Как объединить записи SPF?

Если вы используете GetResponse вместе с другими почтовыми сервисами (например, корпоративным почтовым провайдером), вам может понадобиться добавить более одного авторизованного отправителя в SPF-запись вашего домена.

Однако ваш домен может иметь только одну SPF-запись в своей DNS-зоне.
Если существует более одной SPF TXT-записи, проверка SPF завершится неудачей, и сообщения могут не пройти проверку аутентификации.

Если вам нужно авторизовать несколько сервисов (например, GetResponse и корпоративный почтовый сервис), вы должны объединить все механизмы SPF в одну запись.

Понимание механизмов SPF-записи

Давайте рассмотрим пример: ваш домен уже отправляет письма через Google Workspace и имеет следующую SPF-запись:

v=spf1 include:_spf.google.com ~all

Теперь вы хотите аутентифицировать домен для отправки кампаний через GetResponse, что требует добавления другой записи:

v=spf1 mx a include:_spf.getresponse.com -all

Так как добавить вторую SPF-запись нельзя, их нужно объединить.

Чтобы понять, как это сделать, разберём компоненты SPF-записи:

• Каждая SPF-запись начинается с префикса: v=spf1.
  Он обозначает запись TXT как SPF-запись (версия 1). Хотя в DNS можно иметь несколько TXT-записей, только одна может содержать v=spf1.
• Механизм a сам по себе использует A-запись текущего домена. Если после него указать домен или имя хоста, используется соответствующая A-запись (a:domain.com). Это позволяет обновлять DNS без изменения SPF-записи.
• Механизм mx авторизует почтовые серверы, указанные в MX-записях домена.
  Если ваш домен отправляет письма через собственный почтовый сервер, этот механизм гарантирует прохождение проверки SPF.
• Механизм include (например: include:_spf.getresponse.com) позволяет включить SPF-политику другого домена в вашу. На практике, добавляя include:_spf.getresponse.com, вы добавляете IP-адреса отправки, указанные в _spf.getresponse.com. Аналогично, include:_spf.google.com использует IP-адреса Google, указанные там.
• Механизм all: SPF-запись должна заканчиваться квалификатором all. Он определяет, что происходит, если сообщение не соответствует ни одному авторизованному источнику. Существуют четыре квалификатора:
  • +all (не рекомендуется, по умолчанию, редко используется явно)
  • ?all – нейтральный (не рекомендуется)
  • -all – жесткий отказ (не рекомендуется, неавторизованные письма отклоняются)
  • ~all – мягкий отказ (рекомендуется, неавторизованные письма принимаются, но помечаются)
    В SPF-записи может быть только одна инструкция all, и она должна быть в конце.

Как объединить SPF-записи

Существующая запись (Google Workspace):

v=spf1 include:_spf.google.com ~all

Требование GetResponse:

v=spf1 mx a include:_spf.getresponse.com -all

Вот что нужно сделать, чтобы их объединить:

1. Сохраните префикс версии.
   
   v=spf1
   
   
2. Добавьте все необходимые механизмы (без дублирования).
   Если одна из записей содержит a или mx, сохраните их, но если обе записи содержат их, добавьте только один раз.
   
   v=spf1 mx a
   
   
3. Добавьте новую инструкцию include для GetResponse и сохраните include из существующей записи.
   
   v=spf1 mx a include:_spf.google.com include:_spf.getresponse.com
   
   
4. Добавьте один механизм all. Настоятельно рекомендуется использовать ~all.
   
   v=spf1 mx a include:_spf.google.com include:_spf.getresponse.com ~all

   

Итоговая запись, которой нужно заменить текущую:

v=spf1 mx a include:_spf.google.com include:_spf.getresponse.com ~all

Основные правила

• Только одна SPF-запись на домен
• Только одна v=spf1
• Только один механизм all
• Не дублируйте записи a или mx
• Всегда проверяйте обновлённую SPF-запись после распространения DNS

Правильное объединение SPF-записей гарантирует, что письма, отправленные через GetResponse и другие сервисы, проходят проверку аутентификации, что помогает поддерживать доставляемость и репутацию отправителя.