Благодарим за подписку!

Закрыть

But First DNS. Как подготовить домен к рассылке

Вы решили использовать платформу ExpertSender. Уже мысленно продумали свою первую рассылку, но ваш менеджер просит сначала настроить какую-то там DNS и высылает список со странными терминами. Безобразие. Но через эту процедуру проходит каждый наш клиент, в ней нет ничего страшного. В этой статье мы расскажем, для чего нужны настройки DNS, какие они бывают и почему с ними лучше, чем без них.

Настройки DNS: что это и почему это так важно

В современном мире все типы транзакций требуют подтверждения. Если вы пациент, водитель автобуса или пассажир самолета, чтобы совершить какое-то действие в качестве вышеназванного лица, вы должны доказать, что вы — именно тот, за кого себя выдаете. Предъявить медицинский полис, страховку или направление на лечение, водительские права специальной категории или авиабилет на конкретный рейс.

Мир доставляемости работает точно так же. Чтобы пройти сквозь фильтры почтового провайдера, вы должны доказать, что являетесь законным отправителем. А чтобы это сделать, нужно внести записи в настройки DNS (Domain Name System) для вашего отправляющего домена.  Для этого вам потребуется доступ к DNS-хостингу. Обычно он есть у системных администраторов вашей компании. Им вы должны передать наше ТЗ, по которому они смогут добавить все необходимые записи в DNS.

Что такое SPF

Первый пункт, который значится в списке необходимых настроек, — это SPF.

SPF (Sender Policy Framework) — это DNS-запись типа TXT, которая определяет, каким серверам разрешено отправлять почту от имени этого домена. 

Если проводить аналогию, то SPF — как доверенность. Я, domain.ru, разрешаю sender1.ru, sender2.ru, отправлять письма от моего имени. 

Сравнение IP-адреса отправителя со значением, содержащимся в SPF, возвращает один из четырёх результатов: pass, fail, softfail, neutral. Если итог —  pass, всё у письма будет хорошо. То, как будет воспринято письмо с другим результатом, зависит от почтового сервера получателя. Например, письмо с резолюцией softfail может попасть в спам, может не дойти вовсе, а может прийти во входящие.

SPF-запись состоит из трех частей:

  • Версия
  • Механизмы с префиксами
  • Модификатор

v=spf1— версия SPF, обязательный параметр. 
Существует еще версия spf2.0, которая разрабатывалась, как экспериментальный вариант, но не стала популярной и устарела. Версию spf2.0 использовать не следует, поскольку она может привести к непредсказуемым результатам.

Наиболее популярные механизмы:

  • ip4 — конкретный IP-адрес или сеть;
  • a — все серверы, указанные в A-записях домена;
  • mx — все серверы, указанные в MX-записях домена;
  • include — проверить все адреса, объединенные SPF-записью этого домена;
  • all — все остальные серверы, не перечисленные в SPF-записи;

Префиксы:

  • + — соответствует результату pass, то есть рекомендует принимать сообщение от указанного отправителя. Этот параметр установлен по умолчанию для всех механизмов, то есть include и +include — это одно и то же;
  • — — fail или твердый отказ. Письма от отправителя с таким префиксом будут помечены как не прошедшие проверку;
  • ~ — softfail или мягкий отказ. Такие письма будут помечены как условно не прошедшие проверку;
  • ? — neutral или нейтральная реакция.

Модификатор:

  • redirect — позволяет полностью перевести запрос на другой домен

SPF может заканчиваться либо на all, либо на redirect.

Важно помнить, что SPF-запись может быть только одна для одного домена. Все серверы, через которые вы отправляете письма, необходимо прописывать через include. 

Максимально допустимое количество DNS-запросов для одной записи SPF равно 10. При этом также учитываются вложенные запросы. Если запись SPF предполагает более 10 запросов, то по достижении 10 проверок механизмы, превышающие установленный максимум, рассматриваются как недействительные, и проверка SPF для них не выполняется. 

А полную техническую информацию вы можете найти в стандарте RFC.

Например, запись:  domain.com. TXT « v=spf1 a mx ip4:000.0.000.000 ~all» означает следующее:
— принимать сообщения:

  • c IP-адреса, указанного в A-записи (a);
  • с IP-адреса домена из MX-записи (mx);
  • с IP-адреса 000.0.000.000 (ip4:000.0.000.000).

