SPF (политика отправителя)

SPF (Sender Policy Framework) — это протокол аутентификации электронной почты, который позволяет владельцам доменов объявлять, какие почтовые серверы уполномочены отправлять сообщения от имени их домена. Он работает через публикацию DNS TXT-записи, содержащей список одобренных IP-адресов, имён хостов серверов и директив include. Когда принимающий почтовый сервер получает входящее сообщение, он выполняет SPF-запрос к домену отправителя, сравнивает IP-адрес отправляющего сервера с SPF-записью и решает — принять, пометить или отклонить сообщение на основе результата. SPF является одним из трёх основных стандартов аутентификации электронной почты, наряду с DKIM (криптографическая подпись сообщений) и [DMARC](/glossary/dmarc) (применение политик).

Без SPF-записи любой сервер в интернете может заявить, что отправляет электронную почту от имени вашего домена. Злоумышленники используют это через подмену домена (domain spoofing) — центральную технику фишинговых кампаний, компрометации деловой переписки и рассылки спама. Отсутствующая или неправильно настроенная SPF-запись также ухудшает доставляемость легитимных писем: крупные провайдеры Gmail, Outlook и Yahoo всё чаще отклоняют или помещают в карантин сообщения с доменов без надлежащей аутентификации. Для издателей, распространяющих контент по электронной почте — отправка ссылок на флипбуки, уведомлений о захвате лидов или OTP-кодов — SPF напрямую влияет на то, попадут ли эти сообщения в папку «Входящие» или исчезнут в спаме.

FlipLink отправляет несколько типов писем от имени издателей: уведомления о захвате лидов, ссылки для обмена публикациями, OTP-коды верификации и запросы на утверждение документов. Эти письма отправляются через верифицированную инфраструктуру FlipLink, которая поддерживает собственные SPF-записи для обеспечения доставляемости. Если вы используете [пользовательский домен](/features/custom-domains) для публикаций FlipLink и хотите, чтобы почтовые коммуникации исходили от этого домена или ссылались на него, необходимо добавить серверы отправки FlipLink в SPF-запись вашего домена. Это сообщает почтовым серверам получателей, что FlipLink уполномочен отправлять от вашего имени, предотвращая пометку сообщений как подозрительных. Настройка занимает несколько минут в панели управления DNS и применяется глобально ко всем публикациям под этим доменом.

SPF-запись — это единственная DNS TXT-запись, привязанная к вашему домену. Она использует специальный синтаксис для определения правил авторизации: - **`v=spf1`** — объявляет версию SPF (всегда версия 1) - **`ip4:` / `ip6:`** — авторизует конкретные IP-адреса или CIDR-диапазоны - **`include:`** — ссылается на SPF-запись другого домена (обычно используется для сторонних отправителей) - **`a` / `mx`** — авторизует IP-адреса, связанные с A- или MX-записями вашего домена - **`~all`** (softfail) — помечает неавторизованных отправителей как подозрительных, но всё равно доставляет - **`-all`** (hardfail) — полностью отклоняет почту от неавторизованных отправителей SPF имеет ограничение в 10 запросов для DNS-lookup в рамках одной записи. Превышение этого лимита приводит к сбою всей SPF-проверки — распространённая проблема для доменов, использующих множество сторонних почтовых сервисов. Каждая директива `include:` считается как один запрос, а вложенные include учитываются в общем лимите.

Следуйте этим шагам для настройки SPF вашего домена при использовании FlipLink: 1. **Определите текущую SPF-запись** — Используйте инструмент DNS-запросов или DNS-панель вашего регистратора, чтобы проверить, существует ли уже TXT-запись, начинающаяся с `v=spf1` 2. **Перечислите всех авторизованных отправителей** — Соберите значения SPF include для каждого сервиса, отправляющего электронную почту с вашего домена (почтовый провайдер, маркетинговые инструменты и FlipLink) 3. **Добавьте серверы FlipLink** — Добавьте директиву авторизованного сервера отправки FlipLink в существующую SPF-запись 4. **Установите уровень применения** — Используйте `~all` (softfail) вначале для мониторинга без блокировки, затем переключитесь на `-all` (hardfail) после подтверждения включения всех легитимных отправителей 5. **Проверьте количество запросов** — Убедитесь, что запись остаётся в пределах лимита 10 запросов с помощью инструмента валидации SPF 6. **Протестируйте доставку** — Отправьте тестовое письмо через FlipLink (запустите захват лида или поделитесь публикацией) и проверьте заголовки письма на наличие `spf=pass` 7. **Регулярно проводите мониторинг** — Пересматривайте SPF-запись при каждом добавлении или удалении сервиса отправки электронной почты с вашего домена

**«SPF достаточно для защиты моего домена.»** SPF проверяет только IP-адрес отправляющего сервера — он не проверяет видимый адрес «От», который видят получатели. Полная защита требует SPF в сочетании с DKIM (подписывает содержимое сообщения) и DMARC (связывает результаты SPF и DKIM с видимым адресом отправителя и определяет политику для сбоев). **«SPF применяется к адресу, отображаемому во входящих.»** На самом деле SPF проверяет адрес «envelope from» (также называемый return-path), который скрыт от получателя. Заголовок «От», который пользователи видят в почтовом клиенте, управляется выравниванием DMARC, а не одним SPF. **«Чем больше директив include, тем сильнее моя SPF-запись.»** Каждый `include:` добавляется к лимиту 10 запросов. Чрезмерное включение может фактически полностью сломать вашу SPF-запись, вызывая постоянную ошибку при всех проверках. Включайте только сервисы, которые активно отправляют электронную почту с вашего домена. **«Я настроил SPF один раз и больше не нужно к нему возвращаться.»** SPF-записи требуют обслуживания. Добавление нового инструмента email-маркетинга, смена CRM-провайдера или подключение сервиса вроде FlipLink — всё это требует обновления записи. Устаревшие записи для выведенных из эксплуатации сервисов тратят слоты запросов и могут создавать уязвимости в безопасности.