Defaults.Exposed › Настройка › SPF

Как настроить SPF в Cloudflare

Добавьте SPF-запись в DNS на Cloudflare, чтобы почтовые провайдеры могли отличить ваши настоящие письма от подделок.

Почему это важно для вашего бизнеса

SPF (Sender Policy Framework, политика отправителя) — это короткая запись в DNS вашего домена, которая перечисляет, каким почтовым серверам разрешено отправлять письма от вашего имени. Когда кто-то получает сообщение, якобы от вас, его почтовый провайдер сверяется с этим списком. Если отправляющего сервера в нём нет, письмо выглядит подозрительно — и либо попадает в спам, либо блокируется.

Проще говоря: SPF затрудняет выдачу себя за ваш бизнес по электронной почте и помогает вашим настоящим письмам попадать во «Входящие», а не в папку «Спам». Это всего одна запись, она бесплатна и настраивается за несколько минут.

Прежде чем начать: действительно ли вашим DNS управляет Cloudflare?

На этом шаге ошибается большинство. DNS-запись работает только в том случае, если именно Cloudflare отвечает на DNS-запросы по вашему домену.

Cloudflare — это DNS-хостер, а не почтовый провайдер: он отвечает на DNS-запросы, но не обслуживает ваши почтовые ящики. Чтобы DNS на Cloudflare работал, серверы имён (nameservers) вашего домена (заданные там, где вы регистрировали домен) должны указывать на два сервера имён Cloudflare, показанные в вашей панели управления Cloudflare. В Cloudflare откройте домен и проверьте страницу Overview: там будет указано, активен ли Cloudflare для домена. Если ваши серверы имён по-прежнему указывают на регистратора или другого хостера, всё, что вы добавите в Cloudflare, не даст эффекта — добавляйте SPF-запись там, где на самом деле живёт ваш DNS.

Сначала выясните один факт: кто отправляет вашу почту?

SPF должен перечислять каждый сервис, который шлёт почту от вашего домена. Типичные примеры — Google Workspace, Microsoft 365 или тот провайдер, у которого размещены ваши почтовые ящики. Каждый из них публикует значение для вашей SPF-записи (часто что-то вроде include:_spf.google.com для Google или include:spf.protection.outlook.com для Microsoft 365). Точное значение посмотрите в справке вашего почтового провайдера — именно эту часть важно указать без ошибок.

Если вы используете Cloudflare Email Routing для пересылки почты, учтите: он добавляет собственные DNS-записи для пересылки, но не отправляет исходящую почту от вашего имени — ваш SPF всё равно должен перечислять тот сервис, с которого вы на самом деле отправляете письма.

Пошагово в Cloudflare

1. Войдите в Cloudflare и выберите свой домен в панели управления.
2. В левом меню перейдите в настройки DNS (ищите DNS / Records).
3. Нажмите Add record.
4. Установите Type в TXT.
5. В поле Name введите @ — символ @ означает «сам домен». Не вписывайте сюда полное имя домена.
6. В поле Content введите текст SPF. Типичная запись выглядит так: v=spf1 include:_spf.google.com ~all Замените часть include: на значение(я), которые вам предписывает ваш реальный почтовый провайдер.
7. Оставьте TTL в значении Auto.
8. Нажмите Save.

Особенности Cloudflare, на которых ошибаются

• Только одна SPF-запись на домен. Двух TXT-записей v=spf1 быть не может — почтовые провайдеры сочтут это поломкой. Если запись уже есть, отредактируйте её, добавив новый сервис, а не создавайте вторую.
• Не оборачивайте в кавычки. Cloudflare сам обрабатывает кавычки. Просто вставьте обычный текст, начинающийся с v=spf1. Если добавите собственные знаки ", можете получить некорректную запись.
• Name — это @, а не ваш домен. Если вписать полное имя домена, Cloudflare обычно всё равно свернёт его к корню, но @ — это ясный и надёжный выбор.
• Прокси (оранжевое облако) тут ни при чём. SPF находится в TXT-записи, которая никогда не проксируется — для TXT-записи нет переключателя оранжевого/серого облака, о котором стоило бы беспокоиться.
• ~all против -all. ~all (мягкий отказ) означает «всё, чего нет в списке, подозрительно»; -all (жёсткий отказ) означает «отклонять всё, чего нет в списке». Начните с ~all, пока убеждаетесь, что вся почта отправляется правильно, затем ужесточите до -all, когда уверены, что список полон.
• Изменения не мгновенны. Обновление DNS может занять от нескольких минут до пары часов.

Проверьте, что всё сработало

После сохранения записи и небольшого ожидания проверьте её бесплатной проверкой на этом сайте. Она понятным языком скажет, присутствует ли ваша SPF-запись и правильно ли она составлена.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.