Настройка цифровых подписей

Если вы планируете отправлять массовые email-рассылки, вам нужно позаботиться об их репутации - чтобы ни одно письмо не было отвергнуто почтовыми серверами или получателями и не попало в папку “Спам”. О качестве контента и контактной базы вы можете прочесть отдельную статью. Здесь мы рассмотрим технические аспекты, влияющие на репутацию почтового домена, адрес в котором вы будете использовать в поле письма “Отправитель” (From:), — настройки записей SPF, DKIM и DMARC на DNS-сервере вашего домена.

Верификация домена на нашем сервисе. О чём следует знать?

• Покупать ли собственный домен или пользоваться общедоступным?
• Как проверить, работает ли почта на вашем домене
• Несколько слов о прогреве
• Как работает механизм репутации
• Используемые записи DNS
• Какую информацию об отправителе содержит в себе письмо
• Три варианта подключения электронной подписи
  1. Вариант “Полный”
  2. Вариант “Полный+”
  3. Специальный вариант: поддомен
• Проверка правильности настроек
• Проверка настроек в процессе работы

Эти настройки не гарантируют 100% доставляемость, но значительно повышают шансы попасть в почтовые ящики ваших клиентов.

Разумеется, речь идет о вашем собственном домене. Даже не пытайтесь делать рассылки от имени почтового ящика какого-то бесплатного общедоступного сервиса, например, gmail.com или mail.ru. Многие крупные почтовые провайдеры будут складывать письма рассылок таких отправителей в папку “Спам”.

К примеру, mail.ru вообще запрещает принимать письма с отправителем из домена mail.ru (и всех бесплатных общедоступных доменов, расположенных на их серверах), отправленные каким-либо другим сервером, кроме их собственного.

Покупать ли собственный домен или пользоваться общедоступным?

Вариантов нет - да, покупать!

Минимум действий, которые вам придется совершить, купив домен, - разместить запись об этом домене на Name-серверах (DNS) и настроить прием почты для этого домена. Обычно все эти базовые настройки автоматически делает провайдер, у которого вы покупаете домен и хостинг. Если нет, то вам придется обратиться в службу поддержки хостинг-провайдера или к вашему техническому специалисту.

Вы могли бы подумать: “Зачем мне сервер, принимающий почту для моего домена, если я хочу не принимать, а отправлять письма?”

Наличие работающего почтового ящика отправителя - это основное условие успешной доставки емейл-рассылок: вы обязаны принимать ответы и реагировать на них. Т.е. почтовый домен должен не просто существовать и работать в штатном режиме, но и обеспечивать доставку ответов на рассылки в ваш почтовый ящик.

Пользователь должен иметь возможность отказаться от подписки на рассылку одним из следующих способов:
1) с помощью четкой и заметной ссылки в теле сообщения, ведущей на страницу отмены подписки и не требующей от пользователя каких-либо данных, кроме подтверждения;
2) с помощью ответа на присланное сообщение.
  —Google, Bulk Senders Guidelines

Если у вас есть домен уже давно и даже использовался для email-рассылок через другие сервисы, чтобы  успешно работать с нашим сервисом вам придется изменить некоторые настройки в DNS. Об этом чуть позже.

Как проверить, работает ли почта на вашем домене

Допустим, вы создали домен example.org и разместили его почту у вашего хостинг-провайдера (не обязательно все эти действия проводить в одной компании, можно купить домен у одной компании, dns разместить у другой, а почтовый сервис - у третьей).

Теперь проверьте, как работает почта

Cначала напишите письмо от почтового ящика в вашем домене на ваш почтовый ящик в каком-то другом давно работающем домене. Например, с адреса info@example.org на адрес lyst2@gmail.com. А потом в обратную сторону - с адреса lyst2@gmail.com на адрес info@example.org.

Смогли получить оба письма? Хорошо, значит, все настроено правильно и можно переходить к следующему этапу. Если нет, значит, есть проблема с настройками, и нужно обратиться за помощью в службу поддержки вашего хостинг-провайдера.

