Вы отправили рассылку на 10 000 адресов, а открываемость провалилась ниже 5%. Причина почти всегда одна: письма не дошли до входящих, а молча упали в спам или вовсе были отклонены почтовым сервером. По данным крупных ESP, в 2026 году до 20–30% коммерческих писем без корректной аутентификации не доходят до папки «Входящие». Спасает не «волшебный сервис рассылок», а правильно настроенная связка трёх DNS-записей — SPF, DKIM и DMARC — плюс работа с репутацией домена. В этой статье разбираем, почему письма попадают в спам, как технически грамотно настроить аутентификацию, что показывают постмастеры Яндекса и Mail.ru, как прогревать домен и каких ошибок избегать. С конкретными примерами записей, которые можно сразу скопировать и адаптировать.
Почему письма попадают в спам
Почтовые провайдеры (Gmail, Яндекс Почта, Mail.ru, Outlook) принимают миллиарды писем в сутки и вынуждены агрессивно фильтровать. Решение «входящие или спам» принимается за доли секунды на основе десятков сигналов. Технические факторы при этом первичны: если письмо не проходит аутентификацию, контент уже почти не имеет значения.
Ключевые причины попадания в спам делятся на три группы:
- Аутентификация — нет SPF, DKIM или DMARC, либо они настроены с ошибками. Это причина №1 для холодного домена.
- Репутация отправителя — низкая репутация домена и IP-адреса: жалобы на спам, отправка на несуществующие адреса, попадание в спам-ловушки.
- Контент и поведение — спам-слова в теме, переизбыток ссылок и картинок, отсутствие текстовой версии письма, низкая вовлечённость подписчиков.
В феврале 2024 года Gmail и Yahoo ужесточили требования: для отправителей от 5 000 писем в сутки обязательны SPF, DKIM и DMARC, а уровень жалоб на спам не должен превышать 0,3%. Российские провайдеры идут тем же путём — без аутентификации массовая рассылка в 2026 году обречена.
SPF — кто имеет право отправлять от вашего имени
SPF (Sender Policy Framework) — это TXT-запись в DNS, которая перечисляет серверы и сервисы, которым разрешено отправлять письма от имени вашего домена. Когда принимающий сервер получает письмо, он проверяет IP-адрес отправителя по списку из SPF-записи. Если IP в списке — проверка пройдена, если нет — письмо подозрительно.
Как выглядит SPF-запись
SPF — это одна TXT-запись в корне домена. Базовый пример для домена, который шлёт письма через Яндекс 360 и сервис рассылок:
- Имя записи:
@(корень домена) - Тип: TXT
- Значение:
v=spf1 include:_spf.yandex.net include:spf.unisender.com ~all
Разберём по частям:
- v=spf1 — версия протокола, обязательное начало.
- include:_spf.yandex.net — разрешает отправку через серверы Яндекса (подтягивает их SPF).
- ip4:185.12.0.1 — можно прописать конкретный IP вашего сервера, если рассылаете со своего.
- ~all — softfail: письма с других серверов помечать как подозрительные, но не отклонять. Жёсткий вариант -all (hardfail) отклоняет всё, что не в списке.
Главные ошибки в SPF
- Несколько SPF-записей. На домене должна быть ровно одна запись
v=spf1. Две записи ломают проверку полностью. Все сервисы объединяются черезincludeв одной строке. - Превышение лимита в 10 DNS-запросов. Каждый
includeиa/mx— это DNS-запрос. Больше 10 — и SPF перестаёт работать (permerror). Лишние include нужно убирать или «уплощать» (flattening). - Использование
+all— разрешает отправку кому угодно. Это полностью обнуляет смысл SPF.
Важное ограничение: SPF проверяет адрес из конверта (Return-Path), а не адрес из поля «От». При пересылке письма SPF почти всегда ломается. Именно поэтому SPF недостаточно — нужен DKIM.
DKIM — криптографическая подпись письма
DKIM (DomainKeys Identified Mail) добавляет к каждому письму цифровую подпись, основанную на содержимом письма и закрытом ключе, который хранится у отправителя. Открытый ключ публикуется в DNS. Принимающий сервер берёт открытый ключ, проверяет подпись и убеждается, что письмо действительно отправлено вашим доменом и не было изменено по пути.
Главное преимущество DKIM перед SPF: подпись привязана к домену в поле «От» и переживает пересылку письма. Это самый надёжный механизм аутентификации.
