MX-записи для почты: настройка пошагово

MX-записи для почты: настройка пошагово

MX (Mail Exchanger) — запись DNS, которая говорит отправляющему серверу, куда доставлять письма для вашего домена. Ошибка в MX = вся почта не доходит до адресатов, а вы узнаёте об этом из NDR-отбивок клиентов. В статье — пошаговая настройка MX для Google Workspace, Yandex 360, Zoho, своего сервера, а также SPF/DKIM/DMARC, без которых ваши письма пойдут в спам.

Что такое MX-запись

MX хранит имя сервера, принимающего почту, и приоритет:

example.com.  3600  IN  MX  10  mail.example.com.
example.com.  3600  IN  MX  20  mail2.example.com.

Приоритет — чем меньше число, тем выше приоритет. Отправитель сначала пробует MX с приоритетом 10, при отказе — 20.

Требования RFC 5321

• Значение MX — доменное имя, не IP.
• Имя должно иметь A или AAAA-запись.
• MX не может указывать на CNAME (RFC 5321 3.6.2).
• Для одного домена может быть несколько MX с разными приоритетами.

Настройка Google Workspace

С 2023 Google использует единую запись smtp.google.com с приоритетом 1:

example.com.  3600  IN  MX  1  smtp.google.com.

Старая конфигурация (5 серверов ASPMX) тоже поддерживается, но рекомендуется перейти на новый формат.

Настройка Yandex 360 (для бизнеса)

example.com.  21600  IN  MX  10  mx.yandex.net.

Обязательно добавьте подтверждающую TXT-запись с кодом, который выдаст Яндекс-панель.

Настройка Zoho Mail

example.com.  3600  IN  MX  10  mx.zoho.com.
example.com.  3600  IN  MX  20  mx2.zoho.com.
example.com.  3600  IN  MX  50  mx3.zoho.com.

Собственный почтовый сервер

example.com.  3600  IN  MX  10  mail.example.com.
mail.example.com.  3600  IN  A  203.0.113.10

Обязательно обеспечьте reverse DNS (PTR) для IP сервера — без него многие получатели отправят почту в спам. Подробнее — в статье о PTR.

SPF: защита от подделки

SPF (Sender Policy Framework) через TXT-запись сообщает, с каких IP разрешено отправлять письма от имени вашего домена:

example.com.  3600  IN  TXT  "v=spf1 include:_spf.google.com ~all"

• ~all — soft fail (рекомендуется на старте).
• -all — hard fail (строгий режим, после отладки).
• +all — разрешить всем (не используйте, это дыра).

DKIM: цифровая подпись

DKIM подписывает каждое исходящее письмо приватным ключом. Публичный ключ публикуется в DNS:

selector._domainkey.example.com.  3600  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANB..."

Selector выдаёт почтовый провайдер. Для Google — google._domainkey, для Yandex — mail._domainkey.

DMARC: политика для SPF + DKIM

_dmarc.example.com.  3600  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; pct=100"

p=none

Только мониторинг сайтов, письма не помечаются.

p=quarantine

Провалившие проверку уходят в спам.

p=reject

Провалившие проверку отклоняются.

Проверка MX

Откройте DNS Lookup и выберите MX. Или из терминала:

dig MX example.com +short
dig TXT example.com +short
dig TXT selector._domainkey.example.com +short
dig TXT _dmarc.example.com +short

Распространённые ошибки

MX указывает на CNAME

Нарушение RFC 5321. Многие серверы не доставят. Замените на A-запись.

Два MX с одним приоритетом

Разрешено, но load balancing получается случайным. Используйте разные приоритеты для явного failover.

Забытый SPF при смене провайдера

Перешли с Gmail на Yandex, но SPF остался с _spf.google.com. Все письма помечаются как подделка. Обновляйте SPF одновременно с MX.

Нет PTR-записи

Google, Outlook.com и Yandex фильтруют почту с IP без PTR. Обязательно настройте reverse DNS у хостинг-провайдера.

Слишком много DNS-lookup в SPF

RFC 7208 ограничивает 10 lookup в SPF. При превышении — «permerror», SPF не проходит. Используйте include: экономно.

Диагностика недоставки

1. dig MX example.com +short — правильный ли MX?
2. dig A mail.example.com +short — резолвится ли сервер?
3. telnet mail.example.com 25 — открыт ли 25-й проверку портов?
4. Проверьте логи SMTP на получателе (если свой сервер).
5. Используйте MXToolbox SMTP Test для сквозной проверки.

FAQ

Можно ли иметь MX без A?

MX должна указывать на hostname, у которого есть A/AAAA. Без них — ошибка резолюции.

Работает ли wildcard MX?

Да: *.example.com MX 10 mail.example.com. Применяется для всех поддоменов без своей MX.

Когда MX распространяется после смены?

До истечения TTL (обычно 1 час). Уменьшите TTL до 300 за сутки до миграции.

Нужна ли MX, если используется Office 365?

Обязательно. Формат: example.com MX 0 example-com.mail.protection.outlook.com.

Заключение

Правильная MX — только начало. Для полноценной доставки нужны SPF, DKIM, DMARC и PTR. Проверяйте конфигурацию через DNS Lookup и настраивайте мониторинг MX, чтобы узнать о проблемах до того, как клиенты начнут жаловаться.