DNS-записи для работы с Yandex Cloud Postbox
Чтобы Yandex Cloud Postbox мог отправлять письма от имени вашего домена, а почтовые серверы получателей доверяли этим письмам, в DNS-зоне домена должны быть настроены специальные ресурсные записи. Часть из них обязательны для работы сервиса, часть — рекомендуются для повышения доставляемости и защиты домена от подделки.
Вы можете добавить записи у вашего DNS-регистратора или в сервисе Yandex Cloud DNS, если домен делегирован Yandex Cloud.
Обязательные записи
DKIM
Подпись DKIM — цифровая подпись, которая добавляется в заголовки писем и подтверждает, что сообщение отправлено с указанного домена и не было изменено в пути. Без корректно настроенной DKIM-подписи большинство почтовых сервисов будут отклонять письма от Yandex Cloud Postbox или помечать их как спам.
В Yandex Cloud Postbox поддержаны два способа настройки DKIM:
-
Простая настройка (Easy DKIM) — Yandex Cloud Postbox автоматически генерирует ключи DKIM и управляет их ротацией. После создания адреса в консоли управления отобразятся две CNAME-записи, которые нужно добавить в DNS-зону домена. Эти записи указывают на публичные ключи, которыми управляет сервис.
-
Расширенная настройка — пользователь самостоятельно генерирует пару ключей длиной 1024 или 2048 бит (например, с помощью OpenSSL), передает приватный ключ сервису, а в DNS-зону добавляет одну TXT-запись с публичным ключом и выбранным селектором.
Способ настройки DKIM выбирается при создании адреса. После добавления DKIM-записей необходимо пройти проверку владения доменом.
Рекомендуемые записи
DKIM достаточно, чтобы Yandex Cloud Postbox мог подписывать письма, однако для надежной доставки и защиты от подделки отправителей мы рекомендуем дополнительно настроить SPF и DMARC.
SPF
SPF (Sender Policy Framework) — это TXT-запись на корне домена, где перечислены серверы, которым разрешено отправлять письма от имени этого домена. Получатель сравнивает IP-адрес отправляющего сервера с этим списком. Если совпадения нет, письмо может быть отклонено или помечено как спам.
Чтобы разрешить отправку писем через Yandex Cloud Postbox, добавьте в SPF-запись механизм include:spf.postbox.yandexcloud.net.
Если SPF-записи на домене еще нет, создайте TXT-запись на корне домена со значением "v=spf1 include:spf.postbox.yandexcloud.net ~all".
Если SPF-запись на домене уже есть (например, для другого почтового сервиса), не создавайте вторую запись, а добавьте механизм include:spf.postbox.yandexcloud.net в существующую — перед механизмом all. Например:
"v=spf1 include:_spf.example.com include:spf.postbox.yandexcloud.net ~all"
Важно
На одном домене должна быть только одна SPF-запись. Если на домене будет несколько TXT-записей, начинающихся с v=spf1, проверка SPF завершится ошибкой PermError (RFC 7208, раздел 4.5), и все письма с этого домена перестанут проходить SPF-проверку независимо от содержимого записей.
Механизм include
При проверке SPF почтовый сервер получателя рекурсивно резолвит запись spf.postbox.yandexcloud.net и добавляет перечисленные в ней IP-адреса к списку разрешенных отправителей вашего домена. Благодаря этому актуальный список серверов Yandex Cloud Postbox поддерживается централизованно: если он изменится, вам не придется править запись в своей DNS-зоне.
Проверка корректности SPF-записи
Чтобы убедиться, что SPF-запись составлена корректно и на домене нет дубликатов, воспользуйтесь онлайн-инструментом, например MxToolbox. Он покажет финальную развернутую запись, перечислит все вложенные механизмы include и предупредит о наличии нескольких SPF-записей.
DMARC
DMARC (Domain-based Message Authentication, Reporting and Conformance) — это TXT-запись _dmarc.<домен>., которая указывает почтовым серверам получателей, что делать с письмами, не прошедшими проверку SPF и DKIM, и куда отправлять отчеты. DMARC дополняет SPF и DKIM и помогает защитить домен от подделки отправителей.
Минимальная DMARC-запись для мониторинга (без отклонения писем):
"v=DMARC1;p=none"
Пошаговая инструкция по добавлению DMARC-записи приведена в разделе Настройка DMARC-политики.