Чек-лист по email-безопасности для вашего домена: не дайте пробелам ударить по карману

Спуфинг email ежегодно отнимает у компаний миллиарды. Злоумышленники маскируются под ваши домены, выманивают пароли у сотрудников и рушат репутацию. Парадокс в том, что у многих есть базовая защита, но она настроена криво или неполная.

Если вы не уверены в защите своего домена — это нормально. Полная проверка доменной безопасности развеет сомнения.

Невидимая защита домена

При отправке email с вашего домена почтовые серверы тихо проверяют подлинность. Они ищут:

• SPF records — подтверждение, что серверы-отправители принадлежат вам.
• DKIM signatures — криптографический знак, что письмо не подделано.
• DMARC policies — правила для случаев, когда проверка провалилась.
• BIMI records — ваш логотип в почтовых клиентах.
• TLS-RPT и MTA-STS — защита трафика и отчеты о проблемах.

Пропустите один элемент или ошибитесь в настройке — письма улетят в спам. Или их подделают мошенники.

Типичные ошибки в настройках

Из аудитов видим одни и те же промахи.

Критические риски

• Нет SPF вообще. Часто бывает. Любой сервер может притвориться вами.
• Ошибки в синтаксисе SPF. Запись без v=spf1 не работает. Больше 10 DNS-запросов — и проверка сломается.
• Несколько SPF-записей. DNS берет только одну, остальные игнорирует. Кажется, все ок — а на деле дыра.

Средние проблемы

• Слишком мягкие политики. +all в конце SPF пропустит любого. Защита нулевая.
• Устаревшие трюки. ptr в SPF тормозит и усложняет.
• Опечатки в модификаторах. exp вместо expl — и настройка бесполезна.

Мелкие, но важные огрехи

• DKIM без публичного ключа. Запись есть, а ключ не опубликован — проверка молча провалится.
• Нет BIMI. У конкурентов логотипы в Gmail сияют, у вас — тишина. Бренд страдает.
• Неполный BIMI. Без тега URI с логотипом клиенты игнорируют запись.

Как работает аудит домена

Хороший инструмент для проверки делает три шага.

1. Сбор DNS-данных
Инструмент запрашивает публичные DNS-серверы и вытаскивает все записи аутентификации. То же видят Gmail, Outlook и корпоративные сервера.

2. Глубокий разбор
Каждую запись тестят на:

• Правильный синтаксис.
• Силу политики.
• Конфликты и дубли.
• Соответствие стандартам RFC.

3. Конкретные советы
Не просто "ошибка найдена", а "почему это плохо и как исправить". Вместо "SPF отсутствует" — "добавьте v=spf1 include:_spf.google.com ~all для Google Workspace".

Почему это срочно

DMARC становится обязательным. Microsoft, Google и Yahoo ужесточают правила. Без аудита:

• Письма не доходят или тонут в спаме.
• Подделать ваш домен — раз плюнуть.
• Аудиты безопасности и compliance провалятся.
• В новых клиентах нет вашего логотипа (BIMI).

Стартапы откладывают на "потом". Но дыры в email — тихий убийца. Клиенты не получают ваши письма.

Что делать дальше

Запустите скан домена прямо сейчас. Ищите:

• Критические проблемы (отсутствующие записи, кривой синтаксис).
• Средние (слабые политики, рискованные настройки).
• Простые улучшения (BIMI, TLS-RPT, MTA-STS).

Фиксите по приоритету. Критика бьет по доставке сразу. Средние — по защите от спуфинга. Остальное — для бренда и будущего.

Весь процесс — 10 минут. Репутация в безопасности.

Совет: С NameOcean настройка email-аутентификации в DNS-панели — без хлопот. Проверьте статус домена и поправьте прямо там, без лишних сервисов.