ЧаВо: Настройка цифровых подписей и репутация домена

Если вы планируете отправлять массовые email-рассылки, вам следует позаботиться о репутации отправителя и домена, чтобы письма не отклонялись почтовыми серверами или получателями и не попадали в папку "Спам". Здесь мы рассмотрим наиболее часто задаваемые вопросы относительно факторов, влияющих на репутацию почтового домена.

Обязательно ли отправлять рассылки с корпоративных email-адресов?

Рассылки с корпоративного адреса являются обязательным требованием большинства сервисов рассылок, в том числе eSputnik.

• Пример корпоративного адреса отправителя: shop@brand-name.com

• Пример общедоступного адреса отправителя: shop@gmail.com

Обязательность использования корпоративной почты обусловлена несколькими факторами:

1. Рассылки, осуществляемые с общедоступных адресов (особенно в большом количестве), попадают в спам-фильтры большинства почтовых сервисов.

2. Попадание в спам-фильтры ухудшает репутацию отправителя, в результате чего почтовые серверы отказываются принимать его рассылки.

3. Из-за ограничений на количество отправок с общедоступных адресов массовые рассылки могут привести к временной блокировке аккаунта со стороны большинства почтовых сервисов.

4. Законы, регулирующие сферу email-маркетинга (например, GDPR в Европейском Союзе), требуют обеспечивать осведомленность получателей писем относительно отправителей: рассылки с личных или общедоступных email-адресов нарушают их.

Преимущества использования корпоративного адреса:

1. Повышение доверия к рассылке: получатель понимает, от какой именно компании получил письмо, и с большей долей вероятности открывает его.

2. Цельность коммуникации: брендированные рассылки способствуют единству маркетинговых кампаний, улучшают узнаваемость бренда и выстраивают доверие целевой аудитории.

3. Возможность верифицировать домен и тем самым защитить рассылки от подделок, а своих подписчиков — от мошенников. Кроме того, с 2018 года верификация домена — обязательное требование для маркетинговых рассылок, а с 01.02.2024 вступил в силу ряд дополнительных требований для Gmail, ознакомиться с которыми можно по ссылке.

4. Формирование репутации отправителя: почтовые серверы анализируют историю взаимодействия подписчиков с письмами компании и способствуют высоким показателям доставки, маркируют письма как важные и т.п.

Зачем нужны настройки DNS?

Настройки DNS (Domain Name System) включают внесение записей

• MX (Mail eXchanger),
• SPF (Sender Policy Framework),
• DKIM (DomainKeys Identified Mail)
• DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Это технологии, позволяющие почтовым сервисам проверять подлинность писем и определять, являются ли они легитимными, что помогает в поддержке репутации отправителя и избежании попадания писем в спам.

Минимум действий, которые вам нужно совершить, приобретя домен:

• разместить запись об этом домене на Name-серверах (DNS)
• настроить прием почты для этого домена.

Обычно эти базовые настройки автоматически выполняет провайдер, у которого вы приобретаете домен и хостинг. В противном случае обратитесь за помощью в службу поддержки хостинг-провайдера или к вашему техническому специалисту.

По умолчанию все ответы пользователей поступают на тот же адрес, который используется для отправки. Если необходимо, чтобы рассылка сообщений происходила по общему адресу, например news@yourcompany.com, а ответы обрабатывались на другом, добавьте адрес для ответа в email-редакторе eSputnik.

Если у вас уже есть домен, и он использовался для email-рассылок через другие сервисы, для успешной работы с нашим сервисом вам нужно изменить некоторые настройки в DNS, о которых идет речь ниже.

Как внести записи в DNS?

Чтобы внести или отредактировать записи в DNS домена, вам или вашему техническому специалисту нужно ознакомиться с инструкцией по использованию редактором DNS именно вашего хостинг-провайдера, или обратиться в его службу поддержки (также можно ознакомиться с нашей инструкцией по верификации домена в популярных хостерах).