Как настроить DKIM
Закрытый ключ генерирует и хранит ваш почтовый сервис или сервер. От вас требуется опубликовать открытый ключ в DNS как TXT-запись. Сервис выдаёт готовое значение — его нужно просто скопировать. Запись выглядит так:
- Имя записи:
mail._domainkey(гдеmail— это селектор, его задаёт сервис) - Тип: TXT
- Значение:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ...
Селектор (часть до ._domainkey) позволяет иметь несколько DKIM-ключей одновременно — например, отдельный для Яндекса и отдельный для сервиса рассылок. У каждого свой селектор, конфликта нет.
Частые ошибки в DKIM
- Обрезанный ключ. Открытый ключ длинный (1024 или 2048 бит). Некоторые DNS-панели режут значение — нужно вставлять полностью, при необходимости разбив на сегменты в кавычках.
- Неверный селектор. Запись опубликована под
default._domainkey, а сервис подписывает селекторомmail— проверка не находит ключ. - Ключ 1024 бит. В 2026 году рекомендуется 2048 бит. Короткие ключи провайдеры считают менее надёжными.
DMARC — политика и отчётность
DMARC (Domain-based Message Authentication, Reporting and Conformance) связывает SPF и DKIM воедино и говорит принимающим серверам, что делать с письмами, которые не прошли проверку. Дополнительно DMARC присылает вам отчёты — кто и откуда отправляет письма от имени вашего домена. Без DMARC вы вслепую: не знаете, проходит ли аутентификация и не подделывают ли ваш домен.
Ключевое понятие DMARC — выравнивание (alignment). Письмо проходит DMARC, если домен из поля «От» совпадает с доменом, подтверждённым через SPF или DKIM. Достаточно одного из двух.
Три политики DMARC: none, quarantine, reject
Политика задаётся параметром p= и определяет судьбу писем, не прошедших проверку:
- p=none — мониторинг. Письма доставляются как обычно, но вы получаете отчёты. С этого нужно начинать всегда, чтобы собрать данные и не сломать доставку.
- p=quarantine — карантин. Не прошедшие проверку письма отправляются в спам. Промежуточный этап ужесточения.
- p=reject — отклонение. Письма, не прошедшие аутентификацию, отклоняются на уровне сервера и не доходят вообще. Это финальная цель — максимальная защита от подделки домена.
Пример DMARC-записи
- Имя записи:
_dmarc - Тип: TXT
- Значение:
v=DMARC1; p=none; rua=mailto:dmarc@vashdomen.ru; ruf=mailto:dmarc@vashdomen.ru; fo=1; pct=100
Расшифровка параметров:
- p=none — стартовая политика мониторинга.
- rua — адрес для агрегированных отчётов (суточная статистика по доставке). Главный источник данных.
- ruf — адрес для отчётов о конкретных провалившихся письмах (не все провайдеры их шлют).
- pct=100 — процент писем, к которым применяется политика. На этапе ужесточения можно ставить
pct=25, чтобы политика применялась к четверти писем. - sp= — отдельная политика для поддоменов (если нужно).
Правильная последовательность внедрения DMARC
Никогда не ставьте p=reject сразу — рискуете заблокировать собственные легитимные письма из сервисов, о которых забыли. Рабочая дорожная карта:
- Неделя 1–2:
p=none— собираем отчёты, выявляем все легитимные источники отправки. - Неделя 3–4: убеждаемся, что все источники проходят SPF/DKIM с выравниванием. Чиним то, что не проходит.
- Неделя 5–6:
p=quarantine; pct=25, затем постепенно доpct=100. - Неделя 7+:
p=reject— максимальная защита.
Постмастеры Яндекс и Mail.ru
Постмастер — это бесплатный сервис провайдера, который показывает реальную репутацию вашего домена внутри конкретной почты: сколько писем дошло, сколько ушло в спам, сколько жалоб. Для рассылок по российской аудитории это обязательный инструмент — без него вы не видите половины картины.
Постмастер Яндекса
Доступен по адресу postmaster.yandex.ru. Подтверждаете владение доменом через DNS или метатег и получаете:
- Статистику доставки и попадания в спам по дням.
- Статус SPF, DKIM, DMARC — Яндекс прямо показывает, проходят ли проверки.
- Уровень репутации домена и долю жалоб пользователей (кнопка «Это спам»).
Критичный порог Яндекса по жалобам — около 0,3–0,4%. Выше — репутация падает, письма уходят в спам.
