← Всі перевірки
Висока критичністьЩотижня
📧

Email-безпека: SPF, DKIM, DMARC

Перевіряємо DNS-записи SPF, DKIM і DMARC. Без них зловмисник може надсилати листи від імені вашого домену — клієнти отримають фішинг із вашою адресою.

01 Що це таке?

SPF, DKIM і DMARC — це три DNS-записи, які разом захищають ваш домен від email-підробки (spoofing). Без них будь-хто може відправити листа з адресою відправника @ваш-домен.com — і більшість поштових клієнтів покажуть його як легітимний. SPF вказує, які сервери мають право надсилати пошту від імені домену. DKIM додає криптографічний підпис до листів. DMARC вказує, що робити з листами, які не пройшли SPF/DKIM: відхиляти, помічати як спам або пропускати.

02 Чому це важливо для бізнесу?

  • Без DMARC зловмисник може відправити фішинговий лист від імені CEO компанії на всіх співробітників
  • Email spoofing — основний інструмент BEC (Business Email Compromise) атак, збитки від яких $2.9 млрд/рік
  • Gmail і Outlook з 2024 року вимагають SPF і DKIM для масових розсилок — без них листи йдуть у спам
  • Відсутність DMARC означає що ви не отримуєте звітів про спроби підробки вашого домену
  • Неправильний SPF ("softfail" замість "fail") — часто дає хибне відчуття захисту

03 Що саме перевіряємо

  • SPF-запис: наявність, синтаксис, режим (~all, -all, +all)
  • DKIM: наявність публічного ключа для основних селекторів (google, mail, default)
  • DMARC: наявність, policy (none/quarantine/reject), rua/ruf адреси для звітів
  • SPF lookup limit — більше 10 DNS-запитів у SPF ламає перевірку
  • Відповідність DMARC alignment: чи домен у From збігається з SPF/DKIM доменом

04 Типові проблеми

DMARC відсутній або в режимі "none"

DMARC p=none означає "тільки моніторинг, не блокувати". Фішингові листи від імені домену будуть доставлятись клієнтам. Більшість компаній так і залишаються у p=none роками — "налаштували і забули".

_dmarc: "v=DMARC1; p=none" → підробка листів не блокується

SPF ~all (softfail) замість -all (fail)

~all означає "позначити як підозріле, але прийняти". Більшість поштових серверів все одно доставляють такі листи. Правильно: -all (hardfail) — відхиляти листи з несанкціонованих серверів.

v=spf1 include:_spf.google.com ~all → змінити на -all

SPF перевищує ліміт 10 DNS-запитів

Якщо в SPF підключено багато include (Google, Mailchimp, HubSpot, SendGrid) — може перевищитись ліміт у 10 DNS-запитів. У такому разі SPF перевірка "ламається" і листи можуть не доставлятись.

SPF PermError: Too many DNS lookups (12/10) → листи не проходять

05 Вплив на бізнес

Фішинговий лист від імені вашого домену клієнтам або партнерам — це удар по репутації, яку важко відновити. Навіть якщо ви технічно "невинні" — клієнти будуть пов'язувати шахрайство з вашим брендом. Налаштування SPF/DKIM/DMARC — одноразова робота на 30 хвилин, яка закриває цілий клас атак.

Хочете автоматичну перевірку цього параметра?

Rank Sentinel моніторить це і ще 20+ параметрів — щодня, без вашої участі.

🚀 Підключити моніторинг

5 000 грн/рік · Beta-ціна

Деталі перевірки

Критичність
Висока
Частота
Щотижня
Категорія
security

Схожі перевірки

🔒
SSL-сертифікат
Перевіряємо дійсність, рейтинг і термін дії SSL-сертифіката — щодня, із попередженням за 30 і 7 днів до закінчення.
🛡
HTTP Security Headers
Перевіряємо наявність і правильне налаштування заголовків безпеки HTTP, які захищають від XSS, clickjacking та інших атак.
📦
Вразливості JS-бібліотек
Знаходимо застарілі версії jQuery, Bootstrap та інших бібліотек з відомими CVE-вразливостями, які можуть бути проексплуатовані хакерами.