Несколько слов о “прогреве”

Как небольшое лирическое отступление…

Для борьбы со спамом придумано множество механизмов и стандартов. И постоянно придумываются новые способы и алгоритмы защиты. Почему?

Потому что до сих пор не придуман универсальный механизм, который бы хорошо защищал от спама и не имел ложных срабатываний на обычную почту. Все существующие защиты от спама не идеальны - они пропускают некоторое количество спама, какие-то - больше, какие-то - меньше. Все они имеют побочный эффект - ложные срабатывания, когда ваше совершенно обычное письмо,  отправленное с личного ящика на адрес друга, может попасть в папку “Спам”.

Некоторые механизмы защиты элементарно топорны и грубы в работе и могут из-за одного письма, похожего на спам и пришедшего через ваш почтовый сервер, заблокировать полностью прием любых писем от вашего почтового домена или сервера.

Спамеры тоже не сидят сложа руки, они придумывают способы прорыва или обхода той или иной защиты. Это похоже на состязание производителей оружия - мечей, разрубающих любые щиты, и щитов, которых не могут разрубить любые мечи.

Как правило, почтовыми провайдерами используется комплекс механизмов защиты. Чем крупнее почтовый провайдер, там хитрее и секретнее механизмы, используемые им для защиты от почтового спама.

Мелкие почтовые провайдеры и просто корпоративные почтовые серверы обычно используют готовые механизмы защиты, используя ресурсы централизованных и распределенных систем противодействия спаму - разнообразные блок-листы, библиотеки спам-сигнатур, спам-анализаторы, подобные SpamAssassin, и пр.

Крупные почтовые провайдеры обычно используют методы защиты от спама собственного производства. Эти методы более сложные и, как правило, в них  задействована статистика писем, так называемая репутация. Статистика собирается как для доменов, от адресов в которых приходят письма, так и для IP-адресов почтовых серверов, с которых приходят письма.

Как работает механизм репутации?

Представьте создание нового почтового домена на новом почтовом сервере. Сначала у вас мало почтовых ящиков, письма от них отправляются редко, 1-2 письма в день.
Постепенно объемы переписки от этого почтового домена растут, может, по арифметической прогрессии, может, по геометрической. Но более-менее равномерно и прогнозируемо.
Спамеры же делают наоборот - они вдруг посылают огромное количество писем, одним “выстрелом”, а до того и после - тишина. Вот на эту разницу и реагируют механизмы фильтрации спама по репутации.

Нужно плавно увеличивать количество отправляемых от вашего домена писем, заботясь о том, чтобы увеличение шло равномерно по всем IP-адресам вашего почтового сервера. Так же плавно должна увеличиваться скорость отправки писем. Очень желательно, чтобы рассылки шли без “тишины” - хотя бы одно письмо в день, но отправлялось.

Можно, конечно,  стартовать без учета “прогрева”, но тогда по контактам, расположенным на серверах крупных почтовых провайдеров, вы будете получать ошибки: “Вы слишком быстро отправляете”, “Слишком много писем от вашего сервера” и т.п. Дополнительным эффектом такого “эксперимента” может стать понижение репутации вашего домена и почтового сервера, совершившего рассылку. Тогда даже нормальные письма и рассылки могут отвергаться крупными почтовиками.

Мы заботимся о репутации и прогреве IP-адресов наших почтовых серверов. Вам про это не надо думать. Просто придерживайтесь наших рекомендаций, не рассылайте спам и не ухудшайте нашу репутацию.

Мы также заботимся о репутации вашего почтового домена, ограничивая скорость отправки и количество писем в сутки, отправленных с подписью DKIM вашего домена (о DKIM чуть ниже).

