Примеры настройки DNS-записей для почтового сервера

Простые примеры DNS-записей для настройки почтового сервера и надёжной доставки писем

В этой статье мы рассмотрим основные DNS‑записи, которые необходимо настроить для корректной работы почтового сервера. Каждая запись будет сопровождаться примером и пояснением её роли в обеспечении доставки, аутентификации и защиты от спама.

Основные записи (одиночное значение, без опций)

mail.example.uz → 192.0.2.10

A запись
mail    IN  A       192.0.2.10

Рекомендуется создать отдельный поддомен, например mail.example.uz, и направить его на IP‑адрес вашего почтового сервера. Такой подход позволяет использовать поддомен в MX‑записи и обеспечивает единый адрес для веб‑интерфейса или административных панелей.


example.uz → mail.example.uz (priority 10)

MX запись
@       IN  MX 10   mail.example.uz.

MX‑запись указывает, какой сервер отвечает за обработку почты для вашего домена. Можно задать несколько MX‑записей с разными приоритетами. Чем меньше значение, тем выше приоритет: запись с приоритетом 0 будет использоваться раньше, чем с приоритетом 10.


192.0.2.10 → mail.example.uz

PTR запись
10.2.0.192.in-addr.arpa. IN PTR mail.example.uz.

PTR‑запись обеспечивает обратное разрешение DNS, сопоставляя IP‑адрес с именем хоста. Это важно для репутации почтового сервера и предотвращения спама, так как многие принимающие системы проверяют обратное соответствие для подтверждения легитимности отправителя.

Политика / Защитные записи (настраиваемые опции)

SPF (Sender Policy Framework)

SPF‑записи определяют, какие серверы имеют право отправлять письма от имени вашего домена.

SPF (TXT) значение: базовое
v=spf1 ip4:192.0.2.10 -all

Строгая конфигурация разрешает отправку только с указанного IP‑адреса и отклоняет все остальные.

SPF (TXT) значение: среднее
v=spf1 ip4:192.0.2.10 include:_spf.google.com ~all

Более гибкая конфигурация может включать сторонних провайдеров (например, Google Workspace), позволяя им отправлять письма, но при этом отмечая неавторизованные источники.

DKIM (DomainKeys Identified Mail)

DKIM добавляет криптографическую подпись к исходящим письмам. Публичный ключ публикуется в DNS, что позволяет принимающим серверам убедиться, что сообщение действительно отправлено вашим доменом и не было изменено в процессе доставки.

selector1._domainkey.example.uz → v=DKIM1; k=rsa; p=PUBLICKEY

DKIM запись
selector1._domainkey IN TXT "v=DKIM1; k=rsa; p=PUBLICKEY"

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC: Мониторинг
_dmarc  IN  TXT     "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.uz"
DMARC: Карантин
_dmarc  IN  TXT     "v=DMARC1; p=quarantine; pct=50"
DMARC: Отклонение
_dmarc  IN  TXT     "v=DMARC1; p=reject; pct=100"

DMARC определяет, как принимающие серверы должны обрабатывать письма, не прошедшие проверки SPF или DKIM.

  • Политика мониторинга (p=none) собирает отчёты, не влияя на доставку.
  • Политика карантина (p=quarantine) направляет подозрительные письма в папку «Спам».
  • Политика отклонения (p=reject) полностью блокирует несоответствующие сообщения.