Доставляемость (Deliverability) холодных писем: SPF, DKIM, DMARC и прогрев

Доставляемость (Deliverability) холодных писем: Технический фундамент и прогрев домена

Доставляемость (email deliverability) — это краеугольный камень любого успешного холодного аутрича (cold email outreach). Независимо от того, насколько гениален ваш оффер или насколько тщательно собран список контактов, кампания обречена на провал, если ваши письма попадают в папку «Спам» или блокируются почтовыми провайдерами (ESP — Email Service Providers) еще на этапе приема (bounce).

Современные спам-фильтры Google (Workspace), Microsoft (Outlook/Exchange) и Yahoo используют сложные алгоритмы машинного обучения, анализирующие сотни факторов: от репутации IP-адреса и домена до поведенческих метрик получателей. Однако базовым, обязательным условием для прохождения первичного контроля является строгая техническая аутентификация домена.

В этом энциклопедическом руководстве мы детально разберем “Святую Троицу” email-аутентификации: SPF, DKIM и DMARC, а также процесс правильного прогрева (warm-up) новых доменов для обеспечения максимального Inbox Rate (процента попадания во «Входящие»).

1. Святая Троица Email-Аутентификации: SPF, DKIM и DMARC

Исторически протокол SMTP (Simple Mail Transfer Protocol), по которому передаются электронные письма, не имел встроенных механизмов проверки того, кто именно отправляет письмо. Любой желающий мог подключиться к SMTP-серверу и отправить письмо от имени ceo@google.com (это называется email spoofing).

Для решения этой проблемы и борьбы со спамом и фишингом были разработаны три взаимодополняющих стандарта, которые настраиваются через текстовые (TXT) записи в DNS-зоне вашего домена.

1.1. SPF (Sender Policy Framework)

SPF (Инфраструктура политики отправителя) — это механизм, который позволяет владельцу домена указать, каким почтовым серверам (IP-адресам) разрешено отправлять электронную почту от имени этого домена.

Как это работает:

Когда принимающий почтовый сервер (например, Gmail) получает письмо от alex@yourcompany.com, он извлекает домен yourcompany.com из адреса отправителя (Return-Path или Envelope Sender).
Сервер выполняет DNS-запрос для домена yourcompany.com, ища TXT-запись, начинающуюся с v=spf1.
В этой записи перечислены все авторизованные IP-адреса и сервисы (например, Google Workspace, Sendgrid, Mailgun).
Если IP-адрес сервера, с которого пришло письмо, совпадает с одним из разрешенных в записи, проверка SPF пройдена (Pass). В противном случае — Fail или SoftFail.

Структура и пример SPF-записи:

v=spf1 include:_spf.google.com include:mailgun.org ip4:192.168.0.1 ~all

v=spf1 — Версия протокола (всегда обязательна в начале).
include: — Указывает на необходимость включить SPF-политику стороннего сервиса (например, Google Workspace).
ip4: / ip6: — Явное указание разрешенных IP-адресов.
a / mx — Разрешает отправку серверам, указанным в A- или MX-записях домена.
Квалификатор в конце определяет строгость политики для неавторизованных серверов:
- -all (Fail) — Жесткий отказ. Письма от других серверов должны отклоняться.
- ~all (SoftFail) — Мягкий отказ. Письма принимаются, но могут быть помечены как подозрительные (обычно попадают в спам). Рекомендуется для холодных рассылок в связке с DMARC.
- ?all (Neutral) — Нейтральное отношение. Не рекомендуется.

Важное ограничение: Стандарт SPF разрешает не более 10 DNS-запросов (DNS lookups) для разрешения записи. Превышение этого лимита приведет к ошибке проверки (PermError).

1.2. DKIM (DomainKeys Identified Mail)

Если SPF проверяет откуда пришло письмо (авторизация сервера), то DKIM проверяет целостность письма и подтверждает, что оно было отправлено владельцем домена и не было изменено в пути. Это достигается с помощью асимметричной криптографии.