На практике это выглядит так:

• Домен находится на условном первом дне прогрева.
• Надо отправить рассылку на 100000 контактов. Но лимит первого дня прогрева - не более 1000 писем в сутки. Мы отправляем вашу рассылку на первые 1000 контактов вашей рассылки, подписывая письма вашей электронной подписью DKIM и ограничивая скорость отправки, а остальные 99000 писем отправляем с подписью нашего домена и обычной скоростью. На следующий день картина повторяется, но вы в первый день превысили лимит прогрева, значит, перешли на второй день.
• Лимит второго дня - уже, допустим, 3000 писем. И так далее.

Если в какой-то день вы не сможете своими рассылками преодолеть лимит прогрева этого дня, вы не переходите на следующий день. Но и зачем? Вы же достигли дня прогрева нужного вам объема. Если ваша контактная база вырастет и в какой-то день потребуется отправить писем больше, чем позволяет текущий день прогрева, картина повторится и вы перейдете на следующий день прогрева.

У нас есть клиенты, которые никогда не переходят даже на второй день прогрева - у них просто нет для этого таких больших объемов рассылок, им это не нужно.

Используемые записи DNS

Чтобы внести или отредактировать записи в DNS домена, вам или вашему техническому специалисту придется потратить некоторое время и изучить инструкцию по пользованию редактором DNS именно вашего хостинг-провайдера. Или обратиться в его службу поддержки.

Доступность извне и правильность внесенных вами в DNS данных проверяйте при помощи стороннего независимого сервиса. Например, dnsquery.org.

DNS может хранить разные типы записей. Мы рассмотрим только те, которые важны для правильной настройки почты и почтовых рассылок.

Запись MX (Mail eXchanger)

Основная запись для почтового домена. Домен, не имеющий такой записи, не считается почтовым. Эта запись определяет один или несколько серверов, которые принимают почту для данного домена.

Таких записей может быть несколько. Помимо сервера, в данной записи указывается его приоритет - число от 0 и выше. Чем число меньше, тем более приоритетным считается сервер. Письма для вашего домена будут отправляться в первую очередь на сервер с высшим приоритетом, в случае недоступности этого сервера - на следующий по приоритету.

Записи MX у вас уже есть, если правильно настроена работа почты на вашем домене. Ничего менять или добавлять не надо.

Пример записи:

esputnik.com.    IN    MX    1 aspmx.l.google.com.
esputnik.com.    IN    MX    5 alt1.aspmx.l.google.com.

Запись SPF (Sender Policy Framework)

SPF нужна для ограничения списка серверов, которым разрешено отправлять письма с адресом отправителя в вашем домене.

По сути, SPF - это механизм безопасности для защиты рассылок от подделки спамерами. Почтовый сервер, принимающий письмо от какого-то другого почтового сервера, проверяет, действительно ли владелец домена отправителя разрешил другому почтовому серверу отправлять его письма. Данная технология работает только с IP-адресом отправляющего сервера - в записи SPF перечисляются IP-адреса серверов, которым владелец домена разрешает отправлять почту от имени своего домена.

Если письмо прошло проверку SPF, на него накладываются рейтинговые ограничения конкретной почтовой системы как для подтвержденного домена. Если письмо проверку SPF не прошло, на письмо накладываются рейтинговые ограничения конкретной почтовой системы как для подозрительного домена, письмо может быть либо принято как спам либо отвергнуто, в зависимости от настроек. Текущие рейтинги для писем, прошедших и не прошедших проверку, могут объединяться при визуализации для пользователя в разных постмастерах.

Согласно действующему стандарту, данная запись вносится в DNS типом TXT, должна начинаться на “v=spf1…” и быть единственной для каждого отдельного почтового домена.

Есть и другие ограничения. Например, каждая строка не может быть длиннее 450 символов, вся SPF-запись целиком должна получаться из DNS за не более чем 10 подзапросов в DNS, в ней не должно быть дублирующихся ссылок, рекурсий и ссылок на несуществующие записи, иметь не более 2 пустых подзапросов.

Обычно хостинг-провайдер имеет рекомендации по базовой настройке записи SPF. Внесите эти настройки. Некоторые хостинг-провайдеры автоматически вносят нужную запись SPF в DNS при настройке почты для вашего домена.