— с других серверов (all) — помечать как условно не прошедшие проверку.

Как настроить SPF

Чтобы включить проверку SPF, добавьте в настройки домена TXT-запись.

  1. Войдите в аккаунт своего домена на сайте регистратора.
  2. Откройте страницу, где можно обновить записи DNS. Эта страница может называться DNS management (Управление DNS), Name server management (Управление серверами доменных имен) или Advanced settings (Расширенные настройки).
  3. Найдите записи типа TXT и проверьте, есть ли среди них запись SPF. Она начинается с v=spf1.
  4. Создайте запись TXT с указанными ниже значениями.
    1. Введите в поле Name/Host/Alias (Имя/хост/псевдоним) знак @ или оставьте его пустым. Верное значение может быть указано в других записях DNS для вашего домена.
    2. В поле Time to Live (TTL) (Время жизни) введите 3600 или оставьте значение по умолчанию.
    3. В поле Value/Answer/Destination (Значение/ответ/назначение) введите строку, которую мы вам прислали. Например: «v=spf1 ip4:000.000.000.000 a mx ~all»
  5. Сохраните изменения.

Как проверить запись SPF

Для проверки правильности настройки вы можете воспользоваться сервисом для проверки SPF или любым из сервисов для просмотра DNS-записей, например, www.dnswatch.info:

  • введите проверяемый домен и выберите тип записи TXT
  • нажмите на кнопку Resolve. Сервис выдаст вам список всех TXT-записей. SPF начинается с «v=spf1» и должна содержать все необходимые ip-адреса.

Новая запись SPF начнет действовать уже часа через 2-3, но иногда процесс может растянуться до 48 часов. Проверить это можно на этом сервисе

Что такое DKIM

Вторым этапом необходимо настроить DKIM.

DKIM (DomainKeys Identified Mail) — эта технология позволяет проверить отправителя письма не по IP-адресу, а с помощью добавления к письму цифровой подписи. На сервере отправителя письмо подписывается закрытым ключом, а к домену добавляется специальная DNS-запись типа TXT с открытым ключом, которой на стороне получателя выполняется автоматическая проверка подписи. Таким образом, DKIM-подпись позволяет подтвердить, что адрес, указанный в поле «От кого», является реальным адресом отправителя письма, а также повышает доставляемость писем. Если DKIM у вас не установлен, большинство почтовых серверов будут отклонять получение ваших писем. Это способ авторизации, который нельзя игнорировать. 

Если уйти от технического описания к образному, то DKIM — как замок с двумя ключами. Приватный ключ носим на шее (храним в системе рассылки), публичный оставляем в банке (располагаем в открытом виде в DNS-записи). Открыть ячейку можно только при использовании двух ключей, иначе замок блокируется. Если ключи из одной пары, DKIM=PASS, иначе DKIM=FAIL. 

Запись выглядит следующим образом: 

mail._domainkey.domain.ru. TXT «v=DKIM1; k=rsa;p=…», где 

  • mail._domainkey — имя записи типа DKIM
  • v — версия DKIM, всегда принимает значение v=DKIM1; 
  • k — тип ключа, всегда k=rsa; 
  • p — публичный ключ, кодированный в base64.

Как добавить DKIM-подпись

  1. Войдите в аккаунт своего домена на сайте регистратора.
  2. Откройте страницу, где можно обновить записи DNS. Эта страница может называться DNS management (Управление DNS), Name server management (Управление серверами доменных имен) или Advanced settings (Расширенные настройки).
  3. Добавьте новую ТХТ-запись, указав в теге «р» сгенерированный нами публичный ключ. 

Как проверить настройку DKIM

Корректность настройки подписи DKIM можно узнать по наличию подписи DKIM-Signature в заголовках письма, а также строчке dkim=pass в заголовке «Authentication-Results».

А можно проверить, используя специальный сервис.

Помните, что время обновления записи может занимать до 48 часов. 

