Назад в базу знаний
SPF
SPF: какие серверы могут отправлять почту от имени домена
SPF проверяет, разрешен ли IP-адрес SMTP-сервера для отправки писем от имени домена envelope sender.
Что проверяем
- наличие единственной TXT-записи v=spf1
- совпадение IP отправителя с механизмами SPF
- корректность mx, include, ip4, ip6, a и финального all
- отсутствие синтаксических ошибок и лишних SPF-записей
Почему это важно
- SPF помогает получателю отличить легитимный сервер от подделки отправителя.
- Ошибка SPF вместе с проблемным DKIM часто ломает DMARC и ухудшает доставку.
- Для сервисов рассылок SPF должен учитывать все реальные источники отправки.
Симптомы проблемы
- SPF fail, softfail, neutral или none в отчете
- письма от домена попадают в спам у части получателей
- mail-tester и другие тестеры показывают разные результаты из-за DNS или маршрута отправки
Как исправить
- Определите фактический IP или сервис, который отправляет письмо.
- Оставьте у домена одну SPF-запись и включите туда все легитимные источники.
- Для собственного MX используйте mx только если MX действительно указывает на исходящий сервер.
- Для внешнего сервиса добавьте рекомендованный include, но следите за лимитом DNS lookup.
- После стабилизации политики используйте -all или ~all осознанно, не как случайную заглушку.
Как проверить после исправления
- Проверьте TXT домена публичным резолвером.
- Отправьте новое письмо в MailAudit и убедитесь, что SPF стал pass.
- Сравните IP в отчете с фактическим исходящим IP почтового сервера.
Типовые ошибки
- две SPF-записи у одного домена
- SPF разрешает входящий MX, но исходящая почта уходит с другого IP
- include добавлен для сервиса, который уже не используется
- внутренний DNS отвечает иначе, чем публичные резолверы
Проверьте это на своем письме
Отправьте письмо в MailAudit и получите отчет с конкретными значениями SPF, DKIM, DMARC, заголовков и рекомендациями.