DNS может хранить разные типы записей. Мы рассмотрим только те, которые важны для правильной настройки почты и почтовых рассылок.

Запись MX

MX — основная запись для почтового домена. Домен, не имеющий такой записи, не считается почтовым. Эта запись определяет один или несколько серверов, которые принимают почту для данного домена.

Таких записей может быть несколько. Помимо сервера, в данной записи указывается его приоритет — число от 0 и выше. Чем число меньше, тем более приоритетным считается сервер. Письма для вашего домена будут отправляться в первую очередь на сервер с высшим приоритетом, в случае недоступности этого сервера — на следующий по приоритету.

Пример записи:

esputnik.com.    IN    MX    1 aspmx.l.google.com
esputnik.com.    IN    MX    5 alt1.aspmx.l.google.com

Записи MX у вас уже есть, если правильно настроена работа почты на вашем домене. Ничего менять или добавлять не нужно.

Запись SPF

В записи SPF перечислены IP-адреса серверов, которым владелец домена позволяет отправлять почту от имени своего домена. Это механизм безопасности для защиты рассылок от подделки спамерами.

Если письмо прошло проверку SPF, на него накладываются рейтинговые ограничения конкретной почтовой системы как для подтвержденного домена. Если оно не прошло проверку SPF, на письмо накладываются рейтинговые ограничения конкретной почтовой системы как для подозрительного домена; письмо может быть или воспринято как спам или отклонено, в зависимости от настроек. Текущие рейтинги для прошедших и не прошедших проверку писем могут объединяться во время визуализации для пользователей в различных постмастерах.

Согласно действующему стандарту, запись SPF вносится в DNS типом TXT, должна начинаться на “v=spf1…” и быть единственной для каждого почтового домена.

Есть и другие ограничения:

• каждая строка не может быть длиннее 450 символов;
• вся SPF-запись целиком должна получаться из DNS за не более чем 10 подзапросов в DNS;
• в ней не должно быть дублирующихся ссылок, рекурсий и ссылок на несуществующие записи,
• в записи может быть не более двух пустых подзапросов.

Обычно хостинг-провайдер имеет рекомендации по базовой настройке записи SPF. Внесите эти настройки. Некоторые хостинг-провайдеры автоматически вносят нужную запись SPF в DNS при настройке почты для вашего домена.

Если в вашей записи SPF вы видите подобное:

“v=spf1 redirect=_spf.google.com”

замените его на вариант без использования конструкции “redirect=” (которая отсылает к другой записи):

“v=spf1 include:_spf.google.com ~all”

В зависимости от варианта подключения вашего домена на нашем сервисе (“Полный”/ ”Полный+”/”Поддомен”) вам нужно внести в вашу SPF-запись некоторые дополнения.

Минимальное дополнение, рекомендуемое нами при осуществлении рассылок через наш сервис, — добавить вставку “include:spf2.esputnik.com” внутрь уже существующей строки SPF того вашего домена, адрес в котором вы планируете использовать в поле письма “Отправитель”.

Пример записи:

esputnik.com.    IN    TXT    "v=spf1 include:_spf.google.com include:spf2.esputnik.com ~all"

Технология DKIM

Технология DKIM — это механизм аутентификации электронной почты, который помогает проверить, что письма, отправленные с определенного домена, являются легитимными и не подделываются.

DKIM автоматически проверяется сервером, который принимает письмо. Результат проверки подписи используется в механизмах формирования репутации отправителя и его рассылок.

Данная технология работает по паре ключей — открытому и закрытому.

• Закрытый электронный ключ хранится в почтовой системе и используется ею для создания подписи.
• Открытый ключ публикуется для всех через DNS — любая почтовая система, принявшая подписанное этой технологией письмо, может проверить подпись, получив открытый ключ из DNS.

Таких пар ключей может быть неограниченное количество. Отправляющий сервер, подписывающий письмо, указывает в заголовке вместе с цифровой подписью идентификатор того закрытого ключа, которым была создана подпись. По этому идентификатору принимающий сервер выбирает из DNS нужный открытый ключ для проверки.

