Настройка DKIM, SPF и DMARC на офшорном VPS

SPF (Sender Policy Framework, RFC 7208) - это DNS-запись типа TXT, которая объявляет миру, с каких IP-адресов разрешено отправлять почту от имени вашего домена. Без SPF любой может подделать обратный адрес и спуферить вашу почту.

• Базовый формат: вашдомен IN TXT "v=spf1 a mx ip4:VPS_IP -all" разрешает отправку только с A-записи, MX-серверов и явно указанного IP.
• Механизм a и mx: ссылается на A и MX-записи домена, упрощая поддержку при смене IP.
• ip4 и ip6: явно перечисленные IPv4 и IPv6 адреса отправителей.
• include: делегирование SPF к другому домену, например include:_spf.google.com если используете Gmail для части почты.
• Квалификаторы: -all (hardfail, отвергнуть несоответствующие), ~all (softfail, в спам), ?all (нейтрально).
• Limit на 10 lookups: SPF позволяет максимум 10 DNS lookups в include и a механизмах - превышение делает запись invalid.
• Проверка: mxtoolbox.com SPF check показывает все механизмы и количество lookups.
• Strict mode -all: для серьёзной защиты используйте -all hardfail, чтобы спуферы получали отказ.

На офшорном VPS Anubiz Host достаточно одной строки SPF в DNS, чтобы Gmail и Outlook начали проверять отправителей и блокировать подделки.

DKIM (DomainKeys Identified Mail, RFC 6376) - это механизм, при котором почтовый сервер криптографически подписывает каждое исходящее письмо приватным ключом, а получатели проверяют подпись через публичный ключ в DNS отправителя.

• Селектор и domain: selector._domainkey.вашдомен содержит публичный RSA или Ed25519 ключ.
• Длина ключа: минимум 2048 бит для RSA, рекомендуется 2048 или 4096 бит для долгосрочной безопасности.
• Алгоритмы подписи: rsa-sha256 для совместимости, ed25519-sha256 для современных систем.
• OpenDKIM: milter для Postfix, который автоматически подписывает все исходящие письма заданным селектором.
• Rspamd DKIM: альтернатива OpenDKIM, более производительная и интегрированная с антиспам.
• Ротация ключей: рекомендуется менять DKIM ключи раз в 6-12 месяцев для security.
• Множественные селекторы: разные приложения могут использовать разные DKIM-ключи для разделения логов.
• Подпись body и headers: DKIM подписывает тело письма и важные заголовки (from, to, subject, date).

На офшорном VPS Anubiz Host генерация DKIM-ключа занимает одну команду opendkim-genkey, после чего ключ добавляется в DNS и автоматически подписывает все исходящие письма.

DMARC (Domain-based Message Authentication, Reporting and Conformance, RFC 7489) - это надстройка над SPF и DKIM, которая объявляет, что делать с письмами, не прошедшими аутентификацию, и как отчитываться о нарушениях.

• Запись DMARC: _dmarc.вашдомен IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@вашдомен; sp=reject; aspf=s; adkim=s"
• Policy p=none: только мониторинг без блокировки - используется на старте для сбора отчётов.
• Policy p=quarantine: подозрительные письма попадают в спам - промежуточный шаг.
• Policy p=reject: жёсткий отказ от писем, не прошедших SPF или DKIM - финальная цель.
• Aggregate reports rua: ежедневные XML-отчёты от провайдеров о попытках спуфинга вашего домена.
• Forensic reports ruf: детальные отчёты по конкретным неудачам аутентификации - опционально.
• Subdomain policy sp: отдельная политика для поддоменов, обычно sp=reject для маркетинговых субдоменов.
• Alignment aspf и adkim: strict mode требует полного совпадения From-домена с SPF и DKIM доменами.
• DMARC analyzer: сервисы вроде dmarcian, postmarkapp.com/dmarc парсят XML отчёты в человекочитаемый формат.

После 4-6 недель с p=none и сбора отчётов можно безопасно переключиться на p=quarantine, а ещё через месяц - на p=reject. На офшорном VPS Anubiz Host эта последовательность даёт почти 100 процентов защиты от спуфинга домена при сохранении легитимной доставки.