Постмастер Mail.ru
Доступен по адресу postmaster.mail.ru. Аналогичный функционал: подтверждение домена, статистика по доставке, жалобам, ошибкам, а также проверка аутентификации. Mail.ru особенно чувствителен к отправке на несуществующие адреса и спам-ловушки, поэтому держите базу чистой.
Для Gmail аналог — Google Postmaster Tools (postmaster.google.com), показывающий Domain Reputation, IP Reputation и Spam Rate. Если значительная часть вашей аудитории на Gmail — подключите и его.
Прогрев домена и репутация отправителя
Даже с идеальной аутентификацией нельзя взять новый домен и отправить с него 50 000 писем в первый день — провайдеры расценят это как спам-атаку. Репутация нарабатывается постепенно. Этот процесс называется прогревом (warm-up).
Как прогревать домен
Принцип — плавный рост объёма отправки при высокой вовлечённости. Примерный график для нового домена:
| День | Объём писем в сутки | Кому отправлять |
| 1–3 | 50–100 | Самым активным подписчикам |
| 4–7 | 200–500 | Активные открыватели |
| 8–14 | 1 000–3 000 | Вовлечённый сегмент |
| 15–30 | 5 000–20 000 | Постепенно вся база |
Главное правило прогрева: начинать с самых лояльных подписчиков, которые гарантированно откроют письмо. Высокая открываемость на старте формирует положительную репутацию, и провайдеры начинают доверять домену.
Что разрушает репутацию отправителя
- Покупные и старые базы. Отправка на адреса, которые не давали согласия, моментально генерирует жалобы и попадания в спам-ловушки.
- Высокий bounce rate. Отправка на несуществующие адреса (hard bounce) свыше 2–3% — прямой сигнал спама. Регулярно чистите базу.
- Спам-ловушки. Это адреса, которые провайдеры специально размещают, чтобы ловить тех, кто шлёт по непроверенным базам. Одно попадание — серьёзный удар по репутации.
- Резкие скачки объёма. Вчера 500 писем, сегодня 50 000 — это аномалия, которую фильтры воспринимают как взлом или спам.
- Отсутствие отписки. Без видимой кнопки «Отписаться» раздражённый пользователь нажмёт «Это спам» — а это в разы хуже для репутации.
Чек-лист и частые ошибки
Сведём всё в практический список. Перед запуском любой рассылки проверьте:
- SPF — одна запись, все сервисы в include, не больше 10 DNS-запросов, заканчивается на
~allили-all. - DKIM — ключ опубликован под правильным селектором, 2048 бит, не обрезан.
- DMARC — запись есть, отчёты приходят, политика осознанно выбрана (стартуем с none).
- PTR-запись (rDNS) — если рассылаете со своего сервера, обратная DNS-запись для IP обязательна.
- Постмастеры — домен подтверждён в Яндекс, Mail.ru и Google Postmaster Tools.
- Текстовая версия письма — есть наряду с HTML, ссылка отписки видна, картинки не перевешивают текст.
- База чистая — без невалидных адресов, double opt-in при подписке.
Проверить корректность настроек можно бесплатными сервисами вроде mail-tester.com (даёт оценку письма по 10 баллам) или mxtoolbox.com (проверка SPF, DKIM, DMARC записей).
Самая частая ошибка, которую мы видим у клиентов: SPF и DKIM настроены, но без выравнивания с доменом «От». Письмо технически подписано, но DMARC не проходит, потому что сервис рассылки подписывает своим доменом, а не вашим. Решение — настроить кастомный домен отправки (custom sending domain) в сервисе рассылок, чтобы DKIM подписывался вашим доменом.
Вывод
Доставляемость email — это не магия, а инженерия. Связка SPF + DKIM + DMARC закрывает вопрос аутентификации, постмастеры Яндекса и Mail.ru дают объективную картину репутации, а грамотный прогрев домена и чистая база делают так, чтобы письма стабильно попадали во «Входящие». Настройка занимает несколько часов, но окупается ростом открываемости в разы. Начните с публикации трёх записей в DNS и политики p=none — а через месяц переводите DMARC в reject.
Если письма уходят в спам, а разобраться в DNS-записях и отчётах нет времени — мы настроим аутентификацию, прогрев и репутацию домена под ключ. Email-маркетинг работает только в связке с остальными каналами: посмотрите наши услуги по интернет-маркетингу или оставьте заявку на бесплатный аудит, и мы покажем, где теряются ваши лиды.