Подписывается не все письмо, а лишь важные поля заголовка письма.

Если подпись верна, на письмо накладываются рейтинговые ограничения конкретной почтовой системы как для подтвержденного домена. Если подпись DKIM не действительна, на письмо накладываются рейтинговые ограничения конкретной почтовой системы как для подозрительного домена, письмо может быть либо принято как спам, либо отвергнуто, в зависимости от настроек. Текущие рейтинги для писем, прошедших и не прошедших проверку, могут объединяться при визуализации для пользователя в разных постмастерах.

Пример записи открытого ключа:

Пример записи открытого ключа при работе с нашим сервисом для домена example.com:

esputnik._domainkey.example.com.     IN    CNAME    dkim.esputnik.com.

Технология DMARC

Технология DMARC идентифицирует письма по SPF и DKIM и определяет, что делать, если рассылка отправлена с IP-адресов или доменов, не указанных в этих подписях: ничего (none), поместить в карантин (quarantine) или отклонить (reject).

Чтобы обеспечить безопасность репутации домена, мы рекомендуем ввести строгую политику DMARC:"v=DMARC1; p=reject; adkim=s; aspf=s; sp=reject; rua=mailto:postmaster@yourdomain.com".

Начать следует с политики помещения писем в карантин p=quarantine pct=5 и использовать параметр pct для задания процента сообщений к которым применяется правило DMARC, постепенно наращивая процент до значения pct=100. После чего задать строгую политику с начальным значением процента отклоняемых писем p=reject pct=5 и также постепенно увеличивать значение параметра pct до 100%. При условии осуществления регулярных рассылок, увеличивать процент (pct) фильтруемых писем можно каждые несколько дней. Тег rua позволяет указать адрес для получения отчетов о применении правил DMARC в вашем домене. Укажите в этом параметре собственный адрес электронной почты или создайте новый адрес. Чтобы отправлять отчеты на несколько адресов, укажите их через запятую.

Пример записи DMARC:

_dmarc.esputnik.com.    IN    TXT    "v=DMARC1; p=reject; adkim=s; aspf=s; sp=reject; rua=mailto:postmaster@yourdomain.com"

Пример минимальной записи DMARC (означает буквально следующее: “DMARC определен как отключенный”):

_dmarc.esputnik.com.    IN    TXT    "v=DMARC1; p=none;"

Индикатор BIMI

BIMI (Brand Indicators for Message Identification) – это механизм идентификации отправителя, позволяющий добавлять логотип в электронные письма.

BIMI могут использовать только отправители с настроенными подписями SPF, DKIM и DMARC со строгой политикой (p=quarantine или p=reject). Кроме того, отображение логотипа зависит от репутации домена, объема и регулярности рассылок, а также почтового сервиса. Подробнее о настройках BIMI >

Как формируется репутация отправителя?

Формирование репутации отправителя определяется несколькими ключевыми аспектами:

• Доставляемость: если большая часть писем отправителя попадает в спам или не достигает почтовых ящиков получателей, это негативно сказывается на его репутации.
• Жалобы на спам и отписки: большое количество жалоб или отписок со стороны получателей приводит к ухудшению репутации отправителя.
• Аутентификация: использование технологий аутентификации, таких как SPF, DKIM, DMARC и BIMI, помогает подтверждать подлинность отправителя и защищать письма от подделок.
• Взаимодействие с подписчиками: открытия, клики и продолжительность чтения писем учитываются почтовыми сервисами при определении репутации.
• Контент: важно избегать использования спам-слов и не отправлять письма, содержащие только изображения.

Если же речь идет о email-кампаниях с нового домена, важную роль в формировании репутации играет частота и объемы рассылки, другими словами — прогрев домена. Это связано с антиспам-политикой почтовых сервисов.

Как работает прогревание домена?