Если в вашей записи SPF вы видите подобное:

“v=spf1 redirect=_spf.yandex.net”

замените его на вариант без использования конструкции “redirect=”:

“v=spf1 include:_spf.yandex.net ~all”

В зависимости от варианта подключения вашего домена на нашем сервисе вам придется внести в вашу запись SPF некоторые дополнения.

Минимальное дополнение, рекомендуемое нами при осуществлении рассылок через наш сервис даже для базового варианта - добавить вставку “include:spf2.esputnik.com” внутрь уже существующей строки SPF того вашего домена, адрес в котором вы планируете использовать в поле “Отправитель” писем ваших рассылок.

Пример записи:

esputnik.com.    IN    TXT    "v=spf1 include:_spf.google.com include:spf2.esputnik.com ~all"

Технология DKIM (DomainKeys Identified Mail)

Dkim объединяет несколько существующих методов антифишинга и антиспама с целью повышения качества классификации и идентификации легитимной электронной почты. В отличие от SPF, механизм DKIM не оперирует IP-адресом отправляющего сервера, а добавляет в письмо цифровую подпись, связанную с именем домена отправителя. Эта цифровая подпись защищает от подделки основные поля заголовка письма при его создании и пересылке. 

DKIM автоматически проверяется сервером, принимающим письмо. Результат проверки подписи участвует в механизмах формирования репутации отправителя и его рассылок.

Данная технология работает по паре ключей - открытому и закрытому.

• Закрытый электронный ключ хранится в почтовой системе и используется ею для создания подписи. 
• Открытый ключ публикуется для всех через DNS — любая почтовая система, принявшая подписанное этой технологией письмо, может проверить подпись, получив открытый ключ из DNS.

Таких пар ключей может быть неограниченное количество. Отправляющий сервер, подписывающий письмо, указывает в заголовке вместе с цифровой подписью идентификатор того закрытого ключа, которым была создана подпись. По этому идентификатору принимающий сервер выбирает из DNS нужный открытый ключ для проверки.

Подписывается не все письмо, а лишь важные поля заголовка письма.

Если подпись верна, на письмо накладываются рейтинговые ограничения конкретной почтовой системы как для подтвержденного домена. Если подпись DKIM не действительна, на письмо накладываются рейтинговые ограничения конкретной почтовой системы как для подозрительного домена, письмо может быть либо принято как спам, либо отвергнуто, в зависимости от настроек. Текущие рейтинги для писем, прошедших и не прошедших проверку, могут объединяться при визуализации для пользователя в разных постмастерах.

Пример записи открытого ключа:

Для наших клиентов мы храним единый открытый ключ и рекомендуем описывать его в своих DNS как ссылку с типом записи CNAME. Это упрощает внесение записей, уменьшает количество ошибок в настройках и позволяет нам более гибко работать с конфигурацией, вплоть до замены пары электронных ключей в любой момент.

Пример записи открытого ключа при работе с нашим сервисом для домена example.com:

esputnik._domainkey.example.com.     IN    CNAME    dkim.esputnik.com.

Технология DMARC (Domain-based Message Authentication, Reporting and Conformance)

Технология DMARC устанавливает стандарт для идентификации электронных сообщений принимающими узлами. При этом используются механизмы SPF и DKIM.

Этот стандарт принуждает почтовых провайдеров одинаковым образом реагировать на ваши письма. Т.е. будут выдаваться единые результаты идентификации сообщений отправителей на принимающих узлах AOL, Gmail, Hotmail, Yahoo!, Mail.ru и любых других, использующих проверку DMARC. 

Данный стандарт поддерживается большинством почтовых серверов. По сути, DMARC - это “надстройка” над технологиями SPF и DKIM, которая позволяет гибко управлять результатом проверок и обеспечивает обратную связь с отправителем.

