Defaults.Exposed › Opsætning › SPF

Sådan opsætter du SPF på AWS Route 53

Tilføj en SPF-post i din Route 53-hosted zone, så mailservere kan skelne din rigtige e-mail fra forfalskninger.

Hvad det betyder for din virksomhed

SPF (Sender Policy Framework) er en kort note i dit domænes DNS, der angiver, hvilke mailservere der har lov til at sende e-mