Безопасность корпоративной почты: SPF, DKIM, DMARC, MFA простыми словами

Автор: команда ВИТО («Ваш ИТ Офис») · yito.ru
Дата публикации: июнь 2026
Время чтения: ~20 минут

Компания «Ваш ИТ Офис» (ВИТО) работает с 2005 года, предоставляя полный спектр ИТ-услуг — от развёртывания корпоративных почтовых серверов и удалённых рабочих столов до комплексной автоматизации 1С и IP-телефонии. За 20+ лет мы настроили сотни почтовых систем для бизнеса и знаем на практике, как одна пропущенная DNS-запись может парализовать переписку целой компании. В этой статье наши инженеры объясняют безопасность корпоративной почты языком, понятным и директору, и системному администратору.

Оглавление

• 1. Почему защита почты компании — вопрос выживания бизнеса
• 2. Как устроена электронная почта «под капотом» — протокол SMTP за 5 минут
• 3. SPF — «список гостей» для вашего домена
• 4. DKIM — цифровая подпись, которую нельзя подделать
• 5. DMARC — диспетчер, принимающий решения
• 6. Как SPF, DKIM и DMARC работают вместе: полная схема
• 7. MFA — многофакторная аутентификация как последний рубеж
• 8. Новые обязательные требования 2025–2026: Google, Microsoft, Yahoo, Apple
• 9. Шифрование корпоративной почты и регуляторные требования
• 10. Комплексная стратегия: что ещё нужно помимо SPF/DKIM/DMARC/MFA
• 11. Обучение сотрудников: человек как самое слабое звено
• 12. Практический чек-лист: пошаговая защита почты компании
• 13. Типичные ошибки при настройке — и как их избежать
• 14. Когда пора обращаться к профессионалам
• 15. FAQ — часто задаваемые вопросы

1. Почему защита почты компании — вопрос выживания бизнеса

Корпоративная электронная почта остаётся главным каналом деловых коммуникаций. Через неё проходят договоры, счета, персональные данные клиентов, внутренние регламенты. И именно поэтому почта — цель номер один для киберпреступников.

Цифры, которые отрезвляют

Раньше фишинговые письма легко распознавались: кривой русский язык, странные ссылки, нелепое оформление. Сегодня ситуация кардинально изменилась. Современные атаки создаются с помощью нейросетей: без единой опечатки, в стиле реальной деловой переписки, с настоящими логотипами компаний-контрагентов. Мошенник делает вид, что пишет от имени клиента, поставщика или банка, просит изменить реквизиты, подтвердить платёж или ввести логин и пароль.

Вывод: безопасность корпоративной почты — это не «техническая мелочь для админов», а фундамент финансовой и репутационной устойчивости бизнеса.

2. Как устроена электронная почта «под капотом» — протокол SMTP за 5 минут

Прежде чем говорить о защите, нужно понять, что мы защищаем.

Вся электронная почта в интернете работает на протоколе SMTP (Simple Mail Transfer Protocol). Этот протокол был разработан в 1982 году — во времена, когда об интернет-мошенниках никто даже не думал. Поэтому SMTP изначально не содержит никаких механизмов проверки подлинности отправителя.

Аналогия с бумажной почтой

Представьте, что вы отправляете бумажное письмо. На конверте вы можете написать любой обратный адрес — почтальон не проверяет, действительно ли вы там живёте. То же самое с SMTP: любой сервер в интернете может отправить письмо от имени директор@вашакомпания.ru — и принимающий сервер по умолчанию поверит.

Именно этот архитектурный «грех» SMTP породил три технологии, о которых мы поговорим далее: SPF, DKIM и DMARC. Они не заменяют SMTP, а надстраиваются поверх него, добавляя слои проверки, которых не было в оригинальном протоколе.

Как выглядит путь письма

[Отправитель] → [Почтовый сервер отправителя] → [Интернет / MX-записи DNS] → [Почтовый сервер получателя] → [Получатель]

На каждом этапе этого пути есть точка, где можно вмешаться, подделать или перехватить письмо. SPF, DKIM, DMARC и MFA закрывают разные «дыры» на этом маршруте.