Для успешной доставки ваших email-рассылок настраивать DMARC не обязательно. Однако, спамеры уже освоили прием использования валидной DKIM-сигнатуры писем из рассылки, имеющей хорошую репутацию, для рассылки своего спама. Если не хотите, чтобы репутацию ваших рассылок использовал и портил какой-то спамер, мы рекомендуем вам последовательно развернуть строгую политику DMARC: "v=DMARC1; p=reject; adkim=s; aspf=s; sp=reject; rua=mailto:postmaster@yourdomain.com".

Начать следует с политики помещения писем в карантин  p=quarantine pct=5 и использовать параметр pct для задания процента сообщений к которым применяется правило DMARC, постепенно наращивая процент до значения pct=100. После чего задать строгую политику с начальным значением процента отклоняемых писем p=reject pct=5 и также постепенно увеличивать значение параметра pct до 100%. При условии осуществления регулярных рассылок, увеличивать процент (pct) фильтруемых писем можно каждые несколько дней. Тег rua позволяет указать адрес для получения отчетов о применении правил DMARC в вашем домене. Укажите в этом параметре собственный адрес электронной почты или создайте новый адрес. Чтобы отправлять отчеты на несколько адресов, укажите их через запятую.

Пример записи DMARC:

_dmarc.esputnik.com.    IN    TXT    "v=DMARC1; p=reject; adkim=s; aspf=s; sp=reject; rua=mailto:postmaster@yourdomain.com"

Пример минимальной записи DMARC (означает буквально следующее: “DMARC определен как отключенный”):
_dmarc.esputnik.com.    IN    TXT    "v=DMARC1; p=none;"

Для выбора варианта подключения вашего домена к нашей системе надо для начала понять

Какую информацию об отправителе содержит письмо?

Поля заголовка письма содержат много технической информации, не показываемой получателю письма в обычных условиях. Обычно получатель видит только два параметра:

• от кого пришло письмо (поля From: или Sender: заголовка письма)
• на какую тему (поле Subject: заголовка письма).

Чтобы увидеть подробности, т.е. остальные поля заголовка письма, надо найти в почтовом клиенте кнопку или пункт меню, показывающий все заголовки письма или целиком все письмо вместе с заголовками. Например, в Gmail нужно в меню открытого письма в выпадающем списке выбрать пункт “Show original”:

Основные поля, которые используются в заголовке письма

• From: - в этом поле находится адрес отправителя, т.е. ваш адрес (значение “Отправитель” из редактора письма)
• Sender: - технический отправитель письма (сюда при базовом варианте подключения мы ставим технический адрес в нашем домене, проставляется для улучшения доставляемости на почтовые сервера, работающие на программном обеспечении фирмы Microsoft)
• Reply-to: - адрес, на который будет направлен ответ, если получатель этого письма нажмет кнопку “Ответить” (поле заполняется, только если вы укажете “Адрес для ответа” в редакторе письма)
• To: - адрес получателя письма (сюда заносится адрес получателя из вашего списка контактов при отправке письма)
• Subject: - тема письма (значение “Тема” из редактора письма)
• Date: - дата и время создания письма (вносится нашей системой в момент формирования и отправки письма получателю)
• Message-ID: - уникальный идентификатор письма в нашей системе
• X-Mailer: - название специализированного программного обеспечения нашего сервиса, осуществляющего отправку письма, и номер блока серверов, через который осуществлялась отправка
• Feedback-ID: - идентификатор рассылки для отслеживания в постмастере Google
• List-Id: - идентификатор рассылки для фильтрации на стороне пользователя
• List-Unsubscribe: - ссылки для автоматической отписки данного получателя от этой рассылки (благодаря этому полю в интерфейсах многих крупных почтовых провайдеров появляется кнопка “Отписаться” в меню письма)
• DKIM-Signature: - цифровая электронная подпись отправляющего сервера (1 или 2, создается нашим сервером в момент отправки письма на почтовый сервер получателя, помимо самой сигнатуры содержит идентификатор ключа, имя домена и список подписываемых полей письма)
• Return-Path: - технический адрес отправителя (сюда мы ставим технический адрес отправителя в нашем или вашем домене, в зависимости от варианта подключения, на который будем ловить ошибки доставки и жалобы на спам)
• Received: - информация о сервере, с которого было принято письмо (строка добавляется каждым почтовым сервером и сервисом, через которые путешествует письмо до почтового ящика получателя)
• Authentication-Results: - строка может добавляться принимающим почтовым сервером для записи результатов проверок DKIM/SPF/DMARC.

