Email authentication records: SPF, DKIM, DMARC, and BIMI explained

Email authentication records are DNS entries that let receiving mail servers verify whether the sender is authorized to use a given domain. Four standards form the authentication stack: SPF, DKIM, DMARC, and BIMI. Together they establish a trust system without which messages risk landing in spam or being rejected outright.

SPF (Sender Policy Framework)

SPF answers the question: which servers are allowed to send mail for this domain? The domain owner publishes a TXT record in DNS listing authorized IP addresses and server names. When a receiving server gets a message, it extracts the domain from the envelope sender (MAIL FROM) and checks the SPF record. If the sending IP is listed, the check passes.

The -all directive means all unlisted servers are unauthorized (hard fail). ~all (soft fail) is more lenient: the message is not rejected but flagged as suspicious. SPF has a 10-DNS-lookup limit; exceeding it causes a PermError, which counts as a failed check.

DKIM (DomainKeys Identified Mail)

DKIM attaches a cryptographic signature to each outgoing message. The sending server signs selected headers and the body with a private key. The corresponding public key is published in DNS as a TXT record. The receiving server retrieves the public key and verifies the signature. If valid, the message has not been altered in transit and originates from an authorized source.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC unifies SPF and DKIM under a single policy. It introduces alignment: the domain in the visible From header must match the domain authenticated by SPF or DKIM. DMARC also tells the receiving server what to do with messages that fail: p=none (monitor only), p=quarantine (send to spam), or p=reject (reject entirely). The rua tag specifies where aggregate reports should be sent.

BIMI (Brand Indicators for Message Identification)

BIMI displays a brand logo next to the message in the recipient's mailbox. Gmail, Yahoo, and Apple Mail support it. Prerequisites: DMARC with p=quarantine or p=reject, and a verified SVG logo. Gmail additionally requires a VMC (Verified Mark Certificate) from DigiCert or Entrust. BIMI does not affect deliverability directly but improves brand recognition and open rates.

2024 requirements

Since February 2024, Google and Yahoo require bulk senders (over 5,000 messages per day) to have SPF, DKIM, and a DMARC record (at minimum p=none), alignment between the From domain and SPF/DKIM, one-click unsubscribe (RFC 8058), and a spam rate below 0.1%.

Записи email-аутентификации: SPF, DKIM, DMARC, BIMI

Записи email-аутентификации -- DNS-записи, позволяющие почтовым серверам проверить, имеет ли отправитель право отправлять почту от имени данного домена. Четыре основных стандарта: SPF, DKIM, DMARC и BIMI. Вместе они формируют систему доверия, без которой письма рискуют оказаться в спаме или быть отклонёнными.

SPF (Sender Policy Framework)

SPF отвечает на вопрос: с каких серверов разрешено отправлять почту от имени этого домена? Владелец публикует TXT-запись в DNS, перечисляя IP и серверы. Принимающий сервер проверяет envelope sender и сверяет IP отправителя со списком. Директива -all означает hard fail (все незарегистрированные серверы запрещены). Ограничение: не более 10 DNS-lookup в одной записи.

DKIM (DomainKeys Identified Mail)

DKIM добавляет криптографическую подпись к каждому письму. Отправляющий сервер подписывает заголовки и тело закрытым ключом. Открытый ключ публикуется в DNS. Принимающий сервер проверяет целостность. DKIM подтверждает, что письмо отправлено владельцем домена и не изменено в пути.

DMARC

DMARC объединяет SPF и DKIM в единую политику. Вводит alignment: домен из видимого заголовка From должен совпадать с доменом из SPF или DKIM. Политики: p=none (мониторинг), p=quarantine (в спам), p=reject (отклонение). Тег rua указывает адрес для агрегированных отчётов.

BIMI

BIMI позволяет отображать логотип бренда рядом с письмом. Поддерживается Gmail, Yahoo и Apple Mail. Требования: DMARC с политикой p=quarantine или p=reject и верифицированный SVG-логотип. Для Gmail нужен VMC (Verified Mark Certificate). BIMI не влияет на доставляемость напрямую, но повышает узнаваемость и open rate.

Требования 2024 года

С февраля 2024 года Google и Yahoo требуют от массовых отправителей (более 5 000 писем в день): SPF и DKIM для домена отправки, DMARC-запись (минимум p=none), alignment между доменом From и SPF/DKIM, one-click unsubscribe (RFC 8058), spam rate ниже 0.1%. Отправители, не выполняющие требования, сталкиваются с throttling и блокировками.