Как правило при создании нового почтового домена компания обладает ограниченной базой почтовых адресов, и письма отправляются нечасто, 1-2 рассылки в день. В нормальных условиях объемы рассылок растут равномерно.

В случае отправки спама, наоборот, однократно отправляется большое количество писем, после чего рассылка прекращается. Механизмы фильтрации спама по репутации реагируют на эту разницу.

Поэтому следует постепенно увеличивать количество отправляемых с вашего домена писем, следя за тем, чтобы рост происходил равномерно по всем IP-адресам вашего почтового сервера. Также постепенно должна увеличиваться скорость отправки писем. Желательно, чтобы рассылки шли без больших перерывов — хотя бы одна рассылка в день.

Если делать большие рассылки без прогрева, то по контактам, расположенным на серверах крупных почтовых провайдеров, вы будете получать ошибки: “Вы слишком быстро отправляете”, “Слишком много писем от вашего сервера” и т.п. Также может ухудшиться репутация вашего домена и почтового сервера, осуществившего рассылку. Тогда даже нормальные письма и рассылки могут отклоняться большими почтовиками.

Мы заботимся о репутации и прогреве вашего почтового домена, ограничивая скорость отправки и количество писем в сутки, отправленных с подписью DKIM вашего домена.

На практике это выглядит так:

• Домен находится на условном первом дне прогрева.
• Надо отправить рассылку на 100000 контактов. Но лимит первого дня прогрева - не более 1000 писем в сутки. Мы отправляем вашу рассылку на первые 1000 контактов вашей рассылки, подписывая письма вашей электронной подписью DKIM и ограничивая скорость отправки, а остальные 99000 писем отправляем с подписью нашего домена и обычной скоростью (если не настроена строгая политика DMARC).
• Лимит второго дня — 2000 писем с вашей подписью, остальные подписываются нашим доменом. И так далее.

Как проверить, работает ли почта на вашем домене?

Например, вы создали домен example.org и разместили его почту у вашего хостинг-провайдера (не обязательно все эти действия проводить в одной компании, можно купить домен у одной компании, DNS разместить у другой, а почтовый сервис — у третьей).

Теперь проверьте, как работает почта.

Сначала отправьте письмо с почтового ящика в вашем домене на ваш почтовый ящик в каком-то другом давно работающем домене. Например, с адреса info@example.org на адрес lyst2@gmail.com. А потом в обратную сторону — с адреса lyst2@gmail.com на адрес info@example.org.

Если удалось получить оба письма, все настроено правильно. Если нет, это означает, что есть проблема с настройками и нужно обратиться за помощью в службу поддержки вашего хостинг-провайдера.

Какую информацию об отправителе содержит письмо?

Поля заголовка письма содержат много технической информации, не показываемой получателю письма в обычных условиях. Обычно получатель видит только два параметра:

• от кого пришло письмо (поля From: или Sender: заголовка письма)
• на какую тему (поле Subject: заголовка письма).

Чтобы увидеть подробности, т.е. остальные поля заголовка письма, нужно найти в почтовом клиенте кнопку или пункт меню, показывающий все заголовки письма или все письмо вместе с заголовками. Например, в Gmail нужно в меню открытого письма в выпадающем списке выбрать пункт Show original:

Основные поля, которые используются в заголовке письма:

• From: — в этом поле находится адрес отправителя, т.е. ваш адрес (значение “Отправитель” из email-редактора);
• Sender: — технический отправитель письма (сюда при базовом варианте подключения мы ставим технический адрес в нашем домене; Sender проставляется для улучшения доставляемости на почтовые серверы, работающие на программном обеспечении Microsoft);
• Reply-to: — адрес, на который будет направлен ответ, если получатель этого письма нажмет кнопку “Ответить” (поле заполняется, только если вы укажете “Адрес для ответа” в email-редакторе);
• To: — адрес получателя письма (сюда добавляется адрес получателя из вашего списка контактов при отправке письма);
• Subject: — тема письма (значение “Тема” из email-редактора);
• Date: — дата и время создания письма (вносится нашей системой в момент формирования и отправки письма получателю);
• Message-ID: — уникальный идентификатор письма в нашей системе;
• X-Mailer: — название специализированного программного обеспечения нашего сервиса, осуществляющего отправку письма, и номер блока серверов, через который осуществлялась отправка;
• Feedback-ID: — идентификатор рассылки для отслеживания в постмастере Google;
• List-Id: — идентификатор рассылки для фильтрации на стороне пользователя;
• List-Unsubscribe: — ссылки для автоматической отписки данного получателя от этой рассылки (благодаря этому полю в интерфейсах многих крупных почтовых провайдеров появляется кнопка “Отписаться” в меню письма);
• DKIM-Signature: — цифровая электронная подпись отправляющего сервера (1 или 2, создается нашим сервером в момент отправки письма на почтовый сервер получателя, помимо самой сигнатуры содержит идентификатор ключа, имя домена и список подписываемых полей письма);
• Return-Path: — технический адрес отправителя (сюда мы добавляем технический адрес отправителя в нашем или вашем домене, в зависимости от варианта подключения, на который будем ловить ошибки доставки и жалобы на спам);
• Received: — информация о сервере, с которого было принято письмо (строка добавляется каждым почтовым сервером и сервисом, через которые проходит письмо до почтового ящика получателя);
• Authentication-Results: — строка может добавляться принимающим почтовым сервером для записи результатов проверок DKIM/SPF/DMARC.

Почтовые клиенты могут по-разному визуализировать информацию заголовков письма для удобства прочтения получателем.

Например, в Gmail под именем отправителя можно увидеть дополнительную информацию — “mailed-by:” и “signed-by:”, которая извлекается из полей Return-Path: и DKIM-Signature:

Большинство почтовых сервисов не визуализируют поле Sender:. Исключение — почтовые сервисы и продукты Microsoft, где поле Sender: имеет более высокий приоритет и при его наличии показывается как “Отправитель” вместо значения из поля From:.

Что увидят ваши подписчики в зависимости от варианта подключения вашего домена к нашему сервису?

Например, название вашего домена stopfake.org. Вы хотите отправлять письма от имени почтового ящика info в этом домене. Тогда в заголовке будет
From: info@stopfake.org.

В обычных (типовых) условиях письмо формируется так:

• поле From: — ваш адрес info@stopfake.org,
• поле To: — адрес получателя,
• в полях Sender: и Return-Path: — наш технический адрес, на который ловятся ошибки доставки и который служит для обработки некоторых жалоб на спам.

Письмо подписывается DKIM'ом нашего домена.

Шаблон заголовка:

Mail From (envelope): bounce+XXX@m11.esputnik.com
From: name@yourdomain.com
Sender: bounce+XXX@m11.esputnik.com
Return-Path: bounce+XXX@m11.esputnik.com

где ХХХ — VERP-кодированный адрес получателя письма для его определения при разборе писем-сообщений об ошибках доставки и жалоб на спам.

Это базовый вариант. Он подключается всем по умолчанию.

В Gmail будет видна такая информация:

mailed-by: esputnik.com,
signed-by: esputnik.com.

Мы рекомендуем при работе с нашим сервисом по базовому варианту подключения добавить в строку SPF вашего домена нашу вставку “include:spf2.esputnik.com”.

Например, так:

stopfake.org.        IN    TXT    "v=spf1 +a +mx include:spf2.esputnik.com -all"

Когда вы настроите свою электронную подпись, письма начнут подписываться ключом вашего домена.

Как Gmail способствует добавлению цифровых подписей?

Для того чтобы уменьшить жалобы на спам и тем самым сохранить репутацию отправителя, добавляется ссылка на отписку:

• в заголовке письма:

• в общем списке сообщений в Gmail:

Кроме того, отправители с настроенными цифровыми подписями могут отправлять интерактивные рассылки с использованием AMP-технологии.