DMARC DKIM SPF Setup Explained: A Non-Technical Guide for Business Owners Configuración de DMARC, DKIM y SPF explicada: Guía no técnica para dueños de negocio Configuration DMARC, DKIM et SPF expliquée : un guide non technique pour les chefs d'entreprise DMARC・DKIM・SPF設定をわかりやすく解説:ビジネスオーナーのための非技術者向けガイド DMARC, DKIM und SPF einfach erklärt: Ein Leitfaden für Geschäftsinhaber ohne Technik-Jargon Configuração de DMARC, DKIM e SPF Explicada: Um Guia Não Técnico para Empresários DMARC DKIM SPF 설정 완벽 가이드: 비즈니스 소유자를 위한 비기술적 설명 Настройка DMARC, DKIM и SPF: простое руководство для владельцев бизнеса إعداد DMARC وDKIM وSPF: دليل مبسط لأصحاب الشركات
If you send email from your own domain, you have probably heard the alphabet soup: SPF, DKIM, DMARC. These three protocols decide whether your emails land in the inbox or get flagged as spam. This guide explains each one in plain English, shows you how to check your setup for free, and reveals what a tool like GridInbox can handle automatically so you never have to touch a DNS record again.
DMARC, DKIM, and SPF are the three pillars of email authentication that tell email providers you are not a spammer.
Think of your email as a package. SPF is the sender's ID on the shipping label. DKIM is a tamper-proof seal on the box. DMARC is the instruction manual for the post office: “If the ID or seal is missing, here is what to do with the package.” Together, they prove that an email actually came from your domain and was not forged by someone else.
SPF: A list of IP addresses that are allowed to send email on behalf of your domain. It stops bad actors from using your domain in the “From” address of their spam emails.
DKIM: A digital signature added to every outgoing email. The receiving server checks this signature against a public key published in your DNS. If the signature is valid, the email was not altered in transit and really came from you.
DMARC: A policy rule that tells receiving servers what to do with emails that fail SPF or DKIM checks. Options: do nothing (monitor), quarantine (send to spam), or reject (block entirely). DMARC also gives you reports showing who is sending email using your domain.
Without proper DMARC, DKIM, and SPF setup, your email deliverability drops dramatically and your domain can be spoofed.
According to a 2024 report by Valimail, 74% of domains that send email still have no DMARC policy. That means 3 out of 4 business domains are wide open to impersonation. When a spammer sends an email that looks like it came from you, your customers get scammed and your domain gets blacklisted. Even legitimate emails from your own team can land in spam if your authentication records are missing or misconfigured.
Real numbers: Google and Yahoo now require DMARC for bulk senders (over 5,000 messages per day). Starting in February 2024, both providers began rejecting emails that fail SPF or DKIM for high-volume senders. For smaller senders, the impact is still severe. A study by MXToolbox found that domains with valid SPF and DKIM records see inbox placement rates above 95%, while domains with no authentication see rates as low as 60%.
What happens when you skip email authentication
Your domain gets used in phishing attacks. Your legitimate emails bounce or go to spam. Your brand reputation suffers. And you lose money. For a small business, one spoofed email can cost tens of thousands in fraud recovery and lost customer trust.
You can verify your current DMARC, DKIM, and SPF setup for free using online tools.
You do not need to be a DNS expert to check your records. Here are three free tools that will tell you exactly what is working and what is missing.
MXToolbox
Go to mxtoolbox.com and enter your domain name. Use the “SPF Record Check” tool. It will show you your SPF record if one exists, and flag any syntax errors. A valid SPF record looks something like: v=spf1 include:_spf.google.com ~all. The tool also has a “DKIM Lookup” where you enter your domain and a selector (usually “default” or “google” if you use Google Workspace).
DMARC Analyzer
Use dmarcanalyzer.com/dmarc-check. Enter your domain and it will show your DMARC record, if any. A valid DMARC record looks like: v=DMARC1; p=none; rua=mailto:[email protected]. The “p” value tells you the policy: none (monitor only), quarantine, or reject. Most experts recommend starting with “none” to collect data, then moving to “quarantine” and finally “reject” after a few weeks.
Google Postmaster Tools
If you send a lot of email to Gmail users, set up Google Postmaster Tools. It gives you a dashboard showing your domain reputation, spam rate, and authentication pass/fail rates. It is free and only requires verifying your domain with a DNS TXT record.
Tip: Run all three checks at least once a month. Email authentication records can change when you add a new email service provider or switch hosting.
Setting up SPF, DKIM, and DMARC manually requires editing DNS records, which is where most small business owners get stuck.
Each protocol requires a specific DNS record. Here is the step-by-step for each one, but be warned: one typo can break your email for hours or days.
SPF setup
Create a TXT record for your domain with the value: v=spf1 include:your-email-provider.com ~all. Replace “your-email-provider.com” with the domain of your email service (e.g., spf.google.com for Google Workspace, spf.mandrillapp.com for Mailchimp). The “~all” means soft fail (mark as suspicious but deliver). Use “-all” for hard fail (reject) only after testing. Important: You cannot have more than 10 DNS lookups in one SPF record. Each “include” counts as one lookup.
DKIM setup
Your email provider will give you a DKIM selector and a public key. Go to your DNS provider and create a TXT record with the name “selector._domainkey.yourdomain.com”. The value is the public key string your provider gave you. For Google Workspace, the selector is usually “google”. So the full record name is “google._domainkey.yourdomain.com”.
DMARC setup
Create a TXT record with the name “_dmarc.yourdomain.com”. The value starts with “v=DMARC1; p=none;”. Add “rua=mailto:[email protected]” to receive aggregate reports. These reports tell you which senders are using your domain and whether they pass authentication. After a few weeks of monitoring, change “p=none” to “p=quarantine” and eventually “p=reject”.
This process is tedious and error-prone. One small business owner I worked with accidentally set “p=reject” before testing and blocked all their own customer emails for two days. That is why many teams turn to a solution that handles these records automatically.
GridInbox automates DMARC, DKIM, and SPF configuration so you never have to touch DNS records again.
GridInbox is a multi-tenant email alias management SaaS that works with AWS SES and Cloudflare Email Routing. When you connect your domain to GridInbox, the platform automatically generates and publishes the correct SPF, DKIM, and DMARC records for your sending infrastructure. You do not need to copy-paste keys or count DNS lookups.
Here is what GridInbox handles automatically:
- SPF record generation: GridInbox creates an SPF record that includes all the IP ranges for AWS SES and Cloudflare Email Routing, with the correct “include” statements and the right soft/hard fail policy based on your preference.
- DKIM signing: Every email sent through GridInbox is automatically DKIM-signed with a unique key per domain. The public key is published in your DNS via the GridInbox integration.
- DMARC policy management: GridInbox sets a DMARC record with “p=none” by default, then provides a dashboard where you can see authentication pass/fail rates. Once you are comfortable, you can flip the switch to “quarantine” or “reject” with one click.
- Continuous monitoring: GridInbox alerts you if any of your records change or expire. You get weekly reports showing how many emails passed or failed authentication.
For example, a small ecommerce company using GridInbox set up 50 email aliases for their support team (help@, orders@, billing@) and never had to configure a single DNS record. Their deliverability rate went from 78% to 99% within two weeks because the authentication records were correct and complete.
GridInbox also supports team shared inboxes with role-based access control (RBAC) and unlimited aliases. If you send email from multiple domains or manage aliases for clients, GridInbox handles authentication for every domain in one place.
Common mistakes in DMARC, DKIM, and SPF setup that hurt deliverability (and how to avoid them)
Even experienced IT pros make these errors. Here are the top five and how GridInbox prevents them.
Mistake 1: Using multiple SPF records
You can only have one SPF record per domain. If you add a second one, both are ignored. GridInbox merges all your SPF includes into a single record automatically.
Mistake 2: Forgetting to include all sending services
If you use Gmail, Mailchimp, and a transactional email service, each one needs an “include” in your SPF record. Miss one, and emails from that service fail SPF. GridInbox scans your connected services and includes them all.
Mistake 3: Setting DMARC to “reject” too early
If you set “p=reject” without testing, you block legitimate emails from services you forgot to include. GridInbox starts with “p=none” and only moves to stricter policies after you review the data.
Mistake 4: Using the wrong DKIM selector
Each email provider uses a different DKIM selector. If you copy the wrong one, your DKIM signature will not match the public key. GridInbox generates the correct selector for AWS SES and Cloudflare automatically.
Mistake 5: Not monitoring DMARC reports
DMARC reports are XML files that are hard to read. Most people ignore them. GridInbox parses those reports into a simple dashboard showing pass/fail rates and top sending sources.
Frequently Asked Questions
What is DMARC DKIM SPF setup explained in simple terms?
DMARC, DKIM, and SPF are three email authentication protocols that work together to prove your emails are legitimate and not forged. SPF lists which servers can send email for your domain, DKIM adds a digital signature to each email, and DMARC tells email providers what to do if those checks fail.
Do I need DMARC DKIM and SPF for email deliverability?
Yes. Without all three, your emails are more likely to land in spam folders or be rejected entirely. Google and Yahoo now require DMARC for bulk senders, and even small senders see deliverability drop by 20-40% without proper authentication.
How do I check if my DMARC DKIM and SPF are set up correctly?
Use free tools like MXToolbox for SPF and DKIM checks, and DMARC Analyzer for your DMARC policy. Enter your domain and the tools will show you your current records and any errors. Run these checks at least once a month.
What happens if I don't set up DMARC DKIM and SPF?
Your domain is vulnerable to spoofing and phishing attacks. Spammers can send emails that look like they come from you, damaging your brand and potentially costing you money. Your legitimate emails may also bounce or go to spam, reducing customer engagement.
Can I set up DMARC DKIM and SPF without touching DNS?
Yes, if you use a service like GridInbox that integrates with your DNS provider via API. GridInbox automatically creates and manages the required DNS records for SPF, DKIM, and DMARC so you never have to edit records manually.
How long does it take for DMARC DKIM and SPF changes to take effect?
DNS changes typically propagate within 1 to 48 hours, though most updates take effect within 15-30 minutes. DMARC policy changes (like moving from p=none to p=reject) should be tested for at least 2 weeks before switching to a stricter policy.
Si envías correos desde tu propio dominio, seguramente has oído la sopa de letras: SPF, DKIM, DMARC. Estos tres protocolos deciden si tus correos llegan a la bandeja de entrada o terminan marcados como spam. Esta guía explica cada uno en español sencillo, te muestra cómo verificar tu configuración gratis y revela lo que una herramienta como GridInbox puede manejar automáticamente para que nunca más tengas que tocar un registro DNS.
DMARC, DKIM y SPF son los tres pilares de la autenticación de correo que les indican a los proveedores de email que no eres un spammer.
Imagina tu correo como un paquete. SPF es la identificación del remitente en la etiqueta de envío. DKIM es un sello a prueba de manipulaciones en la caja. DMARC es el manual de instrucciones para la oficina de correos: "Si falta la identificación o el sello, esto es lo que debes hacer con el paquete". Juntos, demuestran que un correo realmente proviene de tu dominio y no fue falsificado por alguien más.
SPF: Una lista de direcciones IP autorizadas para enviar correo en nombre de tu dominio. Evita que actores malintencionados usen tu dominio en la dirección "De" de sus correos spam.
DKIM: Una firma digital añadida a cada correo saliente. El servidor receptor verifica esta firma contra una clave pública publicada en tu DNS. Si la firma es válida, el correo no fue alterado en tránsito y realmente vino de ti.
DMARC: Una regla de política que indica a los servidores receptores qué hacer con los correos que fallan las verificaciones SPF o DKIM. Opciones: no hacer nada (monitorear), poner en cuarentena (enviar a spam) o rechazar (bloquear por completo). DMARC también te proporciona informes que muestran quién está enviando correos usando tu dominio.
Sin una configuración adecuada de DMARC, DKIM y SPF, la entregabilidad de tu correo cae drásticamente y tu dominio puede ser suplantado.
Según un informe de 2024 de Valimail, el 74% de los dominios que envían correo aún no tienen una política DMARC. Eso significa que 3 de cada 4 dominios comerciales están completamente expuestos a la suplantación. Cuando un spammer envía un correo que parece venir de ti, tus clientes son estafados y tu dominio es incluido en listas negras. Incluso los correos legítimos de tu propio equipo pueden terminar en spam si tus registros de autenticación faltan o están mal configurados.
Cifras reales: Google y Yahoo ahora exigen DMARC para remitentes masivos (más de 5,000 mensajes por día). A partir de febrero de 2024, ambos proveedores comenzaron a rechazar correos que fallan SPF o DKIM para remitentes de alto volumen. Para remitentes más pequeños, el impacto sigue siendo severo. Un estudio de MXToolbox encontró que los dominios con registros SPF y DKIM válidos tienen tasas de colocación en la bandeja de entrada superiores al 95%, mientras que los dominios sin autenticación tienen tasas tan bajas como el 60%.
Qué sucede cuando omites la autenticación de correo
Tu dominio se utiliza en ataques de phishing. Tus correos legítimos rebotan o van a spam. Tu reputación de marca se resiente. Y pierdes dinero. Para una pequeña empresa, un solo correo suplantado puede costar decenas de miles en recuperación de fraudes y pérdida de confianza del cliente.
Puedes verificar tu configuración actual de DMARC, DKIM y SPF gratis usando herramientas en línea.
No necesitas ser un experto en DNS para revisar tus registros. Aquí tienes tres herramientas gratuitas que te dirán exactamente qué funciona y qué falta.
MXToolbox
Ve a mxtoolbox.com e ingresa tu nombre de dominio. Usa la herramienta "SPF Record Check". Te mostrará tu registro SPF si existe, y señalará cualquier error de sintaxis. Un registro SPF válido se ve así: v=spf1 include:_spf.google.com ~all. La herramienta también tiene una opción "DKIM Lookup" donde ingresas tu dominio y un selector (generalmente "default" o "google" si usas Google Workspace).
DMARC Analyzer
Usa dmarcanalyzer.com/dmarc-check. Ingresa tu dominio y te mostrará tu registro DMARC, si existe. Un registro DMARC válido se ve así: v=DMARC1; p=none; rua=mailto:[email protected]. El valor "p" indica la política: none (solo monitoreo), quarantine o reject. La mayoría de los expertos recomiendan comenzar con "none" para recopilar datos, luego pasar a "quarantine" y finalmente a "reject" después de unas semanas.
Google Postmaster Tools
Si envías muchos correos a usuarios de Gmail, configura Google Postmaster Tools. Te ofrece un panel con tu reputación de dominio, tasa de spam y tasas de aprobación/fallo de autenticación. Es gratuito y solo requiere verificar tu dominio con un registro TXT en DNS.
Consejo: Ejecuta las tres verificaciones al menos una vez al mes. Los registros de autenticación de correo pueden cambiar cuando agregas un nuevo proveedor de servicios de correo o cambias de hosting.
Configurar SPF, DKIM y DMARC manualmente requiere editar registros DNS, que es donde la mayoría de los dueños de negocio se quedan atascados.
Cada protocolo requiere un registro DNS específico. Aquí tienes el paso a paso para cada uno, pero cuidado: un solo error tipográfico puede romper tu correo durante horas o días.
Configuración de SPF
Crea un registro TXT para tu dominio con el valor: v=spf1 include:tu-proveedor-email.com ~all. Reemplaza "tu-proveedor-email.com" con el dominio de tu servicio de correo (ej. spf.google.com para Google Workspace, spf.mandrillapp.com para Mailchimp). El "~all" significa fallo suave (marcar como sospechoso pero entregar). Usa "-all" para fallo duro (rechazar) solo después de probar. Importante: No puedes tener más de 10 consultas DNS en un solo registro SPF. Cada "include" cuenta como una consulta.
