Блог Sendsay

Пишем про email-маркетинг. Показываем, как превратить email в эффективный маркетинговый канал.

Служебные заголовки: не будь как спамер!

Почтовые рассылки — мощнейший инструмент, способный принести много пользы бизнесу. Но без правильных технических заголовков это работать не будет.

Почтовые рассылки — мощнейший маркетинговый инструмент, способный принести много пользы бизнесу: увеличить продажи, улучшить узнаваемость бренда и повысить лояльность аудитории при минимуме трудовых и денежных затрат.
Казалось бы, и верстальщики отлично поработали и подписчики согласие дали, а письма неумолимо продолжают попадать в спам снижая репутацию домена. Одной из причин высоких показателей Spam Complain Rate (SCR) могут быть неправильные настройки в служебных заголовках или их полное отсутствие.

Сегодня мы расскажем о том, как их настроить и почему это поможет защитить вас от интернет-мошенников, которые могли бы рассылать от вашего имени спам.

Что такое служебные заголовки и зачем их настраивать

Протоколы, реализующие отправку и приём электронных писем, появились ещё в 80-е годы ХХ века. В те благословенные и слегка наивные времена всемирная сеть была мала и фактически не знала мошенничества и обмана. Поэтому проверки и защита в почтовых протоколах почти отсутствовали.

Если вы небольшой рассыльщик (частное лицо или организация) и отправляете по несколько сотен писем за раз с собственного сайта, то настраивать технические заголовки вам не потребуется.

В случае использования платформ-рассыльщиков ситуация усложняется. Отправителем выступает ваш домен, например, site.ru, но рассылка ведётся с адреса mail.sendsay.ru, что вызовет у принимающего почтового сервера справедливые подозрения.

Sender Policy Framework

Чтобы снять подозрения почтовиков используется специальный механизм — SPF (Sender Policy Framework или инфраструктура политики отправителя). С его помощью сайт (всё тот же, site.ru) говорит принимающей стороне, что рассыльщик (sendsay.ru) действительно имеет права на отправку ваших писем.

Важно, что SPF работает только с заголовком письма и специальным обратным адресом (smtp.mailfrom), но не с тем адресом From, который видит человек. Так что мошенничество с подменой From никак не повлияет на проверку SPF.

Выходит, этот механизм не является действительно надёжной защитой: чаще всего провал SPF-проверки не является поводом отвергнуть письмо. Главная его задача — подтверждение отправителя, что важно для репутации домена в глазах почтовых платформ. Чем выше рейтинг домена, тем ниже шансы, что ваши письма будут признаны спамом. Если компания использует для рассылок несколько доменных имён (допустим, .ru и .com), то настраивать служебные заголовки придётся для каждого доменного имени отдельно. Проще всего выделить для рассылок специальное доменное имя (например, mail.stie.ru) и настроить SPF-запись под него.

При желании для рассылок можно воспользоваться и доменом sendsay.ru, но это имеет ряд побочных эффектов. В частности, использование стороннего отправителя явно отображается в веб-интерфейсе gmail.com: рядом с адресом отправителя появляется надпись о рассыльщике:

Не смертельно, но неприятно. В настройке SPF-записи поможет сетевой SPF-мастер.

Domain Keys Identified Mail

Следующим бастионом на пути проверки писем является цифровая подпись DKIM (Domain Keys Identified Mail — идентификация письма по ключу домена). DKIM — это специальная криптографическая подпись, которая позволяет надёжно идентифицировать вас как легитимного отправителя. Идеологически DKIM подобна водяным знакам на банкнотах.

Метод строится на паре ключей шифрования: открытом и закрытом. Закрытым ключом сообщение подписывается перед отправкой. Открытый ключ публикуется на DNS-сервере отправителя в TXT-записи.

При получении письма, принимающий сервер читает открытый ключ и автоматически проверяет, действительно ли email подписано правильным ключом. Таким образом, криптографическая подпись позволяет не только идентифицировать отправителя, но и гарантировать, что подписанное сообщение не было искажено в пути.

Провал проверки DKIM обычно не является катастрофой: подобные письма доберутся до получателя, пусть и с пометкой «возможно мошенничество, мы не можем проверить подлинность отправителя». Самое неприятное последствие проваленной DKIM-проверки — ущерб для репутации отправителя.

В рамках платформы Sendsay для подписывания сообщений используются только ключи, сгенерированные системой.

Если же вы настраиваете самостоятельную рассылку, то создание цифровых подписей лежит на вас. Для упрощения настройки DKIM удобно воспользоваться онлайн-визардом.

Domain-based Message Authentication, Reporting and Conformance

Domain-based Message Authentication, Reporting and Conformance (DMARC) — идентификация сообщений, создание отчётов и определение соответствия по доменному имени. DMARC — политика проверки сообщений, предназначенная для снижения числа нежелательных писем.

Возникшая всего пару лет назад (в марте 2015 года), DMARC строится на уже описанных SPF и DKIM, но имеет существенное отличие. Если базовые механизмы лишь говорят получающему почтовому серверу прошло ли письмо проверки, то DMARC объявляет как с такими сообщениями следует поступать.

Можно включить строгую политику и запретить доставку подобных писем, хотя не все почтовые сервисы следуют этим инструкциям буквально. В частности, почта Яндекса всё равно доставит письма, пусть и с пометкой, что это «возможно мошенничество». Есть у DMARC и возможность пропустить все письма без исключения, тогда проваленные проверки будут отражаться только в отчётах. Это бывает полезно при отладке технических заголовков.

В настройке DMARC-записей также поможет специальный сервис.

Для проверки правильности технических заголовков воспользуйтесь универсальным сервисом supertool. Он не только выявляет проблемы, но и формирует рекомендации по исправлению.

Итог

Как видите, настройка аутентификации электронной почты — задача сложная, но важная в современном контексте. Платформа Sendsay старается взять на себя заботу о технических деталях, именно поэтому при делегировании нам своего поддомена, клиенты получают служебные заголовки, настроенные нашими специалистами.

Берегите свои рассылки!