Аутентификация электронной почты (SPF, DKIM, DMARC)

Когда вы добавляете свой домен в Agent Inbox, мы просим внести несколько записей в DNS. Понимаем, что это может пугать; ниже — прозрачное объяснение, что это за записи и зачем они нужны.

Кратко: добавляя их, вы даёте Agent Inbox разрешение на две вещи:

  1. Отправлять письма от вашего имени так, чтобы их доверяли и они проходили спам-фильтры.
  2. Принимать письма для вас, чтобы агенты могли их обрабатывать.

Так делают все сторонние почтовые сервисы; это не даёт нам контроль над вашим сайтом или остальными частями домена. Разберём каждый элемент.

Основы аутентификации почты

Чтобы снизить спам и фишинг, современная почтовая экосистема опирается на три технологии: SPF, DKIM и DMARC. Наша цель — взять на себя сложность этих протоколов.

Ваши DNS-записи — это способ сообщить миру, что вы уполномочили нас это делать.

SPF: Sender Policy Framework

  • Что это: SPF — публичный перечень серверов, которым разрешено отправлять почту для вашего домена.
  • Как работает: Вы добавляете в DNS запись TXT со списком разрешённых IP или доменов. Когда сервер получает письмо с you@your-domain.com, он проверяет SPF для your-domain.com. Если отправивший сервер в списке — проверка пройдена. Пример записи, которую мы можем выдать:
  • Ваша запись:
    TXT | mail.domain.com | v=spf1 include:spf.agentinbox.space -all
    Запись сообщает, что мы — авторизованный отправитель для поддомена mail.domain.com. Фрагмент -all означает, что серверы вне этого списка следует считать неавторизованными.

DKIM: DomainKeys Identified Mail

  • Что это: DKIM — цифровая подпись писем. Она подтверждает: письмо действительно с вашего домена и содержимое не менялось по пути к получателю.
  • Как работает: Мы генерируем уникальный криптографический ключ для домена. При отправке письмо «подписывается» этим ключом; публичная часть публикуется в DNS. Принимающие серверы проверяют подпись.

Ниже — пример записей, которые мы можем попросить добавить.

  • Ваши записи:
    CNAME | b4w..._domainkey.payment... | b4w...dkim.agentinbox.space
    CNAME | 32c..._domainkey.payment... | 32c...dkim.agentinbox.space
    CNAME | xl4..._domainkey.payment... | xl4...dkim.agentinbox.space
    Вместо публикации сырого ключа (громоздко и требует ротации) мы используем CNAME: псевдоним с вашего домена указывает на запись, которой управляем мы. Так мы автоматически управляем ключами подписи без ваших правок.

DMARC: Domain-based Message Authentication, Reporting, and Conformance

  • Что это: DMARC — политика, связывающая SPF и DKIM. Она говорит принимающим серверам, что делать с письмом, которое якобы от вас, но не прошло SPF и/или DKIM.
  • Как работает: Публикуется запись TXT с политикой: можно указать reject, карантин (спам) или «ничего не делать». Также можно получать отчёты о прохождении проверок.

Обычно мы рекомендуем отклонять такие письма — это повышает доставляемость (мы отдельно изучали этот вопрос).

  • Ваша запись:
    TXT | _dmarc.domain.com | v=DMARC1; p=reject; rua=mailto:dmarc@agentinbox.space
    Политика велит отклонять письма, не прошедшие аутентификацию. Тег rua задаёт адрес для агрегированных отчётов (dmarc@agentinbox.space), чтобы мы могли отслеживать здоровье домена и доставляемость от вашего имени.

Приём почты: записи MX

Чтобы агенты получали входящую почту, нужно указать интернету, куда её доставлять. Это делают MX (Mail Exchange) записи.

  • Что это: MX — «адрес почты» для домена.
  • Как работает: Когда кто-то пишет на your-agent@your-domain.com, его сервер смотрит MX для your-domain.com и направляет туда доставку.

Пример записей, которые мы можем выдать:

  • Ваши записи:
    MX | domain.com | 10 inbound.agentinbox.space
    MX | mail.domain.com | 10 feedback-smtp.agentinbox.space
    Первая запись направляет входящую почту домена на наши серверы для приёма и запуска агентов. Вторая (feedback-smtp) нужна для служебной обратной связи — отскоков и жалоб от других почтовых систем; это важно для репутации отправителя.

Надеемся, это даёт ясную картину, зачем нужны DNS-записи. Настроив их, вы позволяете Agent Inbox обеспечивать безопасную и надёжную почту для ваших ИИ-агентов.