Configuración de DKIM
Tu proveedor de correo te dará un selector DKIM y una clave pública. Ve a tu proveedor de DNS y crea un registro TXT con el nombre "selector._domainkey.tudominio.com". El valor es la cadena de clave pública que te dio tu proveedor. Para Google Workspace, el selector suele ser "google". Por lo tanto, el nombre completo del registro es "google._domainkey.tudominio.com".
Configuración de DMARC
Crea un registro TXT con el nombre "_dmarc.tudominio.com". El valor comienza con "v=DMARC1; p=none;". Agrega "rua=mailto:[email protected]" para recibir informes agregados. Estos informes te indican qué remitentes están usando tu dominio y si pasan la autenticación. Después de unas semanas de monitoreo, cambia "p=none" a "p=quarantine" y eventualmente a "p=reject".
Este proceso es tedioso y propenso a errores. Un pequeño empresario con el que trabajé configuró accidentalmente "p=reject" antes de probar y bloqueó todos los correos de sus propios clientes durante dos días. Por eso muchos equipos recurren a una solución que maneja estos registros automáticamente.
GridInbox automatiza la configuración de DMARC, DKIM y SPF para que nunca más tengas que tocar registros DNS.
GridInbox es un SaaS de gestión de alias de correo multiinquilino que funciona con AWS SES y Cloudflare Email Routing. Cuando conectas tu dominio a GridInbox, la plataforma genera y publica automáticamente los registros SPF, DKIM y DMARC correctos para tu infraestructura de envío. No necesitas copiar y pegar claves ni contar consultas DNS.
Esto es lo que GridInbox maneja automáticamente:
- Generación de registros SPF: GridInbox crea un registro SPF que incluye todos los rangos IP de AWS SES y Cloudflare Email Routing, con las declaraciones "include" correctas y la política de fallo suave o duro adecuada según tu preferencia.
- Firma DKIM: Cada correo enviado a través de GridInbox se firma automáticamente con DKIM usando una clave única por dominio. La clave pública se publica en tu DNS mediante la integración con GridInbox.
- Gestión de políticas DMARC: GridInbox establece un registro DMARC con "p=none" por defecto, y luego proporciona un panel donde puedes ver las tasas de aprobación/fallo de autenticación. Una vez que te sientas cómodo, puedes cambiar a "quarantine" o "reject" con un solo clic.
- Monitoreo continuo: GridInbox te alerta si alguno de tus registros cambia o expira. Recibes informes semanales que muestran cuántos correos pasaron o fallaron la autenticación.
Por ejemplo, una pequeña empresa de comercio electrónico que usa GridInbox configuró 50 alias de correo para su equipo de soporte (help@, orders@, billing@) y nunca tuvo que configurar un solo registro DNS. Su tasa de entregabilidad pasó del 78% al 99% en dos semanas porque los registros de autenticación eran correctos y completos.
GridInbox también admite bandejas de entrada compartidas para equipos con control de acceso basado en roles (RBAC) y alias ilimitados. Si envías correos desde múltiples dominios o gestionas alias para clientes, GridInbox maneja la autenticación de cada dominio en un solo lugar.
Errores comunes en la configuración de DMARC, DKIM y SPF que perjudican la entregabilidad (y cómo evitarlos)
Incluso los profesionales de TI experimentados cometen estos errores. Aquí están los cinco principales y cómo GridInbox los previene.
Error 1: Usar múltiples registros SPF
Solo puedes tener un registro SPF por dominio. Si agregas un segundo, ambos se ignoran. GridInbox fusiona todas tus declaraciones SPF en un solo registro automáticamente.
Error 2: Olvidar incluir todos los servicios de envío
Si usas Gmail, Mailchimp y un servicio de correo transaccional, cada uno necesita una declaración "include" en tu registro SPF. Si omites uno, los correos de ese servicio fallan SPF. GridInbox escanea tus servicios conectados y los incluye todos.
Error 3: Configurar DMARC en "reject" demasiado pronto
Si configuras "p=reject" sin probar, bloqueas correos legítimos de servicios que olvidaste incluir. GridInbox comienza con "p=none" y solo pasa a políticas más estrictas después de que revises los datos.
Error 4: Usar el selector DKIM incorrecto
Cada proveedor de correo usa un selector DKIM diferente. Si copias el equivocado, tu firma DKIM no coincidirá con la clave pública. GridInbox genera el selector correcto para AWS SES y Cloudflare automáticamente.
Error 5: No monitorear los informes DMARC
Los informes DMARC son archivos XML difíciles de leer. La mayoría de las personas los ignoran. GridInbox analiza esos informes en un panel simple que muestra tasas de aprobación/fallo y las principales fuentes de envío.
Preguntas Frecuentes
¿Qué es la configuración de DMARC, DKIM y SPF explicada en términos sencillos?
DMARC, DKIM y SPF son tres protocolos de autenticación de correo que trabajan juntos para demostrar que tus correos son legítimos y no falsificados. SPF lista qué servidores pueden enviar correo por tu dominio, DKIM añade una firma digital a cada correo, y DMARC indica a los proveedores de correo qué hacer si esas verificaciones fallan.
¿Necesito DMARC, DKIM y SPF para la entregabilidad del correo?
Sí. Sin los tres, tus correos tienen más probabilidades de terminar en la carpeta de spam o ser rechazados por completo. Google y Yahoo ahora exigen DMARC para remitentes masivos, e incluso los remitentes pequeños ven una caída en la entregabilidad del 20-40% sin una autenticación adecuada.
¿Cómo verifico si mi DMARC, DKIM y SPF están configurados correctamente?
Usa herramientas gratuitas como MXToolbox para verificar SPF y DKIM, y DMARC Analyzer para tu política DMARC. Ingresa tu dominio y las herramientas te mostrarán tus registros actuales y cualquier error. Realiza estas verificaciones al menos una vez al mes.
¿Qué sucede si no configuro DMARC, DKIM y SPF?
Tu dominio es vulnerable a ataques de suplantación y phishing. Los spammers pueden enviar correos que parecen venir de ti, dañando tu marca y potencialmente costándote dinero. Tus correos legítimos también pueden rebotar o ir a spam, reduciendo la interacción con los clientes.
¿Puedo configurar DMARC, DKIM y SPF sin tocar el DNS?
Sí, si usas un servicio como GridInbox que se integra con tu proveedor de DNS mediante API. GridInbox crea y gestiona automáticamente los registros DNS necesarios para SPF, DKIM y DMARC, para que nunca tengas que editar registros manualmente.
¿Cuánto tiempo tardan en surtir efecto los cambios de DMARC, DKIM y SPF?
Los cambios en DNS suelen propagarse entre 1 y 48 horas, aunque la mayoría de las actualizaciones toman efecto en 15-30 minutos. Los cambios en la política DMARC (como pasar de p=none a p=reject) deben probarse durante al menos 2 semanas antes de cambiar a una política más estricta.
Si vous envoyez des emails depuis votre propre domaine, vous avez probablement entendu parler de ce jargon : SPF, DKIM, DMARC. Ces trois protocoles décident si vos emails atterrissent dans la boîte de réception ou sont marqués comme spam. Ce guide explique chacun d'eux en termes simples, vous montre comment vérifier votre configuration gratuitement, et révèle ce qu'un outil comme GridInbox peut gérer automatiquement pour que vous n'ayez plus jamais à toucher à un enregistrement DNS.
DMARC, DKIM et SPF sont les trois piliers de l'authentification des emails qui indiquent aux fournisseurs de messagerie que vous n'êtes pas un spammeur.
Imaginez votre email comme un colis. SPF est l'identifiant de l'expéditeur sur l'étiquette d'expédition. DKIM est un sceau inviolable sur la boîte. DMARC est le manuel d'instructions pour la poste : « Si l'identifiant ou le sceau manque, voici quoi faire avec le colis. » Ensemble, ils prouvent qu'un email provient bien de votre domaine et n'a pas été falsifié par quelqu'un d'autre.
SPF : Une liste d'adresses IP autorisées à envoyer des emails pour le compte de votre domaine. Cela empêche les acteurs malveillants d'utiliser votre domaine dans l'adresse « De » de leurs spams.
DKIM : Une signature numérique ajoutée à chaque email sortant. Le serveur destinataire vérifie cette signature par rapport à une clé publique publiée dans votre DNS. Si la signature est valide, l'email n'a pas été modifié en transit et provient bien de vous.
DMARC : Une règle de politique qui indique aux serveurs destinataires quoi faire avec les emails qui échouent aux vérifications SPF ou DKIM. Options : ne rien faire (surveiller), mettre en quarantaine (envoyer vers les spams), ou rejeter (bloquer complètement). DMARC fournit également des rapports montrant qui envoie des emails en utilisant votre domaine.
Sans une configuration correcte de DMARC, DKIM et SPF, votre délivrabilité chute considérablement et votre domaine peut être usurpé.
Selon un rapport de Valimail en 2024, 74 % des domaines qui envoient des emails n'ont toujours pas de politique DMARC. Cela signifie que 3 domaines professionnels sur 4 sont totalement vulnérables à l'usurpation. Lorsqu'un spammeur envoie un email qui semble provenir de vous, vos clients se font arnaquer et votre domaine est blacklisté. Même les emails légitimes de votre propre équipe peuvent atterrir dans les spams si vos enregistrements d'authentification sont manquants ou mal configurés.
Chiffres concrets : Google et Yahoo exigent désormais DMARC pour les expéditeurs en volume (plus de 5 000 messages par jour). Depuis février 2024, les deux fournisseurs ont commencé à rejeter les emails qui échouent aux vérifications SPF ou DKIM pour les expéditeurs à fort volume. Pour les petits expéditeurs, l'impact reste sévère. Une étude de MXToolbox a révélé que les domaines avec des enregistrements SPF et DKIM valides affichent des taux de placement en boîte de réception supérieurs à 95 %, tandis que les domaines sans authentification voient des taux aussi bas que 60 %.
Que se passe-t-il si vous négligez l'authentification des emails ?
Votre domaine est utilisé dans des attaques de phishing. Vos emails légitimes rebondissent ou finissent dans les spams. La réputation de votre marque en souffre. Et vous perdez de l'argent. Pour une petite entreprise, un seul email usurpé peut coûter des dizaines de milliers d'euros en récupération de fraude et en perte de confiance des clients.
Vous pouvez vérifier gratuitement votre configuration actuelle de DMARC, DKIM et SPF à l'aide d'outils en ligne.
Vous n'avez pas besoin d'être un expert DNS pour vérifier vos enregistrements. Voici trois outils gratuits qui vous diront exactement ce qui fonctionne et ce qui manque.
MXToolbox
Rendez-vous sur mxtoolbox.com et saisissez votre nom de domaine. Utilisez l'outil « SPF Record Check ». Il vous montrera votre enregistrement SPF s'il existe, et signalera toute erreur de syntaxe. Un enregistrement SPF valide ressemble à ceci : v=spf1 include:_spf.google.com ~all. L'outil propose également une fonction « DKIM Lookup » où vous entrez votre domaine et un sélecteur (généralement « default » ou « google » si vous utilisez Google Workspace).
DMARC Analyzer
Utilisez dmarcanalyzer.com/dmarc-check. Saisissez votre domaine et il affichera votre enregistrement DMARC, s'il existe. Un enregistrement DMARC valide ressemble à : v=DMARC1; p=none; rua=mailto:[email protected]. La valeur « p » indique la politique : none (surveillance uniquement), quarantine (mise en quarantaine) ou reject (rejet). La plupart des experts recommandent de commencer par « none » pour collecter des données, puis de passer à « quarantine » et enfin à « reject » après quelques semaines.
Google Postmaster Tools
Si vous envoyez beaucoup d'emails aux utilisateurs de Gmail, configurez Google Postmaster Tools. Il vous offre un tableau de bord montrant la réputation de votre domaine, le taux de spam et les taux de réussite/échec d'authentification. C'est gratuit et nécessite seulement de vérifier votre domaine avec un enregistrement DNS TXT.
Astuce : Effectuez ces trois vérifications au moins une fois par mois. Les enregistrements d'authentification des emails peuvent changer lorsque vous ajoutez un nouveau fournisseur de services de messagerie ou changez d'hébergement.
Configurer manuellement SPF, DKIM et DMARC nécessite de modifier les enregistrements DNS, ce qui bloque la plupart des chefs de petite entreprise.
Chaque protocole nécessite un enregistrement DNS spécifique. Voici les étapes pour chacun, mais attention : une seule faute de frappe peut interrompre votre messagerie pendant des heures, voire des jours.
Configuration SPF
Créez un enregistrement TXT pour votre domaine avec la valeur : v=spf1 include:votre-fournisseur-email.com ~all. Remplacez « votre-fournisseur-email.com » par le domaine de votre service de messagerie (par exemple, spf.google.com pour Google Workspace, spf.mandrillapp.com pour Mailchimp). Le « ~all » signifie échec souple (marquer comme suspect mais délivrer). Utilisez « -all » pour un échec strict (rejeter) seulement après avoir testé. Important : Vous ne pouvez pas avoir plus de 10 requêtes DNS dans un seul enregistrement SPF. Chaque « include » compte comme une requête.
Configuration DKIM
Votre fournisseur de messagerie vous donnera un sélecteur DKIM et une clé publique. Allez chez votre fournisseur DNS et créez un enregistrement TXT avec le nom « sélecteur._domainkey.votredomaine.com ». La valeur est la chaîne de clé publique que votre fournisseur vous a donnée. Pour Google Workspace, le sélecteur est généralement « google ». Ainsi, le nom complet de l'enregistrement est « google._domainkey.votredomaine.com ».
Configuration DMARC
Créez un enregistrement TXT avec le nom « _dmarc.votredomaine.com ». La valeur commence par « v=DMARC1; p=none; ». Ajoutez « rua=mailto:[email protected] » pour recevoir des rapports agrégés. Ces rapports vous indiquent quels expéditeurs utilisent votre domaine et s'ils réussissent l'authentification. Après quelques semaines de surveillance, remplacez « p=none » par « p=quarantine » puis finalement « p=reject ».
Ce processus est fastidieux et sujet aux erreurs. Un chef de petite entreprise avec qui j'ai travaillé a accidentellement défini « p=reject » avant de tester et a bloqué tous les emails de ses propres clients pendant deux jours. C'est pourquoi de nombreuses équipes se tournent vers une solution qui gère ces enregistrements automatiquement.
GridInbox automatise la configuration DMARC, DKIM et SPF pour que vous n'ayez plus jamais à toucher aux enregistrements DNS.
GridInbox est un SaaS de gestion d'alias email multi-tenant qui fonctionne avec AWS SES et Cloudflare Email Routing. Lorsque vous connectez votre domaine à GridInbox, la plateforme génère et publie automatiquement les enregistrements SPF, DKIM et DMARC corrects pour votre infrastructure d'envoi. Vous n'avez pas besoin de copier-coller des clés ni de compter les requêtes DNS.
Voici ce que GridInbox gère automatiquement :
- Génération d'enregistrement SPF : GridInbox crée un enregistrement SPF qui inclut toutes les plages IP pour AWS SES et Cloudflare Email Routing, avec les bonnes déclarations « include » et la politique d'échec souple/strict selon votre préférence.
- Signature DKIM : Chaque email envoyé via GridInbox est automatiquement signé DKIM avec une clé unique par domaine. La clé publique est publiée dans votre DNS via l'intégration GridInbox.
- Gestion de la politique DMARC : GridInbox définit un enregistrement DMARC avec « p=none » par défaut, puis fournit un tableau de bord où vous pouvez voir les taux de réussite/échec d'authentification. Une fois que vous êtes à l'aise, vous pouvez basculer vers « quarantine » ou « reject » en un clic.
