[Документация Yandex Cloud](../../index.md) > [Yandex Cloud Postbox](../index.md) > [Концепции](index.md) > DNS-записи

# DNS-записи для работы с Yandex Cloud Postbox

Чтобы Yandex Cloud Postbox мог отправлять письма от имени вашего домена, а почтовые серверы получателей доверяли этим письмам, в DNS-зоне домена должны быть настроены специальные ресурсные записи. Часть из них обязательны для работы сервиса, часть — рекомендуются для повышения доставляемости и защиты домена от подделки.

Вы можете добавить записи у вашего DNS-регистратора или в сервисе [Yandex Cloud DNS](../../dns/index.md), если домен делегирован Yandex Cloud.

## Обязательные записи {#required}

### DKIM {#dkim}

[Подпись DKIM](https://ru.wikipedia.org/wiki/DomainKeys_Identified_Mail) — цифровая подпись, которая добавляется в заголовки писем и подтверждает, что сообщение отправлено с указанного домена и не было изменено в пути. Без корректно настроенной DKIM-подписи большинство почтовых сервисов будут отклонять письма от Yandex Cloud Postbox или помечать их как спам.

В Yandex Cloud Postbox поддержаны два способа настройки DKIM:

* Простая настройка (Easy DKIM) — Yandex Cloud Postbox автоматически генерирует ключи DKIM и управляет их ротацией. После создания [адреса](glossary.md#adress) в консоли управления отобразятся две CNAME-записи, которые нужно добавить в DNS-зону домена. Эти записи указывают на публичные ключи, которыми управляет сервис.

* Расширенная настройка — пользователь самостоятельно генерирует пару ключей длиной 1024 или 2048 бит (например, с помощью OpenSSL), передает приватный ключ сервису, а в DNS-зону добавляет одну TXT-запись с публичным ключом и выбранным селектором.

Способ настройки DKIM выбирается при [создании адреса](../operations/create-address.md). После добавления DKIM-записей необходимо пройти [проверку владения доменом](../operations/check-domain.md).

## Рекомендуемые записи {#recommended}

DKIM достаточно, чтобы Yandex Cloud Postbox мог подписывать письма, однако для надежной доставки и защиты от подделки отправителей мы рекомендуем дополнительно настроить SPF и DMARC.

### SPF {#spf}

[SPF](https://ru.wikipedia.org/wiki/Sender_Policy_Framework) (Sender Policy Framework) — это TXT-запись на корне домена, где перечислены серверы, которым разрешено отправлять письма от имени этого домена. Получатель сравнивает IP-адрес отправляющего сервера с этим списком. Если совпадения нет, письмо может быть отклонено или помечено как спам.

Чтобы разрешить отправку писем через Yandex Cloud Postbox, добавьте в SPF-запись механизм `include:spf.postbox.yandexcloud.net`.

Если SPF-записи на домене еще нет, создайте TXT-запись на корне домена со значением `"v=spf1 include:spf.postbox.yandexcloud.net ~all"`.

Если SPF-запись на домене уже есть (например, для другого почтового сервиса), не создавайте вторую запись, а добавьте механизм `include:spf.postbox.yandexcloud.net` в существующую — перед механизмом `all`. Например:

```text
"v=spf1 include:_spf.example.com include:spf.postbox.yandexcloud.net ~all"
```

{% note warning %}

На одном домене должна быть только одна SPF-запись. Если на домене будет несколько TXT-записей, начинающихся с `v=spf1`, проверка SPF завершится ошибкой `PermError` ([RFC 7208, раздел 4.5](https://datatracker.ietf.org/doc/html/rfc7208#section-4.5)), и все письма с этого домена перестанут проходить SPF-проверку независимо от содержимого записей.

{% endnote %}

#### Механизм include {#include}

При проверке SPF почтовый сервер получателя рекурсивно резолвит запись `spf.postbox.yandexcloud.net` и добавляет перечисленные в ней IP-адреса к списку разрешенных отправителей вашего домена. Благодаря этому актуальный список серверов Yandex Cloud Postbox поддерживается централизованно: если он изменится, вам не придется править запись в своей DNS-зоне.

#### Проверка корректности SPF-записи {check-spf}

Чтобы убедиться, что SPF-запись составлена корректно и на домене нет дубликатов, воспользуйтесь онлайн-инструментом, например [MxToolbox](https://mxtoolbox.com/SuperTool.aspx?action=spf:). Он покажет финальную развернутую запись, перечислит все вложенные механизмы `include` и предупредит о наличии нескольких SPF-записей.

### DMARC {#dmarc}

[DMARC](https://ru.wikipedia.org/wiki/DMARC) (Domain-based Message Authentication, Reporting and Conformance) — это TXT-запись `_dmarc.<домен>.`, которая указывает почтовым серверам получателей, что делать с письмами, не прошедшими проверку SPF и DKIM, и куда отправлять отчеты. DMARC дополняет SPF и DKIM и помогает защитить домен от подделки отправителей.

Минимальная DMARC-запись для мониторинга (без отклонения писем):

```text
"v=DMARC1;p=none"
```

Пошаговая инструкция по добавлению DMARC-записи приведена в разделе [Настройка DMARC-политики](../operations/setup-dmarc.md).

## Полезные ссылки {#see-also}

* [Создание адреса](../operations/create-address.md)
* [Проверка владения доменом](../operations/check-domain.md)
* [Настройка DMARC-политики](../operations/setup-dmarc.md)
* [Подпись DKIM](glossary.md#dkim)