиты: строгую политику DMARC применяют 41,9% из 551 446 доменов, авторизующих Amazon SES, 35,9% из 1 306 692 у Mailgun — и лишь 18,0% из 740 321 у SendGrid. Инфраструктура профессиональная; защита домена — по большей части нет. Полная лига провайдеров, включая почтовые хостинги, — в статье у какого почтового провайдера самый строгий SPF.
Часто задаваемые вопросы
Нужно ли добавлять Mailchimp в мою SPF-запись?
Нет — и не добавляйте. Mailchimp использует выравнивание только по DKIM через свои CNAME-записи k2/k3 и больше не публикует SPF-include для клиентов. Старый include:servers.mcsv.net ничего не даёт DMARC и впустую расходует лимит DNS-запросов; выровненная ветка здесь — DKIM.
Вытащит ли аутентификация домена мои рассылки из папки со спамом? Она устраняет главную причину — невыровненную почту на домене с политикой DMARC — и является жёстким требованием правил Google/Yahoo. Проблемы качества списка она не решит: высокая доля жалоб и отсутствие отписки в один клик удерживают почту в спаме даже при идеальной аутентификации. Сначала почините аутентификацию — это та часть, у которой есть однозначный ответ.
Могу ли я продолжать отправлять кампании со своего адреса @gmail.com? Нет. Провайдеры бесплатной почты публикуют строгие политики DMARC именно для того, чтобы никто другой не мог отправлять от их имени, а ваша ESP никогда не сможет выровняться с gmail.com. С февраля 2024 года такая почта массово отклоняется или уходит в спам. Единственный путь — адрес From на собственном домене.
Я включил аутентификацию домена — почему DMARC всё равно не проходит? Обычно причина одна из трёх: CNAME-записи испортила DNS-панель, дописывающая зону (шаг 3), домен From в кампании не совпадает с доменом, который вы аутентифицировали, либо параллельно с рассылкой сбоит другой источник отправки. Из всех 261 086 232 доменов переписи 2026-06-29 строгую политику DMARC применяют лишь 10,59% — если ваш домен в их числе, вы уже близко; просканируйте заново и посмотрите, какая ветка не выровнена.
Касается ли это небольших списков — меньше 5 000 писем в день? Формально самые строгие пороги относятся к массовым отправителям, но базовую аутентификацию получатели применяют ко всем, а ESP теперь требуют аутентификацию домена независимо от объёма. Считайте её обязательной: это несколько DNS-записей, и они не дадут вашим кампаниям сломаться в день, когда список вырастет.
Отправьте владельцу отчёт
Если вы чините это для клиента — или рассылка ваша, а DNS нет — завершите работу доказательством. После того как CNAME-записи встанут, заново запустите бесплатную проверку и перешлите владельцу бизнеса отчёт с оценкой: простым языком, с датой, выравнивание DMARC исправлено. Именно этот артефакт отвечает на вопросы при продлении киберстраховки и в следующей анкете безопасности от клиента — задокументированные «до» и «после», а не «я понажимал кнопки в Mailchimp».
Проверьте свой домен → · DMARC не проходит, хотя SPF и DKIM проходят → · Исправить DMARC → · Исправить DKIM → · Как мы выставляем оценки → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.