Почтовые клиенты могут по-разному визуализировать информацию заголовков письма для удобства прочтения получателем.

Например, в Gmail под именем отправителя можно увидеть дополнительную информацию — “mailed-by:” и “signed-by:”, формируемую из полей Return-Path: и DKIM-Signature:

Все почтовые сервисы игнорируют при визуализации поле “Sender:”. Исключение - почтовые сервисы и продукты Microsoft, там поле “Sender:” имеет более высокий приоритет и при его наличии показывается как “Отправитель” вместо значения из поля “From:”.

Что увидят ваши подписчики в зависимости от варианта подключения вашего домена к нашему сервису?

Допустим, у вас есть домен с названием stopfake.org. Вы хотите отправлять письма от имени почтового ящика info в этом домене. Тогда в заголовке будет
From: info@stopfake.org.

В обычных (типовых) условиях письмо формируется так: 

• в заголовке поле From: получает ваш адрес info@stopfake.org, 
• поле To: — адрес получателя, 
• в полях Sender: и Return-Path: — наш технический адрес, на который ловятся ошибки доставки и который служит для обработки некоторых жалоб на спам.

Письмо подписывается DKIM'ом нашего домена.

Шаблон заголовка:

Mail From (envelope): bounce+XXX@m11.esputnik.com
From: name@yourdomain.com
Sender: bounce+XXX@m11.esputnik.com
Return-Path: bounce+XXX@m11.esputnik.com

где ХХХ - адрес получателя письма, VERP-кодированный. Это делается для того, чтобы увеличить шансы нашего сервиса на определение получателя письма при разборе писем-уведомлений об ошибках доставки и жалоб на спам.

Это базовый вариант. Он подключается всем по умолчанию.

В Gmail будет видна такая информация:
mailed-by: esputnik.com,
signed-by: esputnik.com.

Мы рекомендуем при работе с нашим сервисом по базовому варианту подключения добавить в строку SPF вашего домена нашу вставку “include:spf2.esputnik.com”.

Например, так:
stopfake.org.        IN    TXT    "v=spf1 +a +mx include:spf2.esputnik.com -all"

Когда вы настроите свою электронную подпись, письма начнут подписываться ключом вашего домена. 

Мы предлагаем 3 варианта подключения электронной подписи:

1. Вариант “Полный”

Популярный вариант, но имеет сложности настройки победить которые может не каждый. Возможно, вам понадобится помощь технического специалиста.

Письмо формируется так: 

• в заголовке поле From: получает ваш адрес name@yourdomain.com, 
• поле To: — адрес получателя, 
• поле Sender: отсутствует, 
• в поле Return-Path: — технический адрес в вашем домене, на который ловятся ошибки доставки и который служит для обработки некоторых жалоб на спам. 

Письма, приходящие на технический адрес, указываемый в поле Return-Path:, вы автоматически пересылаете на наш сервис для обработки результатов доставки.

Письмо подписывается DKIM'ами нашего и вашего доменов.

Шаблон заголовка:
Mail From (envelope): bounce+XXX@yourdomain.com
From: name@yourdomain.com
Return-Path: bounce+XXX@yourdomain.com

В Gmail будет видна такая информация:
mailed-by: yourdomain.com,
signed-by: yourdomain.com.

Чтобы подключить этот вариант, необходимо зайти в аккаунте в Настройки → Верификация домена → Сложная конфигурация сервера.

В DNS вам надо будет внести:

yourdomain.com.            IN    TXT    “v=spf1 include:spf2.esputnik.com ~all”
esputnik._domainkey.yourdomain.com.    IN    CNAME    dkim.esputnik.com.