3. SPF — «список гостей» для вашего домена

Что такое SPF простыми словами

SPF (Sender Policy Framework) — это протокол, который позволяет владельцу домена указать: «Вот список серверов, которым разрешено отправлять письма от моего имени. Все остальные — самозванцы».

Представьте, что вы организуете закрытую вечеринку и оставляете на входе список гостей (guest list). Охранник пускает только тех, кто в списке. SPF работает точно так же — это «список гостей» для вашего домена.

Как это работает технически

SPF-запись — это обычная TXT-запись в DNS вашего домена. Она содержит перечень IP-адресов и серверов, которым вы доверяете отправку почты.

Пример SPF-записи:

v=spf1 ip4:185.50.25.0/24 include:_spf.google.com include:mail.yito.ru ~all

Расшифровка:

• v=spf1 — версия протокола (всегда spf1)
• ip4:185.50.25.0/24 — разрешена отправка с этого диапазона IP-адресов
• include:_spf.google.com — разрешены серверы Google Workspace
• include:mail.yito.ru — разрешены серверы ВИТО
• ~all — все остальные считаются подозрительными (soft fail)

Варианты политики (квалификаторы)

Рекомендация ВИТО: начинайте с ~all на этапе тестирования, затем переходите к -all, когда убедитесь, что все легитимные источники перечислены.

Что SPF защищает

• ✅ Не позволяет мошенникам рассылать письма с подделкой вашего домена в envelope-адресе (Return-Path)
• ✅ Почтовые провайдеры видят, что вы заботитесь о безопасности → лучше доставляемость

Что SPF НЕ защищает

• ❌ SPF проверяет только технический адрес (envelope sender), а не тот, что видит пользователь в поле «От кого» (header From)
• ❌ SPF «ломается» при пересылке писем (forwarding)
• ❌ SPF не проверяет содержимое письма — оно могло быть изменено по пути

Именно поэтому одного SPF недостаточно. Нужен второй уровень — DKIM.

4. DKIM — цифровая подпись, которую нельзя подделать

Что такое DKIM простыми словами

DKIM (DomainKeys Identified Mail) — это метод аутентификации, который прикрепляет к каждому исходящему письму цифровую подпись. Эта подпись доказывает две вещи:

1. Письмо действительно отправлено владельцем домена (а не кем-то, кто притворяется им)
2. Содержимое письма не было изменено по пути от отправителя к получателю

Аналогия с сургучной печатью

Представьте, что в средневековье вы отправляете важное письмо королю. Вы запечатываете его сургучной печатью с уникальным оттиском вашего перстня. Если печать цела — значит, письмо не вскрывали, и оно действительно от вас. DKIM — это цифровой аналог такой печати.

Как это работает технически

DKIM использует асимметричное шифрование (пару ключей):

1. Приватный ключ — хранится на вашем почтовом сервере. Им подписывается каждое исходящее письмо.
2. Публичный ключ — публикуется в DNS вашего домена как TXT-запись. Любой сервер-получатель может его прочитать.

Схема:

1. Ваш сервер подписывает письмо приватным ключом → создаётся заголовок DKIM-Signature
2. Письмо уходит в интернет
3. Сервер получателя берёт публичный ключ из DNS вашего домена
4. Проверяет подпись: совпадает → письмо подлинное, не совпадает → подозрительное

Пример DKIM-записи в DNS:

selector1._domainkey.вашдомен.ru  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki..."

Где:

• selector1 — селектор (идентификатор ключа; можно использовать несколько)
• _domainkey — стандартный поддомен для DKIM
• v=DKIM1 — версия
• k=rsa — алгоритм шифрования
• p=... — публичный ключ

Ротация DKIM-ключей

Важный нюанс: DKIM-ключи нужно периодически менять (ротировать). Если ключ скомпрометирован, злоумышленник сможет подписывать письма от вашего имени. Эксперты по безопасности рекомендуют проводить ротацию минимум один-два раза в год. Некоторые организации делают это ежеквартально.

Что DKIM защищает

• ✅ Гарантирует, что содержимое письма не изменено (целостность)
• ✅ Подтверждает, что письмо действительно отправлено с домена отправителя
• ✅ Работает корректно при пересылке (в отличие от SPF)

Что DKIM НЕ защищает

• ❌ Не указывает, что делать, если проверка провалилась (нет политики)
• ❌ Не защищает от ситуации, когда мошенник использует свой собственный домен, похожий на ваш (например, vaшакомпания.ru с кириллической «ш» вместо латинской)

Для принятия решений нужен третий уровень — DMARC.