Что такое DMARC

На основе SPF и DKIM-подписей строится политика DMARC. DMARC не является обязательной записью, её основная польза заключается в сохранении чистоты репутации почтовых сервисов и интернет-провайдеров, так как дает возможность исключить несанкционированные рассылки (спам и фишинг). Но мы настоятельно рекомендуем использовать DMARC. Вы же хотите идеальную репутацию? 

DMARC похож на сверхзащищенную банковскую ячейку. Каждый, кто придет в банк и захочет провести операцию с вашей ячейкой, должен предъявить документы на пользование (SPF) и ключ от ячейки (DKIM). 

DMARC добавляется только после того, как были добавлены записи SPF и DKIM, и сообщает серверу-получателю, что делать с письмами, которые не прошли проверку легитимности отправителя: ничего, отправить в спам или вообще не принимать. Более того, каждый день можно получать отчеты на свой почтовый ящик. 

Запись может иметь вид:

_dmarc.domain.ru. TXT «v=; p=; …», где 

  • v — версия протокола, DMARC1
  • р — правило для домена: none — бездействовать;quarantine — поместить в спам; reject — отклонить.

Остальные параметры можно узнать в реестре тегов DMARC.

Например, запись «v=DMARC1; p=reject;» означает, что нужно отклонять сообщения, не прошедшие проверку.

Как настроить DMARC

  1. Войдите в консоль управления своего регистратора домена.
  2. Перейдите на страницу, на которой можно изменить записи DNS.
  3. Добавьте TXT-запись _dmarc со значением:
    v=DMARC1; rua=mailto:dmarc-reports@domain.com; p=quarantine; pct=90; sp=none
    (вместо domain.ru должен быть ваш домен)
  4. Сохраните изменения.

Более подробно про DMARC вы можете прочесть в нашей статье

Как отслеживать статистику по открытиям и кликам

Следующим этапом настраивается трекинговый домен для ссылок вида opens.domain.ru/clicks.domain.ru/unsubscribe.domain.ru (CNAME-записи). Эти поддомены необходимы для отслеживания статистики по кликам и открытиям в аккаунте. Это значит, что когда человек кликнет по ссылке из письма, он сначала перейдет на этот трекинговый домен. Там система распознает, что это за подписчик, какое это письмо и ссылка (вся информация “зашита” в ссылку), в статистику запишутся детали перехода, а затем он уже попадет на ту страницу, на которую шел. Это всё происходит за доли секунды, незаметно для пользователя, и он сразу видит нужную страницу. А собранную статистику можно видеть в платформе и настраивать сегменты, используя эти данные. Например, в кампании по реактивации сегменту подписчиков, которые открыли письмо, будет отправлена цепочка писем с содержанием «Как здорово, что вы с нами!». А тех, кто ваши письма игнорирует, можно удалить из базы.

Пример настройки:

Добавить CNAME-запись links.domain.ru со значением click-s0-russia.esv2.com

Если у вас прописано, что все ссылки должны открываться только по https, то нам потребуется SSL-сертификат в формате PFX. Мы добавим его, чтобы ссылки открывались корректно.
Если по требованиям безопасности вы не можете выслать нам SSL-сертификат, то проблему можно решить при помощи реверс-прокси. Для этого нужно на вашем сервере настроить реверс-прокси с домена links.domain.ru на  IP-адрес платформы — 00.000.000.000. То есть в А-записи вы ставите IP-адрес своего реверс-прокси, а он уже перенаправляет запросы на IP нашей платформы. В этом случае вы сами можете внести настройки на своей стороне, и нам ничего присылать не придётся. Но использовать такой способ при больших объемах рассылки не рекомендуется. Одновременное открытие ссылок из письма множеством людей положит реверс-прокси на лопатки, и ссылки не будут работать. 

Схематично это выглядит так:
До: links.domain.ru → CNAME-запись “click-s0-russia.esv2.com” → наш IP 00.000.000.000 → ExpertSender
После: links.domain.ru → A-запись “links.domain.ru” → Ваш реверс-прокси (на котором как раз установлен SSL-сертификат)  → наш IP 00.000.000.000 → ExpertSender

Что такое FBL 

FBL (Feedback Loop) означает, что отправитель писем может получать в реальном времени информацию о том, что конкретный пользователь отправил в спам конкретное письмо.
Обрабатывая FBL-отчеты, мы можем автоматически отписывать пользователей от рассылок.  Убирая из базы незаинтересованных подписчиков, вы тем самым снижаете нагрузку на серверы и поддерживаете свою репутацию отправителя на высоком уровне. Кроме того, на основе отчетов мы проанализируем содержимое рассылки и поможем вам скорректировать ее, чтобы снизить количество жалоб и избежать блокировок в будущем. 

Настройка затрагивает две записи: А и МХ.
А-запись нужна для связи домена с IP-адресом сервера. Когда вы вводите название сайта в адресную строку браузера, именно по А-записи DNS определяет, на каком IP находится ваш сайт.
MX (Mail Exchanger) — запись, отвечающая за сервер, через который будет работать почта. Записи MX критически важны для работы почты. Благодаря им отправляющая сторона «понимает», на какой IP нужно отправлять почту для вашего домена. 

Пример настройки:
А-записи domain.ru необходимо придать значение 000.000.000.000 (IP-адрес нашего сервера site.ru).
В МХ-записи domain.ru  прописывается значение mx03.site.ru.
Таким образом, вся почта, приходящая на ваш домен, будет обрабатываться на нашем сервере. 

Что такое верификация домена в постмастере 

Постмастер — это инструмент для анализа результатов массовых рассылок. Он  может рассказать о причинах попадания писем в спам, найти ошибки в доставке, поможет отследить репутацию домена и IP и будет мониторить спам-рейтинг отправителя.

Среди них наиболее популярны:

  • Postmaster Mail.ru
  • Postmaster Gmail
  • Postoffice Yandex

Верификацию в постмастерах настраиваем мы сами, вам необходимо только добавить нужные DNS-записи.

Как проходит верификация в Postmaster Mail.ru

  1. У нас есть зарегистрированная на mail.ru почта. С помощью нее мы логинимся в постмастере
  2. Добавляем домен, который будем отслеживать.
  3. Подтверждаем права на домен. Для этого во вкладке DNS-проверка копируем значение DNS-записи, выделенное жирным. Это значение мы присылаем вам, чтобы вы добавили в DNS-записи своего домена  ТХТ-запись @ со значением mailru-verification: 0000000000000, где вместо нулей присланные нами параметры.

Нюансы работы с Postmaster Mail.ru и его возможности можно узнать тут. 

Как проходит верификация в Postmaster Gmail

Процедура аналогичная:

  1. Мы логинимся в постмастере
  2. Добавляем домен, который будем отслеживать.
  3. Подтверждаем права на домен. Копируем запись TXT. Эту запись мы присылаем вам, чтобы вы добавили в DNS-записи своего домена TXT-запись @ со значением google-site-verification=0000000000000, где вместо нулей присланные нами параметры.

Если у вас есть аккаунт в постмастере, то вы из личного кабинета можете поделиться доступом в него с нашим емейлом.

У этого постмастера статистика не такая полная, как у Mail.ru или Yandex. Подробнее об инструментах Postmaster Tools можно почитать в Справочном центре.

Как проходит верификация в Postoffice Yandex

  1. Логинимся в постофисе.
  2. Добавляем домен, который будем отслеживать.
  3. Подтверждаем права на домен. Копируем запись, которую сгенерировал постофис и высылаем вам. Вы загружаете в корневой каталог сайта файл с именем и текстом, который был сгенерирован.

Здесь можно узнать, какую статистику можно отслеживать с помощью постофиса.

Зачем нужна переадресация delivery

И последний шаг — но совсем не последний по значимости — это настройка переадресации с вашего домена (delivery@domain.ru, abuse@domain.ru, postmaster@domain.ru) на delivery@expertsender.ru. Так мы узнаем, когда вы нарушите закон (шутка, вы же хорошие ребята).  Мы сообщим вам, если кто-то напишет и пожалуется на вашу рассылку.

Выводы:

После того, как вы пройдете все этапы, мы проверим правильность настроек и откроем вам боевой аккаунт 🙂

Аутентификация рассылки — это важный шаг на пути к грамотному емейл-маркетингу и высокому уровню доставляемости ваших писем. Возникли какие-то сложности? Напишите нам на experts@expertsender.ru, и мы вместе разберемся в любом вопросе.

Эксперт по цифровому маркетингу