Обратите внимание:

1. Вместо yourdomain.com надо использовать ваше собственное название домена.
2. Если для вашего домена уже установлена SPF-запись, вам надо дополнить ее нашей вставкой “include:spf2.esputnik.com”, а не создавать вторую запись.

Помимо этого, вам надо настроить автоматическую пересылку всех писем, приходящих на ящик bounce+* в вашем домене, на наш адрес bounce@trap.esputnik.com.
Символ “звездочка” подразумевает, что на его месте может быть любое количество любых допустимых символов.

Проще всего подобную переадресацию можно настроить, если почта вашего домена находится на серверах Google или Яндекс - эти сервисы откидывают суффикс, следующий за знаком “плюс” в строке адреса. В этом случае вам надо просто создать почтовый ящик "bounce" и настроить пересылку всех приходящих на него писем на адрес bounce@trap.esputnik.com.

Если ваша почта находится на каком-либо сервисе, не поддерживающем откидывание суффикса после символа “плюс”, возможен другой вариант настройки переадресации. Настройте ящик, куда будет складываться вся почта, приходящая на ваш домен для всех несуществующих ящиков. В этом ящике настройте фильтр - если письмо пришло на адрес, начинающийся на “bounce+”, отправляйте его на bounce@trap.esputnik.com, иначе - удаляйте.

Также рекомендуем настроить пересылку копий писем, приходящих на адрес abuse в вашем домене, на наш адрес abuse@trap.esputnik.com. Тогда мы сможем оперативно реагировать на жалобы.

Если ни один из этих вариантов пересылки почты вы по какой-то причине не можете реализовать, вам придется выбрать другой вариант подключения вашего домена к нашему сервису.

2. Вариант “Полный+”

Этот вариант лучший для подключения.
Письмо формируется так: 

• в заголовке поле From: получает ваш адрес name@yourdomain.com, 
• поле To: — адрес получателя, 
• поле Sender: отсутствует, 
• в поле Return-Path: — технический адрес в вашем поддомене (например, sub.yourdomain.com), на который ловятся ошибки доставки и который служит для обработки некоторых жалоб на спам. 

Письма, приходящие на технический адрес в поддомене вашего домена, указываемый в поле Return-Path:, принимает наш сервис обработки результатов доставки.
Письмо подписывается DKIM'ами нашего и вашего доменов.

Шаблон заголовка:
Mail From (envelope): bounce+XXX@sub.yourdomain.com
From: name@yourdomain.com
Return-Path: bounce+XXX@sub.yourdomain.com

В Gmail будет видна такая информация:
mailed-by: sub.yourdomain.com,
signed-by: yourdomain.com.

Чтобы подключить этот вариант, необходимо зайти в аккаунте Настройки → Верификация домена.

Выберете какое-то еще не задействованное имя для поддомена в вашем домене. Например, e, email, promo, mailer или любое другое. Для наглядности будем считать, что вы выбрали имя sub.

В DNS вам надо будет внести:

yourdomain.com.            IN    TXT    “v=spf1 include:spf2.esputnik.com ~all”
sub.yourdomain.com.            IN    TXT    “v=spf1 include:spf2.esputnik.com ~all”
sub.yourdomain.com.            IN    MX    10    trap.esputnik.com.
esputnik._domainkey.yourdomain.com.    IN    CNAME    dkim.esputnik.com.

Обратите внимание:

1. Вместо yourdomain.com надо использовать ваше собственное название домена.
2. Если для вашего домена уже установлена SPF-запись, вам надо дополнить ее нашей вставкой “include:spf2.esputnik.com”, а не создавать вторую запись.
3. MX-запись для выбранного поддомена должна быть единственной.

3. Специальный вариант: поддомен

Это вариант для тех, кому по какой-либо причине не подходят другие варианты подключения. По сути, это тот же вариант “Полный”, но на выделенном поддомене и с обработкой ответов на нашей стороне.
Вариант также подходит для  случаев, когда надо отделить репутацию маркетинговых кампаний от транзакционных и других сообщений.