Как это работает:

Генерация ключей: Вы генерируете пару криптографических ключей: закрытый (private key) и открытый (public key).
Публикация открытого ключа: Открытый ключ размещается в DNS-зоне домена в виде TXT-записи по определенному селектору (например, google._domainkey.yourcompany.com).
Подписание письма (Шифрование): Ваш исходящий почтовый сервер (MTA) использует закрытый ключ для создания криптографического хеша (цифровой подписи) из заголовков письма (От, Кому, Тема, Дата) и тела письма. Эта подпись добавляется в заголовок DKIM-Signature.
Проверка (Дешифрование): Принимающий сервер видит заголовок DKIM-Signature, извлекает домен и селектор. Затем он запрашивает открытый ключ из DNS вашего домена.
Сервер расшифровывает подпись с помощью открытого ключа и одновременно сам вычисляет хеш полученного письма. Если два хеша совпадают — подпись верна (Pass). Это доказывает, что письмо не было изменено транзитными серверами (Man-in-the-Middle).

Пример DKIM-записи (в DNS): Имя (Host): google._domainkey Тип: TXT Значение:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...[длинный ключ]...QAB

1.3. DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC — это объединяющий стандарт, “начальник” над SPF и DKIM. Он решает две ключевые задачи:

Политика (Policy): Говорит принимающему серверу, что делать с письмами, которые не прошли проверку SPF или DKIM.
Отчетность (Reporting): Отправляет владельцу домена XML-отчеты о том, кто и с каких IP-адресов пытается отправлять почту от имени его домена.

Для успешного прохождения DMARC (DMARC Pass), письмо должно пройти проверку и иметь выравнивание (alignment) хотя бы по одному из протоколов: SPF или DKIM. Выравнивание (Alignment) означает, что домен в адресе От кого (Header From) должен совпадать с доменом, проверенным SPF (Return-Path) или подписанным DKIM (d= в подписи).

Политики DMARC (p=):

p=none (Мониторинг): Письма доставляются как обычно, даже если проверки не пройдены. DMARC используется только для сбора отчетов. С этого всегда нужно начинать.
p=quarantine (Карантин): Письма, не прошедшие проверку, отправляются в папку «Спам» получателя.
p=reject (Отклонение): Жесткая политика. Письма, не прошедшие проверку, отклоняются на уровне SMTP-соединения (bounce).

Пример DMARC-записи: Имя (Host): _dmarc Тип: TXT Значение:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourcompany.com; pct=100; adkim=r; aspf=r

rua — email-адрес для получения ежедневных агрегированных отчетов.
pct=100 — процент писем, к которым применяется политика (100%).
adkim=r / aspf=r — режим выравнивания (relaxed - мягкий, позволяет поддоменам совпадать с основным доменом).

2. Схема работы Email-Аутентификации (SPF, DKIM, DMARC)

Ниже представлена диаграмма, иллюстрирующая процесс проверки письма на стороне принимающего сервера.

<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 800 600" width="100%" height="600">
  <defs>
    <style>
      .bg { fill: #f8fafc; }
      .box { fill: #ffffff; stroke: #3b82f6; stroke-width: 2; rx: 8; }
      .box-green { fill: #ecfdf5; stroke: #10b981; stroke-width: 2; rx: 8; }
      .box-red { fill: #fef2f2; stroke: #ef4444; stroke-width: 2; rx: 8; }
      .box-dns { fill: #fefce8; stroke: #eab308; stroke-width: 2; rx: 8; }
      .text-title { font-family: sans-serif; font-size: 16px; font-weight: bold; fill: #1e293b; }
      .text-body { font-family: sans-serif; font-size: 14px; fill: #475569; }
      .text-dns { font-family: monospace; font-size: 12px; fill: #854d0e; }
      .line { stroke: #94a3b8; stroke-width: 2; fill: none; marker-end: url(#arrow); }
      .line-dashed { stroke: #94a3b8; stroke-width: 2; fill: none; stroke-dasharray: 5,5; marker-end: url(#arrow); }
      .line-green { stroke: #10b981; stroke-width: 2; fill: none; marker-end: url(#arrow-green); }
      .line-red { stroke: #ef4444; stroke-width: 2; fill: none; marker-end: url(#arrow-red); }
    </style>
    <marker id="arrow" viewBox="0 0 10 10" refX="9" refY="5" markerWidth="6" markerHeight="6" orient="auto">
      <path d="M 0 0 L 10 5 L 0 10 z" fill="#94a3b8" />
    </marker>
    <marker id="arrow-green" viewBox="0 0 10 10" refX="9" refY="5" markerWidth="6" markerHeight="6" orient="auto">
      <path d="M 0 0 L 10 5 L 0 10 z" fill="#10b981" />
    </marker>
    <marker id="arrow-red" viewBox="0 0 10 10" refX="9" refY="5" markerWidth="6" markerHeight="6" orient="auto">
      <path d="M 0 0 L 10 5 L 0 10 z" fill="#ef4444" />
    </marker>
  </defs>