5. DMARC — диспетчер, принимающий решения

Что такое DMARC простыми словами

DMARC (Domain-based Message Authentication, Reporting & Conformance) — это спецификация, которая отвечает на главный вопрос: «Что делать, если письмо не прошло проверку SPF или DKIM?»

Если SPF — это список гостей, а DKIM — сургучная печать, то DMARC — это начальник охраны, который получает информацию от обоих и принимает окончательное решение: пропустить, задержать на проходной (спам) или развернуть обратно.

Как это работает

DMARC проверяет выравнивание (alignment): совпадает ли домен, указанный в видимом заголовке «From» (то, что видит пользователь), с доменами, которые прошли проверку SPF и DKIM.

Это критически важно. Без DMARC мошенник может:

• Пройти SPF-проверку на своём домене
• Но в поле «From» подставить ваш домен

DMARC такую уловку блокирует, потому что требует совпадения доменов.

Три политики DMARC

Пример DMARC-записи в DNS:

_dmarc.вашдомен.ru  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@вашдомен.ru; pct=100"

Где:

• v=DMARC1 — версия
• p=quarantine — политика: подозрительные письма → в спам
• rua=mailto:... — адрес для получения агрегированных отчётов
• pct=100 — применять политику к 100% писем

Рекомендованный путь внедрения DMARC

Этап 1: p=none (2–4 недели)
   → Собираете отчёты, анализируете, кто отправляет почту от вашего домена
   → Находите легитимные сервисы, которые не включены в SPF

Этап 2: p=quarantine (2–4 недели)
   → Подозрительные письма уходят в спам
   → Проверяете, не попадают ли туда легитимные письма

Этап 3: p=reject (постоянно)
   → Полная защита: поддельные письма от вашего домена не доставляются вообще

Рекомендация ВИТО: никогда не ставьте p=reject сразу. Начните с p=none, чтобы не заблокировать легитимную почту. Мы видели случаи, когда компании забывали добавить в SPF CRM-систему или сервис рассылок — и после включения reject деловая переписка «замолкала».

Отчёты DMARC — ваши глаза и уши

Одна из самых ценных функций DMARC — отчёты. Они приходят от почтовых провайдеров (Google, Яндекс, Mail.ru и др.) и показывают:

• Сколько писем отправлено от вашего домена
• С каких IP-адресов
• Прошли ли они проверку SPF/DKIM
• Какое решение принято (доставлено / карантин / отклонено)

Это позволяет выявить:

• Неавторизованные источники (фишинг, спуфинг)
• Забытые легитимные сервисы, не включённые в SPF
• Ошибки конфигурации DKIM

6. Как SPF, DKIM и DMARC работают вместе: полная схема

Теперь соберём все три протокола в единую картину.

Входящее письмо → Сервер получателя начинает проверку:

├── Проверка SPF:
│   Домен из Return-Path совпадает с SPF-записью?
│   IP-адрес отправителя разрешён?
│   → ДА / НЕТ
│
├── Проверка DKIM:
│   Есть ли заголовок DKIM-Signature?
│   Подпись валидна? Публичный ключ из DNS подтверждает?
│   → ДА / НЕТ
│
└── Проверка DMARC:
    Домен из заголовка "From" совпадает с доменами из SPF/DKIM?
    (alignment check)
    → Если хотя бы одна проверка (SPF ИЛИ DKIM) пройдена
      С ВЫРАВНИВАНИЕМ → письмо доставлено
    → Если обе проверки провалены → применяется политика DMARC:
      • p=none → доставить + отчёт
      • p=quarantine → спам + отчёт
      • p=reject → отклонить + отчёт

Ключевой принцип

Для прохождения DMARC достаточно, чтобы хотя бы один из протоколов (SPF или DKIM) прошёл проверку с выравниванием по домену из заголовка «From». Но для максимальной надёжности рекомендуется настроить оба.

Таблица сравнения

Что это даёт бизнесу

SPF, DKIM и DMARC вместе сигнализируют почтовым провайдерам о легитимности вашего домена. Результат: