Проверка доставляемости корпоративной почты: чек-лист из 15 пунктов
Содержание
Зачем проверять доставляемость корпоративной почты
Проверка доставляемости корпоративной почты — это не разовая акция, а регулярная процедура, от которой зависит, дойдут ли ваши письма до адресатов. По данным Google Postmaster Tools, до 20% легитимных писем с корпоративных серверов попадают в спам из-за ошибок в DNS-записях, которые можно обнаружить за 10 минут.
Если корпоративная почта попадает в спам, первым шагом должна стать систематическая проверка инфраструктуры. Разовые проверки через онлайн-сервисы дают лишь частичную картину — нужен полный чек-лист, который охватывает все уровни: от MX-записей до политики DMARC.
В этой статье — чек-лист из 15 проверок DNS и SMTP, который мы используем при настройке корпоративной почты под ключ. Для каждого пункта — команда проверки, критерии успеха и способ автоматизации через zabbix-mail-dns-audit.
Подробнее — в нашей статье мониторинг DNS записей почтового домена Zabbix.
Чек-лист: 15 проверок DNS и SMTP
Каждая проверка доставляемости корпоративной почты из этого чек-листа проверяет конкретный элемент почтовой инфраструктуры. Мы разделили их на четыре группы: базовые DNS, аутентификация, обратный DNS и DNSBL, дополнительные записи.
Базовые DNS-записи
1. MX-записи существуют и резолвятся. Без MX-записей почтовые серверы не знают, куда доставлять письма для вашего домена. Проверьте: dig MX example.com +short. Должен вернуть хотя бы одну запись с приоритетом и FQDN сервера.
2. MX не указывает на CNAME. RFC 5321 §5 запрещает MX-записи, ссылающиеся на CNAME. Некоторые серверы (Postfix, Exim) отклоняют такие записи. Проверьте: dig CNAME $(dig MX example.com +short | awk '{print $2}') — должен вернуть пустой ответ.
3. NS-серверы консистентны. SOA serial должен совпадать на всех NS-серверах домена. Расхождение означает, что изменения DNS не распространились — часть серверов видит старые записи. Проверьте: запросите SOA у каждого NS и сравните serial.
Аутентификация отправителя
4. SPF-запись присутствует и валидна. SPF (RFC 7208) указывает, какие серверы имеют право отправлять почту от имени домена. Проверьте: dig TXT example.com +short | grep spf. Запись должна заканчиваться на -all (hard fail) или ~all (soft fail).
5. Количество DNS-lookup в SPF ≤ 10. RFC 7208 §4.6.4 ограничивает количество DNS-запросов при проверке SPF десятью. Каждый include:, a:, mx:, redirect= — это один lookup. Превышение лимита приводит к PermError, и SPF-проверка считается неуспешной.
6. Нет дублирующих SPF TXT-записей. У домена должна быть ровно одна TXT-запись, начинающаяся с v=spf1. Две и более записей — PermError по RFC 7208 §4.5.
7. DKIM-селектор опубликован, ключ ≥ 2048 бит. DKIM (RFC 6376) подписывает каждое письмо цифровой подписью. Проверьте: dig TXT selector._domainkey.example.com +short. Ключ 1024 бит ещё принимается, но Google и Microsoft рекомендуют 2048 бит.
8. DMARC-запись присутствует с p ≠ none. DMARC (RFC 7489) объединяет SPF и DKIM в единую политику. p=none — это мониторинг без защиты. Для реальной защиты нужен p=quarantine или p=reject. Проверьте: dig TXT _dmarc.example.com +short.
Обратный DNS и чёрные списки
9. PTR-запись существует для всех IP-адресов MX. Обратная DNS-запись (PTR) сопоставляет IP-адрес с доменным именем. Многие почтовые серверы отклоняют письма от IP без PTR. Проверьте: dig -x 1.2.3.4 +short.
10. FCrDNS проходит. Forward-confirmed reverse DNS: PTR-запись должна резолвиться обратно в тот же IP. То есть dig -x IP → hostname, затем dig A hostname → тот же IP. Несовпадение — признак ненастроенной или арендованной инфраструктуры.
11. IP не в основных DNSBL. Проверьте IP-адреса MX-серверов в чёрных списках DNSBL: Spamhaus ZEN, SpamCop, Barracuda BRBL. Команда: dig +short 4.3.2.1.zen.spamhaus.org (IP в обратном порядке). Пустой ответ = чисто.
Дополнительные записи
12. MTA-STS TXT-запись. MTA-STS (RFC 8461) принудительно включает TLS для входящей почты. Запись _mta-sts.example.com указывает на политику в https://mta-sts.example.com/.well-known/mta-sts.txt. Без MTA-STS письма могут передаваться без шифрования.
13. TLS-RPT TXT-запись. TLS-RPT (RFC 8460) настраивает отчёты о сбоях TLS-соединений. Запись _smtp._tls.example.com указывает адрес для агрегированных отчётов: v=TLSRPTv1; rua=mailto:tls-reports@example.com.
14. Autoconfig/Autodiscover DNS-записи. Записи autoconfig.example.com и autodiscover.example.com упрощают настройку почтовых клиентов. Не влияют на доставляемость напрямую, но снижают количество обращений в техподдержку.
15. BIMI TXT-запись (опционально). BIMI позволяет отображать логотип компании в почтовом клиенте рядом с письмом. Требует DMARC с p=quarantine или p=reject и VMC-сертификат. Проверьте: dig TXT default._bimi.example.com +short.
Как автоматизировать проверку доставляемости корпоративной почты
Ручная проверка доставляемости корпоративной почты по 15 пунктам занимает 20-30 минут на каждый домен. Если у компании несколько доменов или почтовых серверов, это становится рутиной, которую легко пропустить. Решение — автоматический мониторинг.
Мы разработали open-source шаблон zabbix-mail-dns-audit для Zabbix 7.0+, который автоматизирует проверки 1-11 и 15 из нашего чек-листа. Шаблон использует внешний Python-скрипт для опроса DNS и возвращает структурированный JSON с результатами.
Что проверяется автоматически:
- MX-записи: наличие, резолвинг, отсутствие CNAME
- SPF: валидность, количество lookup (≤10), отсутствие дубликатов
- DKIM: наличие селектора, размер ключа (warning при 1024 бит)
- DMARC: наличие, политика (alert при p=none)
- PTR и FCrDNS: проверка для каждого IP из MX
- DNSBL: проверка по Spamhaus ZEN, SpamCop и настраиваемым спискам
- NS-консистентность: SOA serial на всех nameserverах
Проверки 12-14 (MTA-STS, TLS-RPT, Autoconfig) требуют ручной проверки или дополнительной настройки внешних скриптов.
При администрировании серверов наших клиентов мы подключаем этот мониторинг на каждый почтовый домен. Время реагирования на инцидент — 10-15 минут благодаря мониторингу 24/7.
# Установка шаблона zabbix-mail-dns-audit
git clone https://github.com/IT-for-Prof/zabbix-mail-dns-audit.git
cp zabbix-mail-dns-audit/mail_dns_audit.py /usr/lib/zabbix/externalscripts/
chmod +x /usr/lib/zabbix/externalscripts/mail_dns_audit.py
pip3 install dnspython
# Тестовый запуск проверки домена
/usr/lib/zabbix/externalscripts/mail_dns_audit.py --domain example.com --json
# Импорт шаблона в Zabbix: Configuration → Templates → Import
# Создание хоста: Configuration → Hosts → Create
# Макрос {$MAIL_DOMAIN} = ваш домен
Что делать, если проверка выявила проблемы
Если проверка доставляемости корпоративной почты выявила ошибки, важно устранять их в правильном порядке. Начните с базовых DNS-записей и двигайтесь к аутентификации.
MX не резолвится или указывает на CNAME: исправьте запись в DNS-зоне. MX должен указывать на A-запись, не на CNAME. После изменения дождитесь обновления DNS (проверьте TTL текущей записи).
SPF содержит ошибки: наиболее частая проблема — превышение 10 lookup. Используйте ip4: и ip6: вместо include: где возможно. Подробнее — в нашей статье настройка почтового сервера для бизнеса.
DKIM-ключ 1024 бит: перегенерируйте ключевую пару с длиной 2048 бит. Для OpenDKIM:
# Генерация нового DKIM-ключа 2048 бит
opendkim-genkey -b 2048 -d example.com -s mail -r
# Публикация: содержимое mail.txt → DNS TXT-запись mail._domainkey.example.com
cat mail.txt
# Проверка после публикации
dig TXT mail._domainkey.example.com +short
# Должен вернуть: "v=DKIM1; k=rsa; p=MIIBIjAN..."
# Проверка размера ключа:
openssl rsa -pubin -in <(dig TXT mail._domainkey.example.com +short | tr -d '"' | sed 's/.*p=//' | base64 -d | openssl rsa -pubin -inform DER -outform PEM) -text -noout 2>/dev/null | head -1
DMARC p=none: переход на p=quarantine нужно делать постепенно. Сначала включите отчёты (rua=), проанализируйте агрегированные данные за 2-4 недели, убедитесь, что легитимные письма проходят SPF и DKIM, затем переключите политику.
IP в DNSBL: определите причину попадания (спам, открытый relay, заражённый сервер), устраните её, затем подайте запрос на делистинг. Подробный гайд — в статье о чёрных списках DNSBL.
Если настройка DNS-записей вызывает затруднения — мы настроим вашу почтовую инфраструктуру. Более 200 компаний уже перешли на корпоративную почту с гарантией доставляемости. Узнайте подробности →
Подробности по группам проверок
Каждая группа проверок охватывает определённый аспект почтовой инфраструктуры. Раскройте группу для подробностей об автоматизации.
Базовые DNS-записи — фундамент почтовой инфраструктуры. Без корректных MX-записей письма просто не будут доставлены. Консистентность NS-серверов гарантирует, что все DNS-резолверы видят одинаковые данные.
Автоматизация: все три проверки автоматизированы в zabbix-mail-dns-audit. Триггеры срабатывают при отсутствии MX, обнаружении CNAME в MX и расхождении SOA serial.
SPF, DKIM и DMARC — три столпа почтовой аутентификации. Без них письма с вашего домена могут быть отклонены или помечены как спам. Подробная инструкция по настройке — в статье настройка SPF DKIM DMARC.
Автоматизация: все пять проверок автоматизированы. Триггеры: отсутствие SPF, превышение 10 lookup, дубликаты SPF, отсутствие DKIM или ключ <2048 бит, DMARC p=none.
PTR-записи и проверка по чёрным спискам — критически важны для репутации IP-адреса. Отсутствие PTR или попадание в DNSBL — частая причина, почему корпоративная почта попадает в спам.
Автоматизация: все три проверки автоматизированы. DNSBL-проверка выполняется по Spamhaus ZEN, SpamCop и настраиваемому списку зон.
MTA-STS и TLS-RPT повышают безопасность транспорта, BIMI улучшает узнаваемость бренда. Эти записи не являются обязательными, но становятся стандартом для крупных компаний.
Автоматизация: проверки 12-14 (MTA-STS, TLS-RPT, Autoconfig) требуют ручной верификации. BIMI (проверка 15) можно мониторить через DNS-запрос к TXT-записи.
Регулярная проверка — залог доставляемости
Проверка доставляемости корпоративной почты по нашему чек-листу из 15 пунктов покрывает все критические элементы почтовой инфраструктуры: от базовых MX-записей до дополнительных протоколов безопасности.
Ключевые выводы:
- Проверяйте DNS-записи при каждом изменении инфраструктуры и регулярно по расписанию
- Автоматизируйте рутинные проверки через zabbix-mail-dns-audit — 11 из 15 проверок можно мониторить непрерывно
- Устраняйте проблемы в порядке приоритета: сначала MX и SPF, затем DKIM и DMARC, потом PTR и DNSBL
Не хотите разбираться самостоятельно? Мы выполним полный аудит вашей почты — бесплатно. Более 200 компаний уже пользуются нашей корпоративной почтой под ключ с гарантией доставляемости.
Получите бесплатный аудит DNS-записей вашего почтового домена — мы проверим все 15 пунктов и дадим рекомендации.
Часто задаваемые вопросы
Ответы на популярные вопросы о проверке доставляемости корпоративной почты.
Минимум — после каждого изменения DNS-записей или почтовой инфраструктуры. Оптимально — автоматический мониторинг с проверкой каждые 1-4 часа через Zabbix или аналогичную систему. При ручной проверке — не реже одного раза в месяц.
Проверки 1 (MX), 4-6 (SPF), 7 (DKIM), 8 (DMARC) и 11 (DNSBL) — наиболее критичны. Ошибка в любой из них может привести к массовому попаданию писем в спам или полной блокировке доставки.
11 из 15 проверок автоматизированы в шаблоне zabbix-mail-dns-audit. Проверки MTA-STS (12), TLS-RPT (13) и Autoconfig (14) требуют дополнительных скриптов или ручной верификации, так как включают HTTP-запросы к well-known URL.
DNS-инфраструктура — необходимое, но не достаточное условие. Проверьте контент писем (соотношение текста и HTML, наличие спам-слов), репутацию домена в Google Postmaster Tools, Microsoft SNDS и Postmaster mail.ru, а также настройки rate limiting на почтовом сервере.
Первичный аудит DNS-записей по нашему чек-листу — бесплатно. Полный аудит с анализом конфигурации почтового сервера, логов доставки и репутации домена входит в услугу корпоративная почта под ключ. Стоимость зависит от количества доменов и почтовых серверов.