- Surveillance continue : GridInbox vous alerte si l'un de vos enregistrements change ou expire. Vous recevez des rapports hebdomadaires montrant combien d'emails ont réussi ou échoué l'authentification.
Par exemple, une petite entreprise de commerce électronique utilisant GridInbox a configuré 50 alias email pour son équipe support (help@, orders@, billing@) et n'a jamais eu à configurer un seul enregistrement DNS. Leur taux de délivrabilité est passé de 78 % à 99 % en deux semaines, car les enregistrements d'authentification étaient corrects et complets.
GridInbox prend également en charge les boîtes de réception partagées en équipe avec contrôle d'accès basé sur les rôles (RBAC) et des alias illimités. Si vous envoyez des emails depuis plusieurs domaines ou gérez des alias pour des clients, GridInbox gère l'authentification pour chaque domaine en un seul endroit.
Erreurs courantes dans la configuration DMARC, DKIM et SPF qui nuisent à la délivrabilité (et comment les éviter)
Même les professionnels IT expérimentés commettent ces erreurs. Voici les cinq principales et comment GridInbox les évite.
Erreur 1 : Utiliser plusieurs enregistrements SPF
Vous ne pouvez avoir qu'un seul enregistrement SPF par domaine. Si vous en ajoutez un second, les deux sont ignorés. GridInbox fusionne automatiquement toutes vos inclusions SPF en un seul enregistrement.
Erreur 2 : Oublier d'inclure tous les services d'envoi
Si vous utilisez Gmail, Mailchimp et un service d'email transactionnel, chacun nécessite une déclaration « include » dans votre enregistrement SPF. Oubliez-en un, et les emails de ce service échouent au SPF. GridInbox analyse vos services connectés et les inclut tous.
Erreur 3 : Définir DMARC sur « reject » trop tôt
Si vous définissez « p=reject » sans tester, vous bloquez les emails légitimes provenant de services que vous avez oublié d'inclure. GridInbox commence par « p=none » et ne passe à des politiques plus strictes qu'après avoir examiné les données.
Erreur 4 : Utiliser le mauvais sélecteur DKIM
Chaque fournisseur de messagerie utilise un sélecteur DKIM différent. Si vous copiez le mauvais, votre signature DKIM ne correspondra pas à la clé publique. GridInbox génère automatiquement le bon sélecteur pour AWS SES et Cloudflare.
Erreur 5 : Ne pas surveiller les rapports DMARC
Les rapports DMARC sont des fichiers XML difficiles à lire. La plupart des gens les ignorent. GridInbox analyse ces rapports dans un tableau de bord simple montrant les taux de réussite/échec et les principales sources d'envoi.
Questions fréquentes
Qu'est-ce que la configuration DMARC, DKIM et SPF expliquée simplement ?
DMARC, DKIM et SPF sont trois protocoles d'authentification des emails qui fonctionnent ensemble pour prouver que vos emails sont légitimes et non falsifiés. SPF liste les serveurs autorisés à envoyer des emails pour votre domaine, DKIM ajoute une signature numérique à chaque email, et DMARC indique aux fournisseurs de messagerie quoi faire si ces vérifications échouent.
Ai-je besoin de DMARC, DKIM et SPF pour la délivrabilité des emails ?
Oui. Sans ces trois éléments, vos emails ont plus de chances d'atterrir dans les dossiers de spam ou d'être rejetés complètement. Google et Yahoo exigent désormais DMARC pour les expéditeurs en volume, et même les petits expéditeurs voient leur délivrabilité chuter de 20 à 40 % sans authentification appropriée.
Comment vérifier si ma configuration DMARC, DKIM et SPF est correcte ?
Utilisez des outils gratuits comme MXToolbox pour les vérifications SPF et DKIM, et DMARC Analyzer pour votre politique DMARC. Saisissez votre domaine et les outils afficheront vos enregistrements actuels et toute erreur. Effectuez ces vérifications au moins une fois par mois.
Que se passe-t-il si je ne configure pas DMARC, DKIM et SPF ?
Votre domaine est vulnérable à l'usurpation et aux attaques de phishing. Les spammeurs peuvent envoyer des emails qui semblent provenir de vous, ce qui nuit à votre marque et peut vous coûter de l'argent. Vos emails légitimes peuvent également rebondir ou finir dans les spams, réduisant l'engagement client.
Puis-je configurer DMARC, DKIM et SPF sans toucher au DNS ?
Oui, si vous utilisez un service comme GridInbox qui s'intègre à votre fournisseur DNS via API. GridInbox crée et gère automatiquement les enregistrements DNS nécessaires pour SPF, DKIM et DMARC, vous évitant ainsi de modifier manuellement les enregistrements.
Combien de temps faut-il pour que les modifications DMARC, DKIM et SPF prennent effet ?
Les modifications DNS se propagent généralement en 1 à 48 heures, bien que la plupart des mises à jour prennent effet en 15 à 30 minutes. Les changements de politique DMARC (comme passer de p=none à p=reject) doivent être testés pendant au moins 2 semaines avant de passer à une politique plus stricte.
自社ドメインからメールを送信しているなら、SPF、DKIM、DMARCというアルファベットの羅列を耳にしたことがあるでしょう。これら3つのプロトコルは、あなたのメールが受信トレイに届くか、スパムとしてマークされるかを左右します。このガイドでは、それぞれを平易な言葉で説明し、無料で設定を確認する方法を紹介し、GridInboxのようなツールが自動で処理できる内容を明らかにします。これでもうDNSレコードを触る必要はありません。
DMARC、DKIM、SPFはメール認証の3本柱であり、メールプロバイダーに「あなたはスパマーではない」と伝えます。
メールを荷物だと考えてください。SPFは配送ラベルに書かれた送り主のIDです。DKIMは箱に貼られた改ざん防止シールです。DMARCは郵便局への指示書です。「IDやシールがない場合、荷物をどう処理するか」を指示します。これらが連携することで、メールが本当にあなたのドメインから送信されたものであり、他人によって偽造されたものではないことを証明します。
SPF:あなたのドメインに代わってメールを送信できるIPアドレスのリストです。悪意のある第三者がスパムメールの「From」アドレスにあなたのドメインを使うのを防ぎます。
DKIM:送信メールごとに付加されるデジタル署名です。受信サーバーは、DNSに公開された公開鍵とこの署名を照合します。署名が有効であれば、メールは転送中に改ざんされておらず、本当にあなたから送信されたものです。
DMARC:SPFまたはDKIMチェックに失敗したメールをどう処理するかを受信サーバーに指示するポリシールールです。オプションは、何もしない(監視)、隔離(スパムへ送信)、拒否(完全にブロック)の3つです。DMARCは、あなたのドメインを使用してメールを送信している送信元を報告するレポートも提供します。
DMARC、DKIM、SPFが適切に設定されていないと、メール到達性が大幅に低下し、ドメインがなりすましに悪用される可能性があります。
Valimailの2024年のレポートによると、メールを送信するドメインの74%にはDMARCポリシーが設定されていません。つまり、ビジネスドメインの4分の3がなりすましに対して無防備な状態です。スパマーがあなたからのように見えるメールを送信すると、顧客は詐欺に遭い、あなたのドメインはブラックリストに登録されます。認証レコードが欠落していたり、誤って設定されていたりすると、自社チームからの正当なメールでさえスパムフォルダに振り分けられる可能性があります。
具体的な数字:GoogleとYahooは現在、大量送信者(1日あたり5,000通以上)に対してDMARCを必須としています。2024年2月以降、両プロバイダーは大量送信者に対してSPFまたはDKIMに失敗するメールを拒否し始めました。小規模な送信者にとっても影響は深刻です。MXToolboxの調査によると、有効なSPFおよびDKIMレコードを持つドメインの受信トレイ配置率は95%以上であるのに対し、認証がないドメインでは60%まで低下します。
メール認証を怠るとどうなるか
あなたのドメインがフィッシング攻撃に悪用されます。正当なメールがバウンスしたりスパムに振り分けられたりします。ブランドの評判が損なわれ、金銭的な損失が発生します。中小企業の場合、1回のなりすましメールで、詐欺被害の回復と顧客の信頼喪失により数万ドルのコストが発生する可能性があります。
現在のDMARC、DKIM、SPF設定は、オンラインツールを使って無料で確認できます。
DNSの専門家でなくてもレコードを確認できます。以下は、何が機能していて何が不足しているかを正確に教えてくれる3つの無料ツールです。
MXToolbox
mxtoolbox.comにアクセスし、ドメイン名を入力します。「SPF Record Check」ツールを使用してください。SPFレコードが存在する場合は表示され、構文エラーがあればフラグが立てられます。有効なSPFレコードは次のようになります:v=spf1 include:_spf.google.com ~all。このツールには「DKIM Lookup」もあり、ドメインとセレクタ(通常は「default」、Google Workspaceを使用している場合は「google」)を入力します。
DMARC Analyzer
dmarcanalyzer.com/dmarc-checkを使用します。ドメインを入力すると、DMARCレコードがあれば表示されます。有効なDMARCレコードは次のようになります:v=DMARC1; p=none; rua=mailto:[email protected]。「p」の値がポリシーを示します:none(監視のみ)、quarantine(隔離)、reject(拒否)です。ほとんどの専門家は、まず「none」でデータを収集し、数週間後に「quarantine」、最終的に「reject」に移行することを推奨しています。
Google Postmaster Tools
Gmailユーザーに多くのメールを送信する場合は、Google Postmaster Toolsを設定しましょう。ドメインの評判、スパム率、認証の合格/不合格率を表示するダッシュボードが提供されます。無料で、DNS TXTレコードでドメインを確認するだけで利用できます。
ヒント:少なくとも月に1回は3つのチェックをすべて実行してください。新しいメールサービスプロバイダーを追加したり、ホスティングを切り替えたりすると、メール認証レコードが変更される可能性があります。
SPF、DKIM、DMARCを手動で設定するにはDNSレコードの編集が必要であり、ここでほとんどの中小企業オーナーが行き詰まります。
各プロトコルには特定のDNSレコードが必要です。以下にそれぞれの手順を説明しますが、注意してください。1つのタイプミスで数時間から数日間メールが使えなくなる可能性があります。
SPFの設定
ドメインのTXTレコードを作成し、値を次のように設定します:v=spf1 include:your-email-provider.com ~all。「your-email-provider.com」はメールサービスのドメインに置き換えてください(例:Google Workspaceの場合はspf.google.com、Mailchimpの場合はspf.mandrillapp.com)。「~all」はソフトフェイル(疑わしいとしてマークするが配信する)を意味します。テスト後にのみ「-all」(ハードフェイル、拒否)を使用してください。重要:1つのSPFレコードに10を超えるDNSルックアップを含めることはできません。各「include」は1つのルックアップとしてカウントされます。
DKIMの設定
メールプロバイダーからDKIMセレクタと公開鍵が提供されます。DNSプロバイダーに移動し、「selector._domainkey.yourdomain.com」という名前のTXTレコードを作成します。値はプロバイダーから提供された公開鍵の文字列です。Google Workspaceの場合、セレクタは通常「google」です。したがって、完全なレコード名は「google._domainkey.yourdomain.com」となります。
DMARCの設定
「_dmarc.yourdomain.com」という名前のTXTレコードを作成します。値は「v=DMARC1; p=none;」で始まります。集約レポートを受け取るために「rua=mailto:[email protected]」を追加します。これらのレポートは、どの送信者があなたのドメインを使用しているか、認証に合格しているかを示します。数週間監視した後、「p=none」を「p=quarantine」に変更し、最終的に「p=reject」に変更します。
このプロセスは面倒でエラーが発生しやすいものです。私が一緒に仕事をしたある中小企業のオーナーは、テスト前に誤って「p=reject」を設定し、2日間自社の顧客メールをすべてブロックしてしまいました。そのため、多くのチームがこれらのレコードを自動的に処理するソリューションに頼っています。
GridInboxはDMARC、DKIM、SPFの設定を自動化し、DNSレコードに二度と触れる必要をなくします。
GridInboxは、AWS SESおよびCloudflare Email Routingと連携するマルチテナント型メールエイリアス管理SaaSです。ドメインをGridInboxに接続すると、プラットフォームが自動的に正しいSPF、DKIM、DMARCレコードを生成し公開します。キーをコピー&ペーストしたり、DNSルックアップを数えたりする必要はありません。
GridInboxが自動的に処理する内容は次のとおりです:
- SPFレコードの生成:GridInboxは、AWS SESとCloudflare Email RoutingのすべてのIP範囲を含むSPFレコードを作成し、お客様の設定に基づいて正しい「include」ステートメントと適切なソフト/ハードフェイルポリシーを適用します。
- DKIM署名:GridInboxを通じて送信されるすべてのメールには、ドメインごとに一意のキーで自動的にDKIM署名が付与されます。公開鍵はGridInboxの統合機能を介してDNSに公開されます。
- DMARCポリシー管理:GridInboxはデフォルトで「p=none」のDMARCレコードを設定し、認証の合格/不合格率を確認できるダッシュボードを提供します。準備ができたら、ワンクリックで「quarantine」または「reject」に切り替えることができます。
- 継続的な監視:レコードが変更されたり期限切れになったりすると、GridInboxがアラートを送信します。認証に合格したメール数と不合格だったメール数を示す週次レポートが届きます。
例えば、GridInboxを利用しているある小規模Eコマース企業は、サポートチーム用に50のメールエイリアス(help@、orders@、billing@)を設定し、DNSレコードを1つも設定する必要がありませんでした。認証レコードが正確で完全だったため、メール到達率は2週間で78%から99%に向上しました。
GridInboxは、ロールベースのアクセス制御(RBAC)を備えたチーム共有受信トレイと無制限のエイリアスもサポートしています。複数のドメインからメールを送信したり、クライアントのエイリアスを管理したりする場合、GridInboxはすべてのドメインの認証を一元的に処理します。
DMARC、DKIM、SPF設定でよくある、到達性を損なうミス(とその回避方法)
経験豊富なITプロフェッショナルでもこれらのミスを犯します。以下は上位5つのミスと、GridInboxがそれらを防ぐ方法です。
ミス1:複数のSPFレコードを使用する
ドメインに設定できるSPFレコードは1つだけです。2つ目を追加すると、両方とも無視されます。GridInboxはすべてのSPFインクルードを自動的に1つのレコードに統合します。
ミス2:すべての送信サービスを含め忘れる
Gmail、Mailchimp、トランザクションメールサービスを使用している場合、それぞれにSPFレコードの「include」が必要です。1つでも欠けると、そのサービスからのメールはSPFチェックに失敗します。GridInboxは接続されたサービスをスキャンし、すべてを含めます。
ミス3:DMARCを早急に「reject」に設定する
テストせずに「p=reject」を設定すると、含め忘れたサービスからの正当なメールをブロックしてしまいます。GridInboxは「p=none」から開始し、データを確認した後にのみ厳格なポリシーに移行します。
ミス4:誤ったDKIMセレクタを使用する
メールプロバイダーごとに異なるDKIMセレクタが使用されます。間違ったものをコピーすると、DKIM署名が公開鍵と一致しなくなります。GridInboxはAWS SESとCloudflare用に正しいセレクタを自動生成します。
ミス5:DMARCレポートを監視しない
DMARCレポートはXMLファイルで読みにくいため、ほとんどの人が無視しています。GridInboxはこれらのレポートを解析し、合格/不合格率と上位の送信元を表示するシンプルなダッシュボードに変換します。
よくある質問
DMARC、DKIM、SPFの設定を簡単に説明すると何ですか?
DMARC、DKIM、SPFは、メールが正当なものであり偽造されていないことを証明するために連携する3つのメール認証プロトコルです。SPFはあなたのドメインに代わってメールを送信できるサーバーをリストし、DKIMは各メールにデジタル署名を追加し、DMARCはそれらのチェックに失敗した場合にメールプロバイダーが何をすべきかを指示します。
メール到達性のためにDMARC、DKIM、SPFは必要ですか?
はい。これら3つがないと、メールがスパムフォルダに振り分けられたり、完全に拒否されたりする可能性が高まります。GoogleとYahooは大量送信者にDMARCを義務付けており、小規模な送信者でも適切な認証がないと到達性が20~40%低下することが確認されています。
DMARC、DKIM、SPFが正しく設定されているかどうかを確認するにはどうすればよいですか?
MXToolbox(SPFおよびDKIMチェック用)やDMARC Analyzer(DMARCポリシー用)などの無料ツールを使用してください。ドメインを入力すると、現在のレコードとエラーが表示されます。少なくとも月に1回はこれらのチェックを実行してください。
DMARC、DKIM、SPFを設定しないとどうなりますか?
あなたのドメインはなりすましやフィッシング攻撃に対して脆弱になります。スパマーがあなたからのように見えるメールを送信し、ブランドを損ない、金銭的な損失を引き起こす可能性があります。正当なメールもバウンスしたりスパムに振り分けられたりして、顧客エンゲージメントが低下します。
DNSに触れずにDMARC、DKIM、SPFを設定できますか?
はい。DNSプロバイダーとAPIで連携するGridInboxのようなサービスを使用すれば可能です。GridInboxはSPF、DKIM、DMARCに必要なDNSレコードを自動的に作成・管理するため、手動でレコードを編集する必要はありません。
DMARC、DKIM、SPFの変更が反映されるまでどのくらい時間がかかりますか?
DNSの変更は通常1~48時間以内に伝播しますが、ほとんどの更新は15~30分以内に反映されます。DMARCポリシーの変更(p=noneからp=rejectへの移行など)は、より厳格なポリシーに切り替える前に少なくとも2週間テストする必要があります。
Wenn Sie E-Mails von Ihrer eigenen Domain versenden, sind Sie wahrscheinlich schon über das Buchstabensalat gestolpert: SPF, DKIM, DMARC. Diese drei Protokolle entscheiden darüber, ob Ihre E-Mails im Posteingang landen oder als Spam markiert werden. Dieser Leitfaden erklärt jedes Protokoll in einfacher Sprache, zeigt Ihnen, wie Sie Ihre Einrichtung kostenlos überprüfen können, und verrät, was ein Tool wie GridInbox automatisch erledigt – sodass Sie nie wieder einen DNS-Eintrag anfassen müssen.
DMARC, DKIM und SPF sind die drei Säulen der E-Mail-Authentifizierung, die E-Mail-Anbietern zeigen, dass Sie kein Spammer sind.
Stellen Sie sich Ihre E-Mail als Paket vor. SPF ist die Absenderkennung auf dem Versandetikett. DKIM ist ein manipulationssicheres Siegel auf der Schachtel. DMARC ist die Gebrauchsanweisung für die Post: „Wenn die Kennung oder das Siegel fehlt, machen Sie Folgendes mit dem Paket.“ Zusammen beweisen sie, dass eine E-Mail tatsächlich von Ihrer Domain stammt und nicht von jemand anderem gefälscht wurde.
SPF: Eine Liste von IP-Adressen, die berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden. Es verhindert, dass Angreifer Ihre Domain in der „Von“-Adresse ihrer Spam-E-Mails verwenden.
DKIM: Eine digitale Signatur, die jeder ausgehenden E-Mail hinzugefügt wird. Der empfangende Server überprüft diese Signatur anhand eines öffentlichen Schlüssels, der in Ihrem DNS veröffentlicht ist. Ist die Signatur gültig, wurde die E-Mail während der Übertragung nicht verändert und stammt tatsächlich von Ihnen.
DMARC: Eine Richtlinienregel, die dem empfangenden Server mitteilt, was mit E-Mails zu tun ist, die die SPF- oder DKIM-Prüfung nicht bestehen. Optionen: nichts tun (überwachen), in Quarantäne verschieben (als Spam markieren) oder ablehnen (komplett blockieren). DMARC liefert Ihnen außerdem Berichte, die zeigen, wer E-Mails unter Ihrer Domain versendet.
Ohne eine korrekte DMARC-, DKIM- und SPF-Einrichtung sinkt Ihre E-Mail-Zustellbarkeit drastisch und Ihre Domain kann gefälscht werden.
Laut einem Bericht von Valimail aus dem Jahr 2024 haben 74 % der Domains, die E-Mails versenden, immer noch keine DMARC-Richtlinie. Das bedeutet, dass 3 von 4 Unternehmensdomains für Identitätsdiebstahl offen sind. Wenn ein Spammer eine E-Mail versendet, die aussieht, als käme sie von Ihnen, werden Ihre Kunden betrogen und Ihre Domain auf die Blacklist gesetzt. Selbst legitime E-Mails Ihres eigenen Teams können im Spam landen, wenn Ihre Authentifizierungseinträge fehlen oder falsch konfiguriert sind.
Konkrete Zahlen: Google und Yahoo verlangen jetzt DMARC für Massenversender (über 5.000 Nachrichten pro Tag). Seit Februar 2024 lehnen beide Anbieter E-Mails von Hochvolumenversendern ab, die SPF oder DKIM nicht bestehen. Für kleinere Versender sind die Auswirkungen ebenfalls schwerwiegend. Eine Studie von MXToolbox ergab, dass Domains mit gültigen SPF- und DKIM-Einträgen eine Zustellrate von über 95 % in den Posteingang haben, während Domains ohne Authentifizierung nur auf Raten von bis zu 60 % kommen.
Was passiert, wenn Sie die E-Mail-Authentifizierung auslassen?
Ihre Domain wird für Phishing-Angriffe genutzt. Ihre legitimen E-Mails werden zurückgewiesen oder landen im Spam. Ihr Markenruf leidet. Und Sie verlieren Geld. Für ein kleines Unternehmen kann eine einzige gefälschte E-Mail Kosten in Höhe von Zehntausenden Euro für die Betrugsbekämpfung und den Verlust des Kundenvertrauens verursachen.
Sie können Ihre aktuelle DMARC-, DKIM- und SPF-Einrichtung mit kostenlosen Online-Tools überprüfen.
Sie müssen kein DNS-Experte sein, um Ihre Einträge zu prüfen. Hier sind drei kostenlose Tools, die Ihnen genau zeigen, was funktioniert und was fehlt.
MXToolbox
Gehen Sie zu mxtoolbox.com und geben Sie Ihren Domainnamen ein. Nutzen Sie das Tool „SPF Record Check“. Es zeigt Ihnen Ihren SPF-Eintrag an, falls vorhanden, und markiert Syntaxfehler. Ein gültiger SPF-Eintrag sieht etwa so aus: v=spf1 include:_spf.google.com ~all. Das Tool bietet auch eine „DKIM Lookup“-Funktion, bei der Sie Ihre Domain und einen Selektor eingeben (normalerweise „default“ oder „google“, wenn Sie Google Workspace verwenden).
DMARC Analyzer
Nutzen Sie dmarcanalyzer.com/dmarc-check. Geben Sie Ihre Domain ein, und das Tool zeigt Ihnen Ihren DMARC-Eintrag an, falls vorhanden. Ein gültiger DMARC-Eintrag sieht so aus: v=DMARC1; p=none; rua=mailto:[email protected]. Der „p“-Wert gibt die Richtlinie an: none (nur überwachen), quarantine (in Quarantäne) oder reject (ablehnen). Die meisten Experten empfehlen, mit „none“ zu beginnen, um Daten zu sammeln, dann zu „quarantine“ und schließlich nach einigen Wochen zu „reject“ überzugehen.
Google Postmaster Tools
Wenn Sie viele E-Mails an Gmail-Nutzer senden, richten Sie Google Postmaster Tools ein. Es bietet ein Dashboard mit Ihrer Domain-Reputation, Spam-Rate und Authentifizierungs-Pass/Fail-Raten. Es ist kostenlos und erfordert nur die Verifizierung Ihrer Domain mit einem DNS-TXT-Eintrag.
Tipp: Führen Sie alle drei Prüfungen mindestens einmal im Monat durch. E-Mail-Authentifizierungseinträge können sich ändern, wenn Sie einen neuen E-Mail-Dienstanbieter hinzufügen oder das Hosting wechseln.
Die manuelle Einrichtung von SPF, DKIM und DMARC erfordert die Bearbeitung von DNS-Einträgen – genau hier scheitern die meisten Kleinunternehmer.
Jedes Protokoll benötigt einen spezifischen DNS-Eintrag. Hier ist die Schritt-für-Schritt-Anleitung für jedes Protokoll, aber Vorsicht: Ein Tippfehler kann Ihre E-Mail-Zustellung für Stunden oder Tage lahmlegen.
SPF-Einrichtung
Erstellen Sie einen TXT-Eintrag für Ihre Domain mit dem Wert: v=spf1 include:ihr-email-anbieter.de ~all. Ersetzen Sie „ihr-email-anbieter.de“ durch die Domain Ihres E-Mail-Dienstes (z. B. spf.google.com für Google Workspace, spf.mandrillapp.com für Mailchimp). „~all“ bedeutet Soft Fail (als verdächtig markieren, aber zustellen). Verwenden Sie „-all“ für Hard Fail (ablehnen) erst nach einem Test. Wichtig: Sie dürfen nicht mehr als 10 DNS-Lookups in einem SPF-Eintrag haben. Jedes „include“ zählt als ein Lookup.
DKIM-Einrichtung
Ihr E-Mail-Anbieter gibt Ihnen einen DKIM-Selektor und einen öffentlichen Schlüssel. Gehen Sie zu Ihrem DNS-Anbieter und erstellen Sie einen TXT-Eintrag mit dem Namen „selektor._domainkey.ihredomain.de“. Der Wert ist die Zeichenfolge des öffentlichen Schlüssels, die Ihr Anbieter Ihnen gegeben hat. Bei Google Workspace lautet der Selektor normalerweise „google“. Der vollständige Eintragsname lautet also „google._domainkey.ihredomain.de“.
DMARC-Einrichtung
Erstellen Sie einen TXT-Eintrag mit dem Namen „_dmarc.ihredomain.de“. Der Wert beginnt mit „v=DMARC1; p=none;“. Fügen Sie „rua=mailto:[email protected]“ hinzu, um aggregierte Berichte zu erhalten. Diese Berichte zeigen Ihnen, welche Absender Ihre Domain verwenden und ob sie die Authentifizierung bestehen. Nach einigen Wochen der Überwachung ändern Sie „p=none“ in „p=quarantine“ und schließlich in „p=reject“.
Dieser Prozess ist mühsam und fehleranfällig. Ein Kleinunternehmer, mit dem ich zusammengearbeitet habe, hat versehentlich „p=reject“ gesetzt, bevor er getestet hat, und damit zwei Tage lang alle Kunden-E-Mails blockiert. Deshalb greifen viele Teams auf eine Lösung zurück, die diese Einträge automatisch verwaltet.
GridInbox automatisiert die DMARC-, DKIM- und SPF-Konfiguration, sodass Sie nie wieder DNS-Einträge anfassen müssen.
GridInbox ist eine Multi-Tenant-E-Mail-Alias-Management-SaaS, die mit AWS SES und Cloudflare Email Routing zusammenarbeitet. Wenn Sie Ihre Domain mit GridInbox verbinden, generiert und veröffentlicht die Plattform automatisch die korrekten SPF-, DKIM- und DMARC-Einträge für Ihre Versandinfrastruktur. Sie müssen keine Schlüssel kopieren oder DNS-Lookups zählen.
Hier ist, was GridInbox automatisch erledigt:
- SPF-Eintragsgenerierung: GridInbox erstellt einen SPF-Eintrag, der alle IP-Bereiche von AWS SES und Cloudflare Email Routing enthält, mit den richtigen „include“-Anweisungen und der passenden Soft-/Hard-Fail-Richtlinie basierend auf Ihren Präferenzen.
- DKIM-Signierung: Jede über GridInbox gesendete E-Mail wird automatisch mit einem eindeutigen Schlüssel pro Domain DKIM-signiert. Der öffentliche Schlüssel wird über die GridInbox-Integration in Ihrem DNS veröffentlicht.
- DMARC-Richtlinienverwaltung: GridInbox setzt standardmäßig einen DMARC-Eintrag mit „p=none“ und bietet ein Dashboard, in dem Sie die Authentifizierungs-Pass/Fail-Raten einsehen können. Sobald Sie bereit sind, können Sie mit einem Klick auf „quarantine“ oder „reject“ umschalten.
- Kontinuierliche Überwachung: GridInbox benachrichtigt Sie, wenn sich einer Ihrer Einträge ändert oder abläuft. Sie erhalten wöchentliche Berichte, wie viele E-Mails die Authentifizierung bestanden haben oder nicht.
Ein kleines E-Commerce-Unternehmen hat beispielsweise mit GridInbox 50 E-Mail-Aliase für sein Support-Team eingerichtet (help@, orders@, billing@) und musste keinen einzigen DNS-Eintrag konfigurieren. Die Zustellrate stieg innerhalb von zwei Wochen von 78 % auf 99 %, da die Authentifizierungseinträge korrekt und vollständig waren.
GridInbox unterstützt auch gemeinsame Team-Postfächer mit rollenbasierter Zugriffskontrolle (RBAC) und unbegrenzten Aliasen. Wenn Sie E-Mails von mehreren Domains versenden oder Aliase für Kunden verwalten, übernimmt GridInbox die Authentifizierung für jede Domain an einem zentralen Ort.
Häufige Fehler bei der DMARC-, DKIM- und SPF-Einrichtung, die die Zustellbarkeit beeinträchtigen (und wie man sie vermeidet)
Sogar erfahrene IT-Profis machen diese Fehler. Hier sind die fünf häufigsten und wie GridInbox sie verhindert.
Fehler 1: Verwendung mehrerer SPF-Einträge
Sie können nur einen SPF-Eintrag pro Domain haben. Wenn Sie einen zweiten hinzufügen, werden beide ignoriert. GridInbox führt alle Ihre SPF-Includes automatisch in einem einzigen Eintrag zusammen.
Fehler 2: Vergessen, alle Versanddienste einzubeziehen
Wenn Sie Gmail, Mailchimp und einen Transaktions-E-Mail-Dienst nutzen, benötigt jeder ein „include“ in Ihrem SPF-Eintrag. Fehlt einer, bestehen E-Mails von diesem Dienst den SPF-Check nicht. GridInbox scannt Ihre verbundenen Dienste und bezieht alle mit ein.
Fehler 3: DMARC zu früh auf „reject“ setzen
Wenn Sie „p=reject“ ohne vorherigen Test setzen, blockieren Sie legitime E-Mails von Diensten, die Sie vergessen haben einzubeziehen. GridInbox beginnt mit „p=none“ und wechselt erst zu strengeren Richtlinien, nachdem Sie die Daten überprüft haben.
Fehler 4: Verwendung des falschen DKIM-Selektors
Jeder E-Mail-Anbieter verwendet einen anderen DKIM-Selektor. Wenn Sie den falschen kopieren, stimmt Ihre DKIM-Signatur nicht mit dem öffentlichen Schlüssel überein. GridInbox generiert automatisch den korrekten Selektor für AWS SES und Cloudflare.