Письмо формируется так: 

• в заголовке поле From: получает ваш адрес name@sub.yourdomain.com,
• поле To: — адрес получателя, 
• поле Sender: отсутствует, 
• в поле Return-Path: — технический адрес в вашем поддомене sub.yourdomain.com, на который ловятся ошибки доставки и который служит для обработки некоторых жалоб на спам. 

Все письма, адресованные для вашего поддомена sub.yourdomain.com, принимает наш сервис, и он же занимается обработкой результатов.
Письмо подписывается DKIM'ами нашего домена и вашего поддомена.

Шаблон заголовка:
Mail From (envelope): bounce+XXX@sub.yourdomain.com
From: name@sub.yourdomain.com
Return-Path: bounce+XXX@sub.yourdomain.com

В Gmail будет видна такая информация:
mailed-by: sub.yourdomain.com,
signed-by: sub.yourdomain.com.

Чтобы подключить этот вариант, необходимо зайти в аккаунте в Настройки → Верификация домена → Сложная конфигурация сервера.

Выберите какое-то еще не задействованное имя для поддомена в вашем домене. Например, e, email, promo, mailer или любое другое на вашу фантазию. Для наглядности будем считать, что вы выбрали имя sub.

В DNS вам надо будет внести:

sub.yourdomain.com.            IN    TXT    “v=spf1 include:spf2.esputnik.com ~all”
sub.yourdomain.com.            IN    MX    10    trap.esputnik.com.
esputnik._domainkey.sub.yourdomain.com.    IN    CNAME    dkim.esputnik.com.

Обратите внимание:

1. Вместо yourdomain.com надо использовать ваше собственное название домена.
2. MX-запись для выбранного поддомена должна быть единственной.
3. В этом варианте вся почта для выбранного вами поддомена будет приходить на наши почтовые сервера и пересылаться на ваш адрес, который необходимо указать в поле для ответа.

С примерами как можно настроить цифровые подписи на популярных хостингах можно ознакомиться в статье. 

Дополнительные настройки в DNS

Если объемы ваших рассылок высоки или мы увидим, что доставляемость существенно снижается, возможно вам придется добавить еще некоторые дополнительные настройки в DNS, чтобы наша служба поддержки могла более детально отслеживать ошибки доставки и жалобы на ваши рассылки.

Чаще всего мы просим добавить ключи авторизации для постмастеров крупных почтовых служб.

Проверка правильности настроек

Чтобы убедиться, что все элементы электронной подписи настроены верно, вы можете воспользоваться встроенным инструментом проверки в личном кабинете eSputnik.

Согласно стандарту, информация DNS может распространяться между серверами с большой задержкой - до 48 часов. Поэтому рекомендуем вам заранее вносить нужные записи в DNS.
Доступность опубликованных вами записей DNS почтовым серверам можно проверить любым сервисом, позволяющим осуществлять запросы в DNS. Например, https://dnsquery.org/

Для проверки правильности формирования вашей записи SPF и удовлетворения существующих ограничений стандарта рекомендуем хороший бесплатный онлайн-инструмент:  https://vamsoft.com/support/tools/spf-policy-tester

Проверка настроек в процессе работы

eSputnik регулярно проверяет, всё ли в порядке с вашими настройками DNS. Так что снижение репутации ваших емейл рассылок из-за случайно сбитых настроек практически исключено. 

Если настройки “ломаются”, мы сообщим вам об этом в письме. Пока проблема не будет устранена, подписывание ключом вашего домена будет приостановлено. 

Для варианта подключения “Полный” существует еще одна регулярная проверка - проверка исправности механизма переадресации. В случае обнаружения проблем в его работе, подписывание ключом вашего домена также будет приостановлено.

Пожалуйста, внимательно читайте письма, автоматически формируемые нашим сервисом для вас. Если вы получили хотя бы одно письмо с сообщением о какой-либо проблеме, не откладывайте ее решение на потом, сразу обратитесь в нашу службу поддержки за помощью.