  <rect width="100%" height="100%" class="bg" />

  <!-- Sender -->
  <rect x="50" y="50" width="160" height="80" class="box" />
  <text x="130" y="80" class="text-title" text-anchor="middle">Отправитель</text>
  <text x="130" y="105" class="text-body" text-anchor="middle">(Ваш почтовый сервер)</text>

  <!-- DNS Server -->
  <rect x="550" y="50" width="200" height="240" class="box-dns" />
  <text x="650" y="80" class="text-title" text-anchor="middle">DNS-сервер Вашего домена</text>
  <text x="560" y="120" class="text-dns">TXT v=spf1 include:_spf...</text>
  <text x="560" y="160" class="text-dns">TXT v=DKIM1; k=rsa; p=...</text>
  <text x="560" y="200" class="text-dns">TXT v=DMARC1; p=reject...</text>

  <!-- Receiver Server -->
  <rect x="50" y="200" width="200" height="300" class="box" />
  <text x="150" y="230" class="text-title" text-anchor="middle">Принимающий сервер</text>
  <text x="150" y="250" class="text-body" text-anchor="middle">(Gmail, Outlook и т.д.)</text>

  <!-- Checks inside Receiver -->
  <rect x="70" y="280" width="160" height="40" class="box" />
  <text x="150" y="305" class="text-title" text-anchor="middle">1. Проверка SPF</text>

  <rect x="70" y="340" width="160" height="40" class="box" />
  <text x="150" y="365" class="text-title" text-anchor="middle">2. Проверка DKIM</text>

  <rect x="70" y="400" width="160" height="40" class="box" />
  <text x="150" y="425" class="text-title" text-anchor="middle">3. Оценка DMARC</text>

  <!-- Outcomes -->
  <rect x="350" y="340" width="140" height="60" class="box-green" />
  <text x="420" y="375" class="text-title" text-anchor="middle" fill="#047857">INBOX (Входящие)</text>

  <rect x="350" y="440" width="140" height="60" class="box-red" />
  <text x="420" y="475" class="text-title" text-anchor="middle" fill="#b91c1c">SPAM / REJECT</text>

  <!-- Connections -->
  <path d="M 130 130 L 130 200" class="line" /> <!-- Send email -->
  <text x="140" y="170" class="text-body">Отправка письма</text>

  <path d="M 230 300 L 550 120" class="line-dashed" /> <!-- SPF DNS lookup -->
  <text x="360" y="200" class="text-body">Запрос SPF записи</text>

  <path d="M 230 360 L 550 160" class="line-dashed" /> <!-- DKIM DNS lookup -->
  <text x="360" y="260" class="text-body">Запрос Public Key</text>

  <path d="M 230 420 L 550 200" class="line-dashed" /> <!-- DMARC DNS lookup -->
  <text x="360" y="330" class="text-body">Запрос DMARC полит.</text>

  <path d="M 230 420 L 350 370" class="line-green" /> <!-- Pass -->
  <text x="260" y="380" class="text-body" fill="#10b981">DMARC Pass</text>

  <path d="M 230 420 L 350 470" class="line-red" /> <!-- Fail -->
  <text x="260" y="465" class="text-body" fill="#ef4444">DMARC Fail</text>

</svg>

3. Новые требования Google и Yahoo (2024+)

В начале 2024 года крупнейшие почтовые провайдеры (Google и Yahoo) внедрили строгие, обязательные правила для массовых отправителей (более 5,000 писем в день, но на практике эти правила применяются ко всем). Несоблюдение этих правил гарантирует попадание в спам или блокировку домена.

Основные требования:

Обязательная аутентификация: Наличие настроенных записи SPF, DKIM и DMARC больше не рекомендация, а строгое требование. DMARC-политика может быть p=none, но сама запись должна существовать. 2. Уровень спама (Spam Rate) ниже 0.3%: Это самый критичный показатель. Ваш Spam Rate (процент пользователей, нажавших кнопку «Пожаловаться на спам») по данным Google Postmaster Tools должен постоянно держаться ниже 0.1%, и никогда не превышать порог в 0.3%. Если вы превысите 0.3%, домен будет помещен в черный список, из которого крайне сложно выбраться. 3.

One-Click Unsubscribe (Отписка в один клик - RFC 8058): Для маркетинговых писем в заголовках сообщения (headers) должны присутствовать List-Unsubscribe и List-Unsubscribe-Post. Это позволяет почтовому клиенту (например, Gmail) отображать нативную кнопку «Отписаться» рядом с адресом отправителя.

Примечание для холодного аутрича: Если письма выглядят как персональное общение 1-на-1 (plain text), нативная отписка RFC 8058 может не требоваться строго, однако в теле письма обязательно должен быть механизм отказа (например, фраза “Ответьте ‘Нет’, если вам это не актуально” или ссылка на отписку). 4. Действительные DNS-записи обратного просмотра (PTR): IP-адрес отправляющего сервера должен иметь настроенную PTR-запись (Reverse DNS), которая резолвится обратно в хостнейм, совпадающий с доменом отправки. (Для пользователей Google Workspace/Outlook это настроено автоматически).

4. Алгоритм прогрева домена (Domain Warm-up)

Когда вы регистрируете новый домен (например, getyourcompany.com), у него нулевая репутация. Спам-фильтры относятся к новым доменам с максимальным подозрением (так называемая “песочница” или sandbox). Если вы попытаетесь сразу отправить 500 холодных писем с нового домена, они гарантированно улетят в спам.

Прогрев домена (Warm-up) — это процесс постепенного увеличения объема отправляемых писем, параллельно с генерацией позитивных поведенческих сигналов (открытия, ответы, извлечение из папки «Спам»), чтобы доказать спам-фильтрам, что вы надежный отправитель.

4.1. Подготовительный этап (0-14 дней)

Техническая настройка: Купите домен (желательно .com, .io, .co). Настройте Google Workspace или Microsoft 365. Сразу же настройте SPF, DKIM и DMARC.
Профиль: Загрузите реальную фотографию профиля. Настройте корректную подпись (без тяжелых HTML-картинок и обилия ссылок).
Период «отлежки» (Aging): Дайте новому домену “настояться” хотя бы 7–14 дней перед началом любой автоматизированной активности. В это время используйте ящик для ручной переписки с коллегами.
Регистрация в постмастерах: Добавьте свой домен в Google Postmaster Tools (GPT) и Microsoft SNDS (Smart Network Data Services). Это позволит отслеживать репутацию домена и IP-адресов.

4.2. Использование сервисов автопрогрева (Auto-warmup tools)

Для масштабирования процесса используют специальные сервисы (Lemwarm, Instantly, Smartlead, Woodpecker). Эти инструменты объединяют тысячи пользователей в P2P-сеть. Они автоматически отправляют письма между ящиками участников, открывают их, помечают как важные, отвечают на них и, что самое главное, достают из папки Спам, если письмо туда попало.

Стратегия прогрева в сервисе:

Параметр	Значение	Комментарий
Стартовый объем	1-2 письма в день	Начинайте максимально консервативно.
Ежедневный прирост (Ramp-up)	+1..+2 письма в день	Постепенное увеличение.
Целевой объем прогрева	30-40 писем в день	Не останавливайте прогрев, когда начнете аутрич!
Процент ответов (Reply rate)	30% - 40%	Симулирует высокую вовлеченность.

4.3. График запуска холодных кампаний (Outreach Phase)

Даже после 2-3 недель автопрогрева, нельзя резко начинать рассылку. Настоящие холодные кампании (с реальными лидами, которые не отвечают автоматически) должны наращиваться параллельно с фоновым автопрогревом.

Безопасный математический график:

Неделя 1-2: Только автопрогрев (достигаем ~20-25 писем/день). Аутрич = 0.
Неделя 3: Автопрогрев (30 писем). Старт аутрича: 5..10 писем/день.
Неделя 4: Автопрогрев (35 писем). Аутрич: 15..20 писем/день.
Неделя 5+: Автопрогрев (40 писем). Аутрич: 30..40 писем/день.

Золотое правило аутрича: Никогда не отправляйте более 30-50 холодных писем с одного почтового ящика в день. Если вам нужно отправлять 1000 писем в день, вы должны использовать горизонтальное масштабирование (Horizontal Scaling): купить 5 дополнительных доменов (например, tryyourcompany.com, yourcompany.io), создать на каждом по 3-5 почтовых ящиков, и распределить нагрузку (25 ящиков * 40 писем = 1000 писем/день). Это изолирует риски.

5. Дополнительные факторы доставляемости

Технические настройки — это лишь фундамент. На доставляемость сильно влияют контент и поведение.

5.1. Кастомный домен для трекинга (Custom Tracking Domain - CNAME)

Сервисы аутрича (Instantly, Lemlist) отслеживают открытия писем (через невидимый пиксель) и клики по ссылкам, заменяя ваши ссылки на свои (редиректы). Если вы используете стандартный домен трекинга сервиса, вы делите его репутацию с тысячами других спамеров. Решение: Обязательно настраивайте Custom Tracking Domain (CNAME-запись), чтобы пиксель и редиректы использовали поддомен вашего домена (например, track.yourcompany.com).

5.2. Гигиена контента (Spam Words & HTML)

Отношение текста к ссылкам/HTML: Холодное письмо должно выглядеть как письмо от человека человеку. Избегайте сложной HTML-верстки, таблиц и обилия изображений. Используйте простой текст (Plain Text или минимальный HTML).
Спам-слова: Избегайте триггерных фраз, особенно в теме письма: “Бесплатно”, “Скидка”, “Криптовалюта”, “Заработок”, “Срочно”, использование КАПСЛОКА и множества восклицательных знаков (!!!).
Количество ссылок: В первом холодном письме старайтесь использовать максимум 1-2 ссылки (включая ссылку в подписи). Идеально — вообще без ссылок в первом письме, продавая только идею звонка (Call to Action: “Интересно узнать больше?”).
Spintax (Уникализация текста): Используйте спинтакс (вариации слов), чтобы каждое отправляемое письмо было технически уникальным ({Привет|Здравствуйте|Добрый день}, {Имя}), что усложняет снятие сигнатур спам-фильтрами.

5.3. Валидация базы email-адресов (Bounce Rate)

Отправка писем на несуществующие адреса (Hard Bounces) — прямой путь к блокировке домена. Ваш показатель возвратов (Bounce Rate) должен быть строго ниже 2-3%. Перед запуском кампании всегда прогоняйте базу контактов через сервисы валидации (ZeroBounce, MillionVerifier, NeverBounce, Bouncer). Удаляйте адреса со статусами Invalid, Catch-All (в высокорисковых кампаниях) и Spam Trap.

Резюме

Доставляемость — это непрерывный процесс, а не разовая настройка. Успешный аутрич требует:

Идеально настроенных DNS (SPF, DKIM, DMARC).
Дисциплинированного, длительного прогрева доменов и ящиков.
Горизонтального масштабирования (не более 40 писем с ящика).
Строгой валидации баз для минимизации bounce rate.
Постоянного мониторинга репутации через Postmaster Tools.

Поделиться статьей:

Telegram ВКонтакте Twitter