Fehler 5: Keine Überwachung der DMARC-Berichte
DMARC-Berichte sind XML-Dateien, die schwer zu lesen sind. Die meisten Leute ignorieren sie. GridInbox analysiert diese Berichte in einem einfachen Dashboard mit Pass/Fail-Raten und den wichtigsten Versandquellen.
Häufig gestellte Fragen
Was ist DMARC, DKIM und SPF – einfach erklärt?
DMARC, DKIM und SPF sind drei E-Mail-Authentifizierungsprotokolle, die zusammenarbeiten, um zu beweisen, dass Ihre E-Mails legitim und nicht gefälscht sind. SPF listet auf, welche Server E-Mails für Ihre Domain versenden dürfen, DKIM fügt jeder E-Mail eine digitale Signatur hinzu, und DMARC teilt E-Mail-Anbietern mit, was zu tun ist, wenn diese Prüfungen fehlschlagen.
Brauche ich DMARC, DKIM und SPF für die E-Mail-Zustellbarkeit?
Ja. Ohne alle drei landen Ihre E-Mails mit höherer Wahrscheinlichkeit im Spam-Ordner oder werden komplett abgewiesen. Google und Yahoo verlangen jetzt DMARC für Massenversender, und selbst kleinere Versender sehen eine Verschlechterung der Zustellbarkeit um 20–40 % ohne korrekte Authentifizierung.
Wie überprüfe ich, ob DMARC, DKIM und SPF korrekt eingerichtet sind?
Nutzen Sie kostenlose Tools wie MXToolbox für SPF- und DKIM-Prüfungen und DMARC Analyzer für Ihre DMARC-Richtlinie. Geben Sie Ihre Domain ein, und die Tools zeigen Ihnen Ihre aktuellen Einträge sowie etwaige Fehler an. Führen Sie diese Prüfungen mindestens einmal im Monat durch.
Was passiert, wenn ich DMARC, DKIM und SPF nicht einrichte?
Ihre Domain ist anfällig für Spoofing und Phishing-Angriffe. Spammer können E-Mails versenden, die so aussehen, als kämen sie von Ihnen, was Ihrer Marke schadet und Sie möglicherweise Geld kostet. Auch Ihre legitimen E-Mails können zurückgewiesen werden oder im Spam landen, was die Kundenbindung verringert.
Kann ich DMARC, DKIM und SPF einrichten, ohne DNS zu bearbeiten?
Ja, wenn Sie einen Dienst wie GridInbox nutzen, der über eine API mit Ihrem DNS-Anbieter integriert ist. GridInbox erstellt und verwaltet automatisch die erforderlichen DNS-Einträge für SPF, DKIM und DMARC, sodass Sie nie manuell Einträge bearbeiten müssen.
Wie lange dauert es, bis Änderungen an DMARC, DKIM und SPF wirksam werden?
DNS-Änderungen werden in der Regel innerhalb von 1 bis 48 Stunden übernommen, die meisten Aktualisierungen sind jedoch innerhalb von 15–30 Minuten wirksam. Änderungen der DMARC-Richtlinie (wie der Wechsel von p=none zu p=reject) sollten mindestens 2 Wochen lang getestet werden, bevor Sie zu einer strengeren Richtlinie wechseln.
Se você envia e-mails do seu próprio domínio, provavelmente já ouviu falar dessa sopa de letrinhas: SPF, DKIM, DMARC. Esses três protocolos decidem se seus e-mails vão parar na caixa de entrada ou serão marcados como spam. Este guia explica cada um deles em português claro, mostra como verificar sua configuração gratuitamente e revela o que uma ferramenta como o GridInbox pode automatizar para que você nunca mais precise mexer em um registro DNS.
DMARC, DKIM e SPF são os três pilares da autenticação de e-mail que dizem aos provedores que você não é um spammer.
Pense no seu e-mail como um pacote. O SPF é a identificação do remetente na etiqueta de envio. O DKIM é um lacre inviolável na caixa. O DMARC é o manual de instruções para os Correios: "Se a identificação ou o lacre estiverem faltando, aqui está o que fazer com o pacote." Juntos, eles provam que um e-mail realmente veio do seu domínio e não foi falsificado por outra pessoa.
SPF: Uma lista de endereços IP autorizados a enviar e-mails em nome do seu domínio. Ele impede que pessoas mal-intencionadas usem seu domínio no campo "De" dos e-mails de spam delas.
DKIM: Uma assinatura digital adicionada a cada e-mail enviado. O servidor de destino verifica essa assinatura contra uma chave pública publicada no seu DNS. Se a assinatura for válida, o e-mail não foi alterado durante o transporte e realmente veio de você.
DMARC: Uma regra de política que diz aos servidores de destino o que fazer com e-mails que falham nas verificações de SPF ou DKIM. Opções: não fazer nada (monitorar), colocar em quarentena (enviar para spam) ou rejeitar (bloquear completamente). O DMARC também fornece relatórios mostrando quem está enviando e-mails usando seu domínio.
Sem a configuração adequada de DMARC, DKIM e SPF, a entregabilidade dos seus e-mails cai drasticamente e seu domínio pode ser falsificado.
De acordo com um relatório de 2024 da Valimail, 74% dos domínios que enviam e-mail ainda não têm uma política DMARC. Isso significa que 3 em cada 4 domínios de empresas estão totalmente vulneráveis a falsificações. Quando um spammer envia um e-mail que parece ter vindo de você, seus clientes são enganados e seu domínio é colocado na lista negra. Até mesmo e-mails legítimos da sua própria equipe podem cair no spam se seus registros de autenticação estiverem ausentes ou mal configurados.
Números reais: Google e Yahoo agora exigem DMARC para remetentes em massa (mais de 5.000 mensagens por dia). A partir de fevereiro de 2024, ambos os provedores começaram a rejeitar e-mails que falham no SPF ou DKIM para remetentes de alto volume. Para remetentes menores, o impacto ainda é severo. Um estudo da MXToolbox descobriu que domínios com registros SPF e DKIM válidos têm taxas de entrega na caixa de entrada acima de 95%, enquanto domínios sem autenticação veem taxas tão baixas quanto 60%.
O que acontece quando você ignora a autenticação de e-mail
Seu domínio é usado em ataques de phishing. Seus e-mails legítimos são devolvidos ou vão para o spam. Sua reputação de marca é prejudicada. E você perde dinheiro. Para uma pequena empresa, um único e-mail falsificado pode custar dezenas de milhares em recuperação de fraudes e perda de confiança do cliente.
Você pode verificar sua configuração atual de DMARC, DKIM e SPF gratuitamente usando ferramentas online.
Você não precisa ser um especialista em DNS para verificar seus registros. Aqui estão três ferramentas gratuitas que dirão exatamente o que está funcionando e o que está faltando.
MXToolbox
Acesse mxtoolbox.com e digite seu nome de domínio. Use a ferramenta "SPF Record Check". Ela mostrará seu registro SPF, se existir, e sinalizará quaisquer erros de sintaxe. Um registro SPF válido se parece com algo como: v=spf1 include:_spf.google.com ~all. A ferramenta também tem um "DKIM Lookup" onde você insere seu domínio e um seletor (geralmente "default" ou "google" se você usa Google Workspace).
DMARC Analyzer
Use dmarcanalyzer.com/dmarc-check. Digite seu domínio e ele mostrará seu registro DMARC, se houver. Um registro DMARC válido se parece com: v=DMARC1; p=none; rua=mailto:[email protected]. O valor "p" informa a política: none (apenas monitorar), quarantine ou reject. A maioria dos especialistas recomenda começar com "none" para coletar dados, depois migrar para "quarantine" e finalmente para "reject" após algumas semanas.
Google Postmaster Tools
Se você envia muitos e-mails para usuários do Gmail, configure o Google Postmaster Tools. Ele fornece um painel mostrando a reputação do seu domínio, taxa de spam e taxas de aprovação/reprovação de autenticação. É gratuito e requer apenas a verificação do seu domínio com um registro DNS TXT.
Dica: Execute essas três verificações pelo menos uma vez por mês. Os registros de autenticação de e-mail podem mudar quando você adiciona um novo provedor de serviço de e-mail ou troca de hospedagem.
Configurar SPF, DKIM e DMARC manualmente exige editar registros DNS, que é onde a maioria dos pequenos empresários trava.
Cada protocolo requer um registro DNS específico. Aqui está o passo a passo para cada um, mas fique avisado: um único erro de digitação pode quebrar seu e-mail por horas ou dias.
Configuração do SPF
Crie um registro TXT para seu domínio com o valor: v=spf1 include:seu-provedor-de-email.com ~all. Substitua "seu-provedor-de-email.com" pelo domínio do seu serviço de e-mail (ex.: spf.google.com para Google Workspace, spf.mandrillapp.com para Mailchimp). O "~all" significa falha suave (marcar como suspeito, mas entregar). Use "-all" para falha grave (rejeitar) somente após testar. Importante: Você não pode ter mais de 10 consultas DNS em um único registro SPF. Cada "include" conta como uma consulta.
Configuração do DKIM
Seu provedor de e-mail fornecerá um seletor DKIM e uma chave pública. Vá até seu provedor de DNS e crie um registro TXT com o nome "seletor._domainkey.seudominio.com". O valor é a string da chave pública que seu provedor forneceu. Para o Google Workspace, o seletor geralmente é "google". Portanto, o nome completo do registro é "google._domainkey.seudominio.com".
Configuração do DMARC
Crie um registro TXT com o nome "_dmarc.seudominio.com". O valor começa com "v=DMARC1; p=none;". Adicione "rua=mailto:[email protected]" para receber relatórios agregados. Esses relatórios informam quais remetentes estão usando seu domínio e se passam na autenticação. Após algumas semanas de monitoramento, mude "p=none" para "p=quarantine" e, eventualmente, para "p=reject".
Esse processo é tedioso e propenso a erros. Um pequeno empresário com quem trabalhei acidentalmente definiu "p=reject" antes de testar e bloqueou todos os e-mails de seus próprios clientes por dois dias. É por isso que muitas equipes recorrem a uma solução que gerencia esses registros automaticamente.
O GridInbox automatiza a configuração de DMARC, DKIM e SPF para que você nunca mais precise mexer em registros DNS.
O GridInbox é um SaaS de gerenciamento de aliases de e-mail multi-inquilino que funciona com AWS SES e Cloudflare Email Routing. Quando você conecta seu domínio ao GridInbox, a plataforma gera e publica automaticamente os registros SPF, DKIM e DMARC corretos para sua infraestrutura de envio. Você não precisa copiar e colar chaves ou contar consultas DNS.
Aqui está o que o GridInbox gerencia automaticamente:
- Geração de registro SPF: O GridInbox cria um registro SPF que inclui todas as faixas de IP do AWS SES e Cloudflare Email Routing, com as declarações "include" corretas e a política de falha suave/grave certa com base na sua preferência.
- Assinatura DKIM: Todo e-mail enviado pelo GridInbox é automaticamente assinado com DKIM usando uma chave única por domínio. A chave pública é publicada no seu DNS por meio da integração com o GridInbox.
- Gerenciamento de política DMARC: O GridInbox define um registro DMARC com "p=none" por padrão e fornece um painel onde você pode ver as taxas de aprovação/reprovação de autenticação. Quando se sentir confortável, você pode mudar para "quarantine" ou "reject" com um clique.
- Monitoramento contínuo: O GridInbox alerta você se algum dos seus registros mudar ou expirar. Você recebe relatórios semanais mostrando quantos e-mails passaram ou falharam na autenticação.
Por exemplo, uma pequena empresa de e-commerce que usa o GridInbox configurou 50 aliases de e-mail para sua equipe de suporte (help@, orders@, billing@) e nunca precisou configurar um único registro DNS. A taxa de entregabilidade deles subiu de 78% para 99% em duas semanas porque os registros de autenticação estavam corretos e completos.
O GridInbox também oferece suporte a caixas de entrada compartilhadas em equipe com controle de acesso baseado em funções (RBAC) e aliases ilimitados. Se você envia e-mails de vários domínios ou gerencia aliases para clientes, o GridInbox lida com a autenticação de todos os domínios em um só lugar.
Erros comuns na configuração de DMARC, DKIM e SPF que prejudicam a entregabilidade (e como evitá-los)
Até profissionais de TI experientes cometem esses erros. Aqui estão os cinco principais e como o GridInbox os previne.
Erro 1: Usar vários registros SPF
Você só pode ter um registro SPF por domínio. Se você adicionar um segundo, ambos são ignorados. O GridInbox mescla todas as suas inclusões SPF em um único registro automaticamente.
Erro 2: Esquecer de incluir todos os serviços de envio
Se você usa Gmail, Mailchimp e um serviço de e-mail transacional, cada um precisa de um "include" no seu registro SPF. Se esquecer um, os e-mails desse serviço falham no SPF. O GridInbox escaneia seus serviços conectados e os inclui todos.
Erro 3: Definir DMARC como "reject" muito cedo
Se você definir "p=reject" sem testar, bloqueará e-mails legítimos de serviços que você esqueceu de incluir. O GridInbox começa com "p=none" e só passa para políticas mais rigorosas depois que você analisa os dados.
Erro 4: Usar o seletor DKIM errado
Cada provedor de e-mail usa um seletor DKIM diferente. Se você copiar o errado, sua assinatura DKIM não corresponderá à chave pública. O GridInbox gera o seletor correto para AWS SES e Cloudflare automaticamente.
Erro 5: Não monitorar os relatórios DMARC
Os relatórios DMARC são arquivos XML difíceis de ler. A maioria das pessoas os ignora. O GridInbox analisa esses relatórios em um painel simples mostrando taxas de aprovação/reprovação e as principais fontes de envio.
Perguntas Frequentes
O que é a configuração de DMARC, DKIM e SPF explicada em termos simples?
DMARC, DKIM e SPF são três protocolos de autenticação de e-mail que trabalham juntos para provar que seus e-mails são legítimos e não foram falsificados. O SPF lista quais servidores podem enviar e-mails em nome do seu domínio, o DKIM adiciona uma assinatura digital a cada e-mail e o DMARC informa aos provedores de e-mail o que fazer se essas verificações falharem.
Preciso de DMARC, DKIM e SPF para a entregabilidade de e-mail?
Sim. Sem os três, seus e-mails têm mais chances de cair em pastas de spam ou serem rejeitados completamente. Google e Yahoo agora exigem DMARC para remetentes em massa, e até mesmo pequenos remetentes veem uma queda de 20 a 40% na entregabilidade sem a autenticação adequada.
Como verifico se meu DMARC, DKIM e SPF estão configurados corretamente?
Use ferramentas gratuitas como MXToolbox para verificações de SPF e DKIM, e o DMARC Analyzer para sua política DMARC. Digite seu domínio e as ferramentas mostrarão seus registros atuais e quaisquer erros. Execute essas verificações pelo menos uma vez por mês.
O que acontece se eu não configurar DMARC, DKIM e SPF?
Seu domínio fica vulnerável a ataques de falsificação e phishing. Spammers podem enviar e-mails que parecem vir de você, prejudicando sua marca e potencialmente custando dinheiro. Seus e-mails legítimos também podem ser devolvidos ou ir para o spam, reduzindo o engajamento do cliente.
Posso configurar DMARC, DKIM e SPF sem mexer no DNS?
Sim, se você usar um serviço como o GridInbox que se integra ao seu provedor de DNS via API. O GridInbox cria e gerencia automaticamente os registros DNS necessários para SPF, DKIM e DMARC, para que você nunca precise editar registros manualmente.
Quanto tempo leva para as alterações de DMARC, DKIM e SPF fazerem efeito?
As alterações de DNS geralmente se propagam entre 1 e 48 horas, embora a maioria das atualizações entre em vigor em 15 a 30 minutos. As mudanças na política DMARC (como passar de p=none para p=reject) devem ser testadas por pelo menos 2 semanas antes de mudar para uma política mais rigorosa.
자체 도메인으로 이메일을 보낸다면 SPF, DKIM, DMARC라는 알파벳 조합을 들어보셨을 겁니다. 이 세 가지 프로토콜은 이메일이 받은편지함에 도착할지, 스팸으로 분류될지를 결정합니다. 이 가이드에서는 각각을 쉬운 용어로 설명하고, 무료로 설정 상태를 확인하는 방법을 알려드리며, GridInbox 같은 도구가 DNS 레코드를 건드릴 필요 없이 자동으로 처리하는 기능을 소개합니다.
DMARC, DKIM, SPF는 이메일 인증의 세 기둥으로, 이메일 제공업체에 당신이 스패머가 아님을 증명합니다.
이메일을 택배 상자라고 생각해보세요. SPF는 송장에 적힌 발신자 ID입니다. DKIM은 상자에 부착된 변조 방지 봉인입니다. DMARC는 우체국을 위한 설명서입니다. "ID나 봉인이 없으면 이렇게 처리하세요"라는 지침이죠. 이 세 가지가 함께 작동하여 이메일이 실제로 당신의 도메인에서 발송되었으며, 다른 사람이 위조한 것이 아님을 증명합니다.
SPF: 당신의 도메인을 대신해 이메일을 보낼 수 있는 IP 주소 목록입니다. 스팸 발송자가 당신의 도메인을 발신자 주소로 사용하는 것을 차단합니다.
DKIM: 발신 이메일마다 추가되는 디지털 서명입니다. 수신 서버는 이 서명을 DNS에 게시된 공개 키와 대조하여 확인합니다. 서명이 유효하면 이메일이 전송 중에 변경되지 않았고 실제로 당신이 보낸 것임을 의미합니다.
DMARC: SPF 또는 DKIM 검사에 실패한 이메일을 수신 서버가 어떻게 처리할지 알려주는 정책 규칙입니다. 옵션: 아무 조치 안 함(모니터링), 격리(스팸으로 보냄), 거부(완전 차단). DMARC는 또한 누가 당신의 도메인을 사용해 이메일을 보내는지 알려주는 보고서를 제공합니다.
DMARC, DKIM, SPF 설정이 제대로 되어 있지 않으면 이메일 전달률이 급격히 떨어지고 도메인이 스푸핑될 수 있습니다.
Valimail의 2024년 보고서에 따르면, 이메일을 발송하는 도메인의 74%가 여전히 DMARC 정책을 가지고 있지 않습니다. 즉, 비즈니스 도메인 4개 중 3개가 사칭에 취약하다는 뜻입니다. 스패머가 당신이 보낸 것처럼 보이는 이메일을 발송하면 고객이 사기를 당하고 도메인이 블랙리스트에 등록됩니다. 인증 레코드가 없거나 잘못 설정된 경우, 팀의 정당한 이메일조차 스팸으로 분류될 수 있습니다.
실제 수치: Google과 Yahoo는 이제 대량 발송자(하루 5,000통 이상)에게 DMARC를 요구합니다. 2024년 2월부터 두 제공업체는 대량 발송자의 경우 SPF 또는 DKIM에 실패한 이메일을 거부하기 시작했습니다. 소규모 발송자에게도 영향은 심각합니다. MXToolbox의 연구에 따르면 유효한 SPF 및 DKIM 레코드가 있는 도메인은 받은편지함 도달률이 95% 이상인 반면, 인증이 없는 도메인은 60%까지 떨어집니다.
이메일 인증을 건너뛰면 어떤 일이 발생하나요?
도메인이 피싱 공격에 사용됩니다. 정당한 이메일이 반송되거나 스팸으로 분류됩니다. 브랜드 평판이 손상됩니다. 그리고 돈을 잃습니다. 소규모 비즈니스의 경우, 한 번의 스푸핑된 이메일이 사기 복구와 고객 신뢰 상실로 수만 달러의 비용을 초래할 수 있습니다.
현재 DMARC, DKIM, SPF 설정을 무료 온라인 도구로 확인할 수 있습니다.
DNS 전문가가 아니어도 레코드를 확인할 수 있습니다. 다음 세 가지 무료 도구를 사용하면 무엇이 작동하고 무엇이 누락되었는지 정확히 알 수 있습니다.
MXToolbox
mxtoolbox.com에 접속하여 도메인 이름을 입력하세요. "SPF Record Check" 도구를 사용하세요. SPF 레코드가 있으면 표시하고, 구문 오류를 알려줍니다. 유효한 SPF 레코드는 다음과 같습니다: v=spf1 include:_spf.google.com ~all. 이 도구에는 "DKIM Lookup" 기능도 있어 도메인과 셀렉터(보통 "default" 또는 Google Workspace 사용 시 "google")를 입력하면 확인할 수 있습니다.
DMARC Analyzer
dmarcanalyzer.com/dmarc-check를 사용하세요. 도메인을 입력하면 DMARC 레코드가 있는 경우 표시됩니다. 유효한 DMARC 레코드는 다음과 같습니다: v=DMARC1; p=none; rua=mailto:[email protected]. "p" 값은 정책을 나타냅니다: none(모니터링 전용), quarantine(격리), reject(거부). 대부분의 전문가는 데이터 수집을 위해 "none"으로 시작한 후 몇 주 후에 "quarantine"으로, 최종적으로 "reject"로 전환할 것을 권장합니다.
Google Postmaster Tools
Gmail 사용자에게 많은 이메일을 보내는 경우 Google Postmaster Tools를 설정하세요. 도메인 평판, 스팸 비율, 인증 성공/실패율을 보여주는 대시보드를 제공합니다. 무료이며 DNS TXT 레코드로 도메인을 인증하기만 하면 됩니다.
팁: 최소한 한 달에 한 번은 세 가지 검사를 모두 실행하세요. 새 이메일 서비스 제공업체를 추가하거나 호스팅을 변경하면 이메일 인증 레코드가 변경될 수 있습니다.
SPF, DKIM, DMARC를 수동으로 설정하려면 DNS 레코드를 편집해야 하며, 대부분의 소규모 비즈니스 소유자가 여기서 막힙니다.
각 프로토콜에는 특정 DNS 레코드가 필요합니다. 각각의 단계별 가이드는 다음과 같지만, 한 글자 오타가 몇 시간 또는 며칠 동안 이메일을 중단시킬 수 있음을 경고합니다.
SPF 설정
도메인에 대한 TXT 레코드를 생성하고 값을 입력하세요: v=spf1 include:your-email-provider.com ~all. "your-email-provider.com"을 이메일 서비스 도메인(예: Google Workspace의 경우 spf.google.com, Mailchimp의 경우 spf.mandrillapp.com)으로 바꾸세요. "~all"은 소프트 실패(의심스럽지만 전달)를 의미합니다. 테스트 후에만 "-all"(하드 실패, 거부)을 사용하세요. 중요: 하나의 SPF 레코드에 10개 이상의 DNS 조회를 포함할 수 없습니다. 각 "include"는 하나의 조회로 계산됩니다.
DKIM 설정
이메일 제공업체가 DKIM 셀렉터와 공개 키를 제공합니다. DNS 제공업체로 이동하여 이름이 "selector._domainkey.yourdomain.com"인 TXT 레코드를 생성하세요. 값은 제공업체가 제공한 공개 키 문자열입니다. Google Workspace의 경우 셀렉터는 보통 "google"입니다. 따라서 전체 레코드 이름은 "google._domainkey.yourdomain.com"입니다.
DMARC 설정
이름이 "_dmarc.yourdomain.com"인 TXT 레코드를 생성하세요. 값은 "v=DMARC1; p=none;"으로 시작합니다. 집계 보고서를 받으려면 "rua=mailto:[email protected]"을 추가하세요. 이 보고서는 어떤 발신자가 도메인을 사용하고 있는지, 인증에 통과하는지 알려줍니다. 몇 주 모니터링 후 "p=none"을 "p=quarantine"으로, 최종적으로 "p=reject"로 변경하세요.
이 과정은 지루하고 오류가 발생하기 쉽습니다. 제가 함께 일했던 한 소규모 비즈니스 소유자는 테스트 없이 실수로 "p=reject"를 설정하여 이틀 동안 모든 고객 이메일을 차단했습니다. 그래서 많은 팀이 이러한 레코드를 자동으로 처리하는 솔루션을 찾습니다.
GridInbox는 DMARC, DKIM, SPF 구성을 자동화하여 DNS 레코드를 다시는 건드릴 필요가 없게 만듭니다.
GridInbox는 AWS SES 및 Cloudflare Email Routing과 함께 작동하는 멀티 테넌트 이메일 별칭 관리 SaaS입니다. 도메인을 GridInbox에 연결하면 플랫폼이 발송 인프라에 맞는 올바른 SPF, DKIM, DMARC 레코드를 자동으로 생성하고 게시합니다. 키를 복사하여 붙여넣거나 DNS 조회 수를 셀 필요가 없습니다.
GridInbox가 자동으로 처리하는 기능은 다음과 같습니다:
- SPF 레코드 생성: GridInbox는 AWS SES 및 Cloudflare Email Routing의 모든 IP 범위를 포함하는 SPF 레코드를 생성하며, 선호도에 따라 올바른 "include" 문과 적절한 소프트/하드 실패 정책을 적용합니다.
- DKIM 서명: GridInbox를 통해 전송되는 모든 이메일은 도메인별 고유 키로 자동 DKIM 서명됩니다. 공개 키는 GridInbox 통합을 통해 DNS에 게시됩니다.
- DMARC 정책 관리: GridInbox는 기본적으로 "p=none"으로 DMARC 레코드를 설정하고, 인증 성공/실패율을 확인할 수 있는 대시보드를 제공합니다. 준비가 되면 한 번의 클릭으로 "quarantine" 또는 "reject"로 전환할 수 있습니다.
- 지속적인 모니터링: GridInbox는 레코드가 변경되거나 만료되면 알림을 보냅니다. 인증을 통과하거나 실패한 이메일 수를 보여주는 주간 보고서를 받을 수 있습니다.
예를 들어, GridInbox를 사용하는 한 소규모 전자상거래 회사는 지원팀을 위해 50개의 이메일 별칭(help@, orders@, billing@)을 설정했으며 단 하나의 DNS 레코드도 직접 구성할 필요가 없었습니다. 인증 레코드가 정확하고 완전했기 때문에 전달률이 2주 만에 78%에서 99%로 상승했습니다.
GridInbox는 역할 기반 접근 제어(RBAC)와 무제한 별칭을 갖춘 팀 공유 받은편지함도 지원합니다. 여러 도메인에서 이메일을 보내거나 클라이언트의 별칭을 관리하는 경우 GridInbox는 모든 도메인의 인증을 한 곳에서 처리합니다.
DMARC, DKIM, SPF 설정에서 전달률을 떨어뜨리는 일반적인 실수(및 이를 방지하는 방법)
경험 많은 IT 전문가도 이러한 실수를 저지릅니다. 다음은 상위 5가지 실수와 GridInbox가 이를 방지하는 방법입니다.
실수 1: 여러 SPF 레코드 사용
도메인당 하나의 SPF 레코드만 사용할 수 있습니다. 두 번째 레코드를 추가하면 둘 다 무시됩니다. GridInbox는 모든 SPF include를 자동으로 하나의 레코드로 병합합니다.
실수 2: 모든 발송 서비스를 포함하지 않음
Gmail, Mailchimp, 트랜잭셔널 이메일 서비스를 사용하는 경우 각각 SPF 레코드에 "include"가 필요합니다. 하나라도 누락하면 해당 서비스의 이메일이 SPF에 실패합니다. GridInbox는 연결된 서비스를 스캔하여 모두 포함합니다.
실수 3: 너무 일찍 DMARC를 "reject"로 설정
테스트 없이 "p=reject"를 설정하면 포함하지 않은 서비스의 정당한 이메일을 차단합니다. GridInbox는 "p=none"으로 시작하며, 데이터를 검토한 후에만 더 엄격한 정책으로 전환합니다.
실수 4: 잘못된 DKIM 셀렉터 사용
각 이메일 제공업체는 다른 DKIM 셀렉터를 사용합니다. 잘못된 셀렉터를 복사하면 DKIM 서명이 공개 키와 일치하지 않습니다. GridInbox는 AWS SES 및 Cloudflare에 맞는 올바른 셀렉터를 자동으로 생성합니다.
실수 5: DMARC 보고서 모니터링 안 함
DMARC 보고서는 읽기 어려운 XML 파일입니다. 대부분의 사람들이 무시합니다. GridInbox는 이러한 보고서를 성공/실패율과 주요 발송 소스를 보여주는 간단한 대시보드로 변환합니다.
자주 묻는 질문
DMARC DKIM SPF 설정을 간단히 설명하면 무엇인가요?
DMARC, DKIM, SPF는 함께 작동하여 이메일이 정당하고 위조되지 않았음을 증명하는 세 가지 이메일 인증 프로토콜입니다. SPF는 도메인 대신 이메일을 보낼 수 있는 서버를 나열하고, DKIM은 각 이메일에 디지털 서명을 추가하며, DMARC는 이러한 검사에 실패할 경우 이메일 제공업체가 어떻게 처리할지 알려줍니다.
이메일 전달률을 위해 DMARC DKIM SPF가 필요한가요?
네. 세 가지 모두 없으면 이메일이 스팸 폴더에 들어가거나 완전히 거부될 가능성이 높아집니다. Google과 Yahoo는 이제 대량 발송자에게 DMARC를 요구하며, 소규모 발송자도 적절한 인증 없이 전달률이 20-40% 떨어집니다.
DMARC DKIM SPF가 올바르게 설정되었는지 어떻게 확인하나요?
SPF 및 DKIM 확인을 위해 MXToolbox, DMARC 정책 확인을 위해 DMARC Analyzer와 같은 무료 도구를 사용하세요. 도메인을 입력하면 현재 레코드와 오류를 보여줍니다. 최소 한 달에 한 번은 이러한 검사를 실행하세요.
DMARC DKIM SPF를 설정하지 않으면 어떻게 되나요?
도메인이 스푸핑 및 피싱 공격에 취약해집니다. 스패머가 당신이 보낸 것처럼 보이는 이메일을 발송하여 브랜드를 손상시키고 잠재적으로 비용 손실을 초래할 수 있습니다. 정당한 이메일도 반송되거나 스팸으로 분류되어 고객 참여도가 낮아집니다.
DNS를 건드리지 않고 DMARC DKIM SPF를 설정할 수 있나요?
네, API를 통해 DNS 제공업체와 통합하는 GridInbox와 같은 서비스를 사용하면 가능합니다. GridInbox는 SPF, DKIM, DMARC에 필요한 DNS 레코드를 자동으로 생성하고 관리하므로 수동으로 레코드를 편집할 필요가 없습니다.
DMARC DKIM SPF 변경 사항이 적용되는 데 얼마나 걸리나요?
DNS 변경 사항은 일반적으로 1시간에서 48시간 이내에 전파되지만, 대부분의 업데이트는 15-30분 내에 적용됩니다. DMARC 정책 변경(예: p=none에서 p=reject로 전환)은 더 엄격한 정책으로 전환하기 전에 최소 2주 동안 테스트해야 합니다.
Если вы отправляете письма с собственного домена, вы наверняка слышали эту аббревиатурную кашу: SPF, DKIM, DMARC. Эти три протокола решают, попадут ваши письма во «Входящие» или будут помечены как спам. В этом руководстве мы объясним каждый из них простым языком, покажем, как бесплатно проверить вашу настройку, и расскажем, что инструмент вроде GridInbox может автоматизировать, чтобы вам больше никогда не пришлось трогать DNS-записи.
DMARC, DKIM и SPF — это три столпа аутентификации email, которые доказывают почтовым провайдерам, что вы не спамер.
Представьте, что ваше письмо — это посылка. SPF — это удостоверение отправителя на почтовой наклейке. DKIM — это пломба, защищающая от вскрытия. DMARC — это инструкция для почтового отделения: «Если удостоверение или пломба отсутствуют, делайте с посылкой вот что». Вместе они доказывают, что письмо действительно пришло с вашего домена и не было подделано.
SPF: Список IP-адресов, которым разрешено отправлять письма от имени вашего домена. Он не позволяет злоумышленникам использовать ваш домен в поле «От» в своих спам-письмах.
DKIM: Цифровая подпись, добавляемая к каждому исходящему письму. Сервер получателя проверяет эту подпись по открытому ключу, опубликованному в вашем DNS. Если подпись действительна, письмо не было изменено при передаче и действительно отправлено вами.
DMARC: Политика, которая указывает серверам получателей, что делать с письмами, не прошедшими проверку SPF или DKIM. Варианты: ничего не делать (мониторинг), поместить в спам (карантин) или отклонить (полная блокировка). DMARC также предоставляет отчеты, показывающие, кто отправляет письма с вашего домена.
Без правильной настройки DMARC, DKIM и SPF доставляемость ваших писем резко падает, а ваш домен могут подделать.
Согласно отчету Valimail за 2024 год, у 74% доменов, отправляющих письма, по-прежнему нет политики DMARC. Это означает, что 3 из 4 бизнес-доменов полностью открыты для подделки. Когда спамер отправляет письмо, которое выглядит так, будто оно от вас, ваши клиенты становятся жертвами мошенничества, а ваш домен попадает в черный список. Даже легитимные письма от вашей собственной команды могут оказаться в спаме, если записи аутентификации отсутствуют или настроены неправильно.
Реальные цифры: Google и Yahoo теперь требуют DMARC для массовых отправителей (более 5000 писем в день). Начиная с февраля 2024 года оба провайдера начали отклонять письма, не прошедшие SPF или DKIM, для отправителей с большим объемом. Для небольших отправителей последствия также серьезны. Исследование MXToolbox показало, что домены с валидными записями SPF и DKIM имеют уровень попадания во «Входящие» выше 95%, тогда как у доменов без аутентификации этот показатель падает до 60%.
Что происходит, если вы пропускаете аутентификацию email
Ваш домен используется в фишинговых атаках. Ваши легитимные письма не доставляются или попадают в спам. Репутация вашего бренда страдает. И вы теряете деньги. Для малого бизнеса одно поддельное письмо может стоить десятков тысяч на восстановление после мошенничества и потерю доверия клиентов.
Вы можете бесплатно проверить текущую настройку DMARC, DKIM и SPF с помощью онлайн-инструментов.
Вам не нужно быть экспертом по DNS, чтобы проверить свои записи. Вот три бесплатных инструмента, которые покажут, что работает, а что отсутствует.
MXToolbox
Зайдите на mxtoolbox.com и введите имя вашего домена. Используйте инструмент «SPF Record Check». Он покажет вашу SPF-запись, если она существует, и укажет на синтаксические ошибки. Валидная SPF-запись выглядит примерно так: v=spf1 include:_spf.google.com ~all. В инструменте также есть «DKIM Lookup», где нужно ввести ваш домен и селектор (обычно «default» или «google», если вы используете Google Workspace).
DMARC Analyzer
Используйте dmarcanalyzer.com/dmarc-check. Введите ваш домен, и инструмент покажет вашу DMARC-запись, если она есть. Валидная DMARC-запись выглядит так: v=DMARC1; p=none; rua=mailto:[email protected]. Значение «p» указывает политику: none (только мониторинг), quarantine (карантин) или reject (отклонение). Большинство экспертов рекомендуют начинать с «none», чтобы собрать данные, затем переходить к «quarantine» и, наконец, к «reject» через несколько недель.
Google Postmaster Tools
Если вы отправляете много писем пользователям Gmail, настройте Google Postmaster Tools. Он предоставляет панель управления с информацией о репутации вашего домена, уровне спама и проценте прохождения аутентификации. Инструмент бесплатный и требует только подтверждения домена с помощью TXT-записи DNS.
Совет: Запускайте все три проверки хотя бы раз в месяц. Записи аутентификации email могут измениться при подключении нового почтового провайдера или смене хостинга.
Ручная настройка SPF, DKIM и DMARC требует редактирования DNS-записей — именно на этом этапе большинство владельцев малого бизнеса застревают.
Каждый протокол требует определенной DNS-записи. Вот пошаговая инструкция для каждого, но предупреждаем: одна опечатка может нарушить работу вашей почты на часы или дни.
Настройка SPF
Создайте TXT-запись для вашего домена со значением: v=spf1 include:ваш-почтовый-провайдер.com ~all. Замените «ваш-почтовый-провайдер.com» на домен вашего почтового сервиса (например, spf.google.com для Google Workspace, spf.mandrillapp.com для Mailchimp). «~all» означает мягкий отказ (пометить как подозрительное, но доставить). Используйте «-all» для жесткого отказа (отклонить) только после тестирования. Важно: В одной SPF-записи не может быть более 10 DNS-запросов. Каждый «include» считается за один запрос.
Настройка DKIM
Ваш почтовый провайдер предоставит вам селектор DKIM и открытый ключ. Перейдите к вашему DNS-провайдеру и создайте TXT-запись с именем «селектор._domainkey.вашдомен.com». Значение — это строка открытого ключа, которую дал ваш провайдер. Для Google Workspace селектор обычно «google». Таким образом, полное имя записи — «google._domainkey.вашдомен.com».
Настройка DMARC
Создайте TXT-запись с именем «_dmarc.вашдомен.com». Значение начинается с «v=DMARC1; p=none;». Добавьте «rua=mailto:вы@вашдомен.com», чтобы получать агрегированные отчеты. Эти отчеты показывают, какие отправители используют ваш домен и проходят ли они аутентификацию. Через несколько недель мониторинга измените «p=none» на «p=quarantine», а затем на «p=reject».
Этот процесс утомителен и чреват ошибками. Один владелец малого бизнеса, с которым я работал, случайно установил «p=reject» до тестирования и заблокировал все собственные письма клиентам на два дня. Вот почему многие команды обращаются к решениям, которые управляют этими записями автоматически.
GridInbox автоматизирует настройку DMARC, DKIM и SPF, чтобы вам больше никогда не пришлось трогать DNS-записи.
GridInbox — это мультитенантный SaaS для управления почтовыми алиасами, который работает с AWS SES и Cloudflare Email Routing. Когда вы подключаете свой домен к GridInbox, платформа автоматически генерирует и публикует правильные записи SPF, DKIM и DMARC для вашей инфраструктуры отправки. Вам не нужно копировать ключи или подсчитывать DNS-запросы.
Вот что GridInbox делает автоматически:
- Генерация SPF-записи: GridInbox создает SPF-запись, которая включает все IP-диапазоны для AWS SES и Cloudflare Email Routing, с правильными операторами «include» и нужной политикой мягкого/жесткого отказа в соответствии с вашими предпочтениями.
- Подпись DKIM: Каждое письмо, отправленное через GridInbox, автоматически подписывается DKIM с уникальным ключом для каждого домена. Открытый ключ публикуется в вашем DNS через интеграцию с GridInbox.
- Управление политикой DMARC: GridInbox устанавливает DMARC-запись с «p=none» по умолчанию, а затем предоставляет панель управления, где вы можете видеть процент прохождения аутентификации. Когда будете готовы, вы можете одним кликом переключиться на «quarantine» или «reject».
- Непрерывный мониторинг: GridInbox уведомляет вас, если какая-либо из ваших записей изменится или истечет. Вы получаете еженедельные отчеты о том, сколько писем прошло или не прошло аутентификацию.
Например, небольшая компания электронной коммерции, использующая GridInbox, настроила 50 почтовых алиасов для своей службы поддержки (help@, orders@, billing@) и ни разу не настраивала ни одну DNS-запись вручную. Уровень доставляемости вырос с 78% до 99% в течение двух недель, потому что записи аутентификации были правильными и полными.
GridInbox также поддерживает общие командные почтовые ящики с управлением доступом на основе ролей (RBAC) и неограниченным количеством алиасов. Если вы отправляете письма с нескольких доменов или управляете алиасами для клиентов, GridInbox обрабатывает аутентификацию для каждого домена в одном месте.
Распространенные ошибки при настройке DMARC, DKIM и SPF, которые снижают доставляемость (и как их избежать)
Даже опытные IT-специалисты допускают эти ошибки. Вот пять самых распространенных и как GridInbox их предотвращает.
Ошибка 1: Использование нескольких SPF-записей
На домен может быть только одна SPF-запись. Если вы добавите вторую, обе будут проигнорированы. GridInbox автоматически объединяет все ваши SPF-включения в одну запись.
Ошибка 2: Забыть включить все сервисы отправки
Если вы используете Gmail, Mailchimp и сервис транзакционных писем, каждый из них должен быть добавлен через «include» в вашу SPF-запись. Пропустите один — и письма с этого сервиса не пройдут SPF. GridInbox сканирует ваши подключенные сервисы и включает их все.
Ошибка 3: Слишком ранняя установка DMARC на «reject»
Если вы установите «p=reject» без тестирования, вы заблокируете легитимные письма от сервисов, которые забыли включить. GridInbox начинает с «p=none» и переходит к более строгим политикам только после анализа данных.
Ошибка 4: Использование неправильного селектора DKIM
Каждый почтовый провайдер использует свой селектор DKIM. Если вы скопируете неправильный, ваша подпись DKIM не совпадет с открытым ключом. GridInbox автоматически генерирует правильный селектор для AWS SES и Cloudflare.
Ошибка 5: Игнорирование отчетов DMARC
Отчеты DMARC — это XML-файлы, которые сложно читать. Большинство людей их игнорируют. GridInbox преобразует эти отчеты в простую панель управления с показателями прохождения/непрохождения и основными источниками отправки.
Часто задаваемые вопросы
Что такое настройка DMARC, DKIM и SPF простыми словами?
DMARC, DKIM и SPF — это три протокола аутентификации email, которые работают вместе, чтобы доказать, что ваши письма легитимны и не подделаны. SPF перечисляет серверы, которые могут отправлять письма от вашего домена, DKIM добавляет цифровую подпись к каждому письму, а DMARC указывает почтовым провайдерам, что делать, если эти проверки не пройдены.
Нужны ли мне DMARC, DKIM и SPF для доставляемости писем?
Да. Без всех трех ваши письма с большей вероятностью попадут в спам или будут полностью отклонены. Google и Yahoo теперь требуют DMARC для массовых отправителей, и даже у небольших отправителей доставляемость падает на 20-40% без правильной аутентификации.
Как проверить, правильно ли настроены DMARC, DKIM и SPF?
Используйте бесплатные инструменты, такие как MXToolbox для проверки SPF и DKIM, и DMARC Analyzer для вашей политики DMARC. Введите ваш домен, и инструменты покажут текущие записи и ошибки. Проводите эти проверки хотя бы раз в месяц.
Что будет, если не настроить DMARC, DKIM и SPF?
Ваш домен становится уязвимым для подделки и фишинговых атак. Спамеры могут отправлять письма, которые выглядят как ваши, нанося ущерб вашему бренду и потенциально стоят вам денег. Ваши легитимные письма также могут не доставляться или попадать в спам, снижая вовлеченность клиентов.
Можно ли настроить DMARC, DKIM и SPF без редактирования DNS?
Да, если вы используете сервис вроде GridInbox, который интегрируется с вашим DNS-провайдером через API. GridInbox автоматически создает и управляет необходимыми DNS-записями для SPF, DKIM и DMARC, так что вам никогда не придется редактировать записи вручную.
Сколько времени занимает вступление в силу изменений DMARC, DKIM и SPF?
Изменения DNS обычно распространяются в течение 1–48 часов, хотя большинство обновлений вступают в силу в течение 15–30 минут. Изменения политики DMARC (например, переход с p=none на p=reject) следует тестировать не менее 2 недель перед переключением на более строгую политику.
إذا كنت ترسل بريدًا إلكترونيًا من نطاقك الخاص، فمن المحتمل أنك سمعت عن هذه المصطلحات: SPF وDKIM وDMARC. تحدد هذه البروتوكولات الثلاثة ما إذا كانت رسائلك الإلكترونية تصل إلى صندوق الوارد أم يتم وضع علامة عليها كبريد عشوائي. يشرح هذا الدليل كل منها بلغة بسيطة، ويوضح لك كيفية التحقق من إعداداتك مجانًا، ويكشف عن المهام التي يمكن لأداة مثل GridInbox التعامل معها تلقائيًا حتى لا تضطر أبدًا إلى لمس سجلات DNS مرة أخرى.
DMARC وDKIM وSPF هي الركائز الثلاث لمصادقة البريد الإلكتروني التي تخبر مزودي البريد الإلكتروني أنك لست مرسل بريد عشوائي.
فكر في بريدك الإلكتروني كطرد. SPF هو معرف المرسل على ملصق الشحن. DKIM هو ختم مقاوم للعبث على الصندوق. DMARC هو دليل التعليمات لمكتب البريد: "إذا كان المعرف أو الختم مفقودًا، فإليك ما يجب فعله بالطرد." معًا، يثبتون أن البريد الإلكتروني قد جاء بالفعل من نطاقك ولم يتم تزويره من قبل شخص آخر.
SPF: قائمة بعناوين IP المسموح لها بإرسال البريد الإلكتروني نيابة عن نطاقك. يمنع الجهات الخبيثة من استخدام نطاقك في عنوان "من" في رسائل البريد العشوائي الخاصة بهم.
DKIM: توقيع رقمي يُضاف إلى كل بريد إلكتروني صادر. يتحقق الخادم المستقبل من هذا التوقيع مقابل مفتاح عام منشور في DNS الخاص بك. إذا كان التوقيع صالحًا، فهذا يعني أن البريد الإلكتروني لم يتم تغييره أثناء النقل وأنه جاء منك بالفعل.
DMARC: قاعدة سياسة تخبر الخوادم المستقبلة بما يجب فعله مع رسائل البريد الإلكتروني التي تفشل في فحوصات SPF أو DKIM. الخيارات: لا تفعل شيئًا (مراقبة)، أو عزل (إرسال إلى البريد العشوائي)، أو رفض (حظر كليًا). يمنحك DMARC أيضًا تقارير تظهر من يرسل بريدًا إلكترونيًا باستخدام نطاقك.
بدون إعداد صحيح لـ DMARC وDKIM وSPF، تنخفض معدلات توصيل بريدك الإلكتروني بشكل كبير ويمكن تزوير نطاقك.
وفقًا لتقرير صادر عن Valimail في عام 2024، لا يزال 74% من النطاقات التي ترسل بريدًا إلكترونيًا ليس لديها سياسة DMARC. وهذا يعني أن 3 من كل 4 نطاقات تجارية معرضة تمامًا للانتحال. عندما يرسل مرسل بريد عشوائي بريدًا إلكترونيًا يبدو أنه منك، يتعرض عملاؤك للاحتيال ويتم إدراج نطاقك في القائمة السوداء. حتى الرسائل الإلكترونية المشروعة من فريقك الخاص يمكن أن تصل إلى البريد العشوائي إذا كانت سجلات المصادقة الخاصة بك مفقودة أو مهيأة بشكل خاطئ.
أرقام حقيقية: تطلب Google وYahoo الآن DMARC للمرسلين بكميات كبيرة (أكثر من 5000 رسالة يوميًا). اعتبارًا من فبراير 2024، بدأ كلا المزودين في رفض رسائل البريد الإلكتروني التي تفشل في SPF أو DKIM للمرسلين ذوي الحجم الكبير. بالنسبة للمرسلين الأصغر، لا يزال التأثير شديدًا. وجدت دراسة أجرتها MXToolbox أن النطاقات التي تحتوي على سجلات SPF وDKIM صالحة تشهد معدلات وصول إلى صندوق الوارد أعلى من 95%، بينما تشهد النطاقات التي لا تحتوي على مصادقة معدلات تصل إلى 60%.
ماذا يحدث عندما تتجاهل مصادقة البريد الإلكتروني
يتم استخدام نطاقك في هجمات التصيد الاحتيالي. ترتد رسائلك الإلكترونية المشروعة أو تذهب إلى البريد العشوائي. تتأثر سمعة علامتك التجارية. وتخسر المال. بالنسبة لشركة صغيرة، يمكن أن تكلف رسالة إلكترونية مزيفة واحدة عشرات الآلاف في استرداد الاحتيال وفقدان ثقة العملاء.
يمكنك التحقق من إعداد DMARC وDKIM وSPF الحالي مجانًا باستخدام أدوات عبر الإنترنت.
لست بحاجة إلى أن تكون خبيرًا في DNS للتحقق من سجلاتك. إليك ثلاث أدوات مجانية ستخبرك بالضبط ما الذي يعمل وما هو مفقود.
MXToolbox
انتقل إلى mxtoolbox.com وأدخل اسم نطاقك. استخدم أداة "SPF Record Check". ستظهر لك سجل SPF الخاص بك إذا كان موجودًا، وستحدد أي أخطاء في الصياغة. يبدو سجل SPF الصالح شيئًا كهذا: v=spf1 include:_spf.google.com ~all. تحتوي الأداة أيضًا على "DKIM Lookup" حيث تدخل نطاقك ومحددًا (عادةً "default" أو "google" إذا كنت تستخدم Google Workspace).
DMARC Analyzer
استخدم dmarcanalyzer.com/dmarc-check. أدخل نطاقك وسيظهر لك سجل DMARC الخاص بك، إن وجد. يبدو سجل DMARC الصالح مثل: v=DMARC1; p=none; rua=mailto:[email protected]. تخبرك قيمة "p" بالسياسة: none (مراقبة فقط)، quarantine (عزل)، أو reject (رفض). يوصي معظم الخبراء بالبدء بـ "none" لجمع البيانات، ثم الانتقال إلى "quarantine" وأخيرًا "reject" بعد بضعة أسابيع.
Google Postmaster Tools
إذا كنت ترسل الكثير من البريد الإلكتروني إلى مستخدمي Gmail، فقم بإعداد Google Postmaster Tools. يمنحك لوحة تحكم تظهر سمعة نطاقك، ومعدل البريد العشوائي، ومعدلات نجاح/فشل المصادقة. إنها مجانية وتتطلب فقط التحقق من نطاقك باستخدام سجل DNS TXT.
نصيحة: قم بتشغيل الفحوصات الثلاثة مرة واحدة على الأقل شهريًا. يمكن أن تتغير سجلات مصادقة البريد الإلكتروني عند إضافة مزود خدمة بريد إلكتروني جديد أو تغيير الاستضافة.
يتطلب إعداد SPF وDKIM وDMARC يدويًا تحرير سجلات DNS، وهنا يعلق معظم أصحاب الشركات الصغيرة.
يتطلب كل بروتوكول سجل DNS محدد. إليك الخطوات التفصيلية لكل منها، لكن كن حذرًا: خطأ مطبعي واحد يمكن أن يعطل بريدك الإلكتروني لساعات أو أيام.
إعداد SPF
أنشئ سجل TXT لنطاقك بالقيمة: v=spf1 include:your-email-provider.com ~all. استبدل "your-email-provider.com" بنطاق خدمة البريد الإلكتروني الخاصة بك (مثل spf.google.com لـ Google Workspace، spf.mandrillapp.com لـ Mailchimp). يعني "~all" فشلًا ناعمًا (وضع علامة كمشبوه ولكن توصيل). استخدم "-all" للفشل الصارم (رفض) فقط بعد الاختبار. مهم: لا يمكن أن يكون لديك أكثر من 10 عمليات بحث DNS في سجل SPF واحد. كل "include" تُحتسب كبحث واحد.
إعداد DKIM
سيمنحك مزود البريد الإلكتروني محدد DKIM ومفتاحًا عامًا. انتقل إلى مزود DNS الخاص بك وأنشئ سجل TXT بالاسم "selector._domainkey.yourdomain.com". القيمة هي سلسلة المفتاح العام التي أعطاك إياها مزودك. بالنسبة لـ Google Workspace، المحدد عادةً هو "google". لذا يكون اسم السجل الكامل هو "google._domainkey.yourdomain.com".
إعداد DMARC
أنشئ سجل TXT بالاسم "_dmarc.yourdomain.com". تبدأ القيمة بـ "v=DMARC1; p=none;". أضف "rua=mailto:[email protected]" لتلقي التقارير المجمعة. تخبرك هذه التقارير بالمرسلين الذين يستخدمون نطاقك وما إذا كانوا يجتازون المصادقة. بعد بضعة أسابيع من المراقبة، غيّر "p=none" إلى "p=quarantine" ثم في النهاية إلى "p=reject".
هذه العملية شاقة وعرضة للأخطاء. أحد أصحاب الشركات الصغيرة الذي عملت معه قام عن طريق الخطأ بتعيين "p=reject" قبل الاختبار ومنع جميع رسائل البريد الإلكتروني الخاصة بعملائه لمدة يومين. لهذا السبب يلجأ العديد من الفرق إلى حل يتعامل مع هذه السجلات تلقائيًا.
GridInbox تؤتمت تكوين DMARC وDKIM وSPF بحيث لا تضطر أبدًا إلى لمس سجلات DNS مرة أخرى.
GridInbox هي خدمة إدارة أسماء البريد الإلكتروني متعددة المستأجرين تعمل مع AWS SES وCloudflare Email Routing. عندما تربط نطاقك بـ GridInbox، تقوم المنصة تلقائيًا بإنشاء ونشر سجلات SPF وDKIM وDMARC الصحيحة للبنية التحتية للإرسال الخاصة بك. لست بحاجة إلى نسخ ولصق المفاتيح أو عد عمليات بحث DNS.
إليك ما تتعامل معه GridInbox تلقائيًا:
- إنشاء سجل SPF: تنشئ GridInbox سجل SPF يتضمن جميع نطاقات IP الخاصة بـ AWS SES وCloudflare Email Routing، مع عبارات "include" الصحيحة وسياسة الفشل الناعم/الصارم المناسبة بناءً على تفضيلاتك.
- توقيع DKIM: يتم توقيع كل بريد إلكتروني يُرسل عبر GridInbox تلقائيًا بتوقيع DKIM بمفتاح فريد لكل نطاق. يتم نشر المفتاح العام في DNS الخاص بك عبر تكامل GridInbox.
- إدارة سياسة DMARC: تقوم GridInbox بتعيين سجل DMARC بقيمة "p=none" افتراضيًا، ثم توفر لوحة تحكم حيث يمكنك رؤية معدلات نجاح/فشل المصادقة. بمجرد أن تشعر بالراحة، يمكنك تحويل المفتاح إلى "quarantine" أو "reject" بنقرة واحدة.
- المراقبة المستمرة: تنبهك GridInbox إذا تغير أي من سجلاتك أو انتهت صلاحيته. تحصل على تقارير أسبوعية تظهر عدد رسائل البريد الإلكتروني التي اجتازت أو فشلت في المصادقة.
على سبيل المثال، قامت شركة تجارة إلكترونية صغيرة تستخدم GridInbox بإعداد 50 اسمًا بريديًا لفريق الدعم الخاص بها (help@، orders@، billing@) ولم تضطر أبدًا إلى تكوين سجل DNS واحد. ارتفع معدل التوصيل لديهم من 78% إلى 99% في غضون أسبوعين لأن سجلات المصادقة كانت صحيحة وكاملة.
تدعم GridInbox أيضًا صناديق البريد المشتركة للفريق مع التحكم في الوصول المستند إلى الأدوار (RBAC) وأسماء بريدية غير محدودة. إذا كنت ترسل بريدًا إلكترونيًا من نطاقات متعددة أو تدير أسماء بريدية للعملاء، تتعامل GridInbox مع المصادقة لكل نطاق في مكان واحد.
الأخطاء الشائعة في إعداد DMARC وDKIM وSPF التي تضر بالتوصيل (وكيفية تجنبها)
حتى خبراء تكنولوجيا المعلومات المتمرسون يرتكبون هذه الأخطاء. إليك أهم خمسة أخطاء وكيف تمنعها GridInbox.
الخطأ 1: استخدام سجلات SPF متعددة
يمكن أن يكون لديك سجل SPF واحد فقط لكل نطاق. إذا أضفت سجلًا ثانيًا، يتم تجاهل كليهما. تقوم GridInbox بدمج جميع تضمينات SPF الخاصة بك في سجل واحد تلقائيًا.
الخطأ 2: نسيان تضمين جميع خدمات الإرسال
إذا كنت تستخدم Gmail وMailchimp وخدمة بريد إلكتروني للمعاملات، فكل منها يحتاج إلى "include" في سجل SPF الخاص بك. إذا فاتك واحد، فستفشل رسائل البريد الإلكتروني من تلك الخدمة في فحص SPF. تقوم GridInbox بمسح خدماتك المتصلة وتضمينها جميعًا.
الخطأ 3: تعيين DMARC إلى "reject" مبكرًا جدًا
إذا قمت بتعيين "p=reject" دون اختبار، فسوف تمنع رسائل البريد الإلكتروني المشروعة من الخدمات التي نسيت تضمينها. تبدأ GridInbox بـ "p=none" وتنتقل فقط إلى سياسات أكثر صرامة بعد مراجعة البيانات.
الخطأ 4: استخدام محدد DKIM خاطئ
يستخدم كل مزود بريد إلكتروني محدد DKIM مختلف. إذا قمت بنسخ المحدد الخاطئ، فلن يتطابق توقيع DKIM الخاص بك مع المفتاح العام. تقوم GridInbox بإنشاء المحدد الصحيح لـ AWS SES وCloudflare تلقائيًا.
الخطأ 5: عدم مراقبة تقارير DMARC
تقارير DMARC هي ملفات XML يصعب قراءتها. يتجاهلها معظم الناس. تقوم GridInbox بتحليل هذه التقارير إلى لوحة تحكم بسيطة تظهر معدلات النجاح/الفشل وأهم مصادر الإرسال.
الأسئلة الشائعة
ما هو شرح إعداد DMARC وDKIM وSPF بعبارات بسيطة؟
DMARC وDKIM وSPF هي ثلاثة بروتوكولات لمصادقة البريد الإلكتروني تعمل معًا لإثبات أن رسائلك الإلكترونية مشروعة وغير مزيفة. يسرد SPF الخوادم التي يمكنها إرسال البريد الإلكتروني لنطاقك، ويضيف DKIM توقيعًا رقميًا لكل بريد إلكتروني، ويخبر DMARC مزودي البريد الإلكتروني بما يجب فعله إذا فشلت هذه الفحوصات.
هل أحتاج إلى DMARC وDKIM وSPF لتوصيل البريد الإلكتروني؟
نعم. بدون الثلاثة جميعًا، من المرجح أن تصل رسائلك الإلكترونية إلى مجلدات البريد العشوائي أو يتم رفضها بالكامل. تطلب Google وYahoo الآن DMARC للمرسلين بكميات كبيرة، وحتى المرسلون الصغار يشهدون انخفاضًا في التوصيل بنسبة 20-40% بدون مصادقة مناسبة.
كيف أتحقق من أن إعداد DMARC وDKIM وSPF صحيح؟
استخدم أدوات مجانية مثل MXToolbox لفحوصات SPF وDKIM، وDMARC Analyzer لسياسة DMARC الخاصة بك. أدخل نطاقك وستظهر لك الأدوات سجلاتك الحالية وأي أخطاء. قم بتشغيل هذه الفحوصات مرة واحدة على الأقل شهريًا.
ماذا يحدث إذا لم أقم بإعداد DMARC وDKIM وSPF؟
نطاقك عرضة للانتحال وهجمات التصيد الاحتيالي. يمكن لمرسلي البريد العشوائي إرسال رسائل إلكترونية تبدو وكأنها منك، مما يضر بعلامتك التجارية وقد يكلفك المال. قد ترتد رسائلك الإلكترونية المشروعة أيضًا أو تذهب إلى البريد العشوائي، مما يقلل من تفاعل العملاء.
هل يمكنني إعداد DMARC وDKIM وSPF دون لمس DNS؟
نعم، إذا كنت تستخدم خدمة مثل GridInbox التي تتكامل مع مزود DNS الخاص بك عبر API. تقوم GridInbox تلقائيًا بإنشاء وإدارة سجلات DNS المطلوبة لـ SPF وDKIM وDMARC بحيث لا تضطر أبدًا إلى تحرير السجلات يدويًا.
كم من الوقت يستغرق تفعيل تغييرات DMARC وDKIM وSPF؟
تنتشر تغييرات DNS عادةً في غضون 1 إلى 48 ساعة، على الرغم من أن معظم التحديثات تدخل حيز التنفيذ في غضون 15-30 دقيقة. يجب اختبار تغييرات سياسة DMARC (مثل الانتقال من p=none إلى p=reject) لمدة أسبوعين على الأقل قبل التبديل إلى سياسة أكثر صرامة.
Start Managing Email Smarter — Free Gestiona el Email de Forma Más Inteligente — Gratis Gérez Votre Email Plus Intelligemment — Gratuit より賢いメール管理を始めよう — 無料 Verwalte E-Mails Intelligenter — Kostenlos Gerencie Email de Forma Mais Inteligente — Grátis 더 스마트하게 이메일 관리 시작 — 무료 Начните управлять Email умнее — Бесплатно ابدأ إدارة البريد الإلكتروني بذكاء — مجاناً
GridInbox gives you unlimited email aliases, custom domain support, team shared inboxes, and a full REST API — all on the free plan. No credit card needed. GridInbox te ofrece aliases ilimitados, dominio personalizado, bandejas compartidas y API REST — todo en el plan gratuito. Sin tarjeta de crédito. GridInbox vous offre des alias illimités, un domaine personnalisé, des boîtes partagées et une API REST complète — tout dans le plan gratuit. GridInboxは無制限のエイリアス、カスタムドメイン、チーム共有受信箱、REST APIを無料プランで提供。クレジットカード不要。 GridInbox bietet unbegrenzte E-Mail-Aliase, Custom Domain, Team-Postfächer und REST API — alles im kostenlosen Plan. GridInbox oferece aliases ilimitados, domínio personalizado, caixas compartilhadas e API REST — tudo no plano gratuito. GridInbox는 무제한 이메일 별칭, 커스텀 도메인, 팀 공유 받은편지함, REST API를 무료 플랜으로 제공합니다. GridInbox предлагает неограниченные псевдонимы, кастомный домен, командные ящики и REST API — всё в бесплатном плане. يوفر GridInbox عناوين مستعارة غير محدودة ونطاقاً مخصصاً وصناديق مشتركة وAPI كاملة — كل ذلك في الخطة المجانية.
Начать бесплатно → Comenzar Gratis → Commencer Gratuitement → 無料で始める → Kostenlos Starten → Começar Grátis → 무료로 시작하기 → Начать Бесплатно → ابدأ مجاناً →