Defaults.Exposed › Nastavení › SPF

Jak nastavit SPF na AWS Route 53

Přidejte SPF záznam do své hostované zóny Route 53, aby poštovní poskytovatelé dokázali odlišit vaše skutečné e-maily od padělků.

Proč na tom záleží pro vaši firmu

SPF (Sender Policy Framework) je krátká poznámka v DNS vaší domény, která uvádí, které poštovní servery smějí odesílat e-maily vaším jménem. Když někdo obdrží zprávu tvrdící, že pochází od vás, poštovní poskytovatel příjemce zkontroluje tento seznam. Pokud odesílající server na seznamu není, zpráva vypadá podezřele — skončí ve spamu nebo bude zablokována.

Jednoduše řečeno: SPF ztěžuje podvodníkům vydávání se za vaši firmu prostřednictvím e-mailu a pomáhá vašim legitimním e-mailům dorazit do schránky místo do složky nevyžádané pošty. Jde o jeden záznam, je zdarma a zabere pár minut.

Než začnete: spravuje Route 53 skutečně vaše DNS?

To je krok, který většina lidí pokazí. DNS záznam funguje pouze tehdy, pokud Route 53 odpovídá na DNS dotazy pro vaši doménu.

Route 53 je DNS hostitel, ne poskytovatel schránek — odpovídá na DNS, ale neprovozuje vaše schránky. Zde jsou důležité dvě věci:

• Hostovaná zóna musí být ta aktivní. V konzoli Route 53 otevřete Hosted zones a vyberte svou doménu. Poznamenejte si čtyři hodnoty NS (nameserver) zobrazené pro tuto zónu.
• Nameservery vaší domény musí ukazovat na tyto hodnoty. Pokud jste doménu zaregistrovali přes Route 53 (pod Registered domains), je to obvykle již v souladu. Pokud jste ji zaregistrovali jinde, nebo máte více než jednu hostovanou zónu pro stejnou doménu, mohou živé nameservery ukazovat někam úplně jinam — a cokoli zde přidáte nebude mít účinek. Zkontrolujte nameservery u svého registrátora a ujistěte se, že odpovídají čtyřem NS hodnotám v této hostované zóně. Pokud ne, přidejte SPF záznam tam, kde vaše DNS skutečně sídlí.

Nejprve zjistěte jednu věc: kdo odesílá vaše e-maily?

SPF musí jmenovat každou službu, která odesílá poštu pro vaši doménu. Běžnými příklady jsou Google Workspace, Microsoft 365 nebo jakýkoli poskytovatel hostující vaše schránky. Každý z nich zveřejňuje hodnotu pro váš SPF záznam (obvykle něco jako include:_spf.google.com pro Google nebo include:spf.protection.outlook.com pro Microsoft 365). Přesnou hodnotu zjistěte na stránkách nápovědy svého poskytovatele e-mailu.

Pokud odesíláte přes Amazon SES (vlastní služba Amazonu pro odesílání e-mailů), SES ve výchozím nastavení používá jiný mechanismus a SPF pro SES je volitelné — pokud jste však v SES nastavili vlastní MAIL FROM doménu, postupujte přesně podle pokynů SES pro danou situaci. SES je samostatná služba od Route 53; Route 53 pouze uchovává DNS záznam.

Krok za krokem na Route 53

1. Přihlaste se do AWS konzole a otevřete Route 53.
2. V levém menu vyberte Hosted zones, pak klikněte na název své domény.
3. Klikněte na Create record.
4. Pokud se zobrazí průvodce s možnostmi směrování, přepněte na jednoduchý formulář (hledejte Quick create record) — SPF nepotřebuje žádné pokročilé směrování.
5. Pole Record name nechte prázdné. Prázdné jméno znamená „samotná doména”. Konzole zobrazuje vaši doménu vedle pole, takže ji znovu nepíšete.
6. Nastavte Record type na TXT.
7. Do pole Value zadejte svůj SPF text zabalený do dvojitých uvozovek: "v=spf1 include:_spf.google.com ~all" Část include: nahraďte hodnotou (hodnotami) vašeho skutečného poskytovatele e-mailu. Okolní uvozovky jsou v Route 53 povinné — viz chyby níže.
8. Hodnotu TTL ponechte na výchozí (300 sekund je v pořádku).
9. Klikněte na Create records.

Chyby, které lidé na Route 53 dělají

• Hodnoty TXT musí být v dvojitých uvozovkách. Na rozdíl od některých DNS hostitelů, kteří hodnotu uvozují za vás, Route 53 očekává, že uvozovky napíšete sami. Zadejte "v=spf1 ... ~all", nikoli v=spf1 ... ~all. Chybějící uvozovky jsou nejčastější chybou v Route 53.
• Pro kořenovou doménu nechte Record name prázdné. Prázdné jméno znamená samotnou doménu. Pokud napíšete celý název domény do pole Name, Route 53 připojí zónu znovu a skončíte se záznamem vasadomena.com.vasadomena.com — záznam, který se nikdy nekontroluje.
• Pouze jeden SPF záznam na doménu. Nesmíte mít dva TXT záznamy v=spf1 — poštovní poskytovatelé to budou považovat za poškozené. Pokud TXT záznam na kořeni již existuje, upravte jej a přidejte novou službu, místo vytvoření druhého SPF záznamu.
• Správná hostovaná zóna, správný účet. Pokud máte několik hostovaných zón (nebo více AWS účtů), je snadné upravit nesprávnou. Ujistěte se, že zóna, kterou upravujete, je ta, jejíž NS hodnoty odpovídají vašim živým nameserverům.
• ~all vs -all. ~all (softfail) znamená „cokoli, co není v seznamu, je podezřelé”; -all (hardfail) znamená „odmítněte cokoli, co není v seznamu”. Začněte s ~all, pak zpřísněte na -all.
• Změny nejsou okamžité. Aktualizace DNS mohou trvat od několika minut po pár hodin, než se rozšíří.

Ověřte, zda to funguje

Jakmile záznam uložíte a dáte mu trochu času na projevení, ověřte ho bezplatnou kontrolou na tomto webu. V srozumitelném jazyce vám sdělí, zda je váš SPF záznam přítomen a správně sestavený.

Hotovo? Zkontrolujte svou doménu zdarma a ověřte, že to fungovalo — a zobrazí se vaše úplné hodnocení ve všech 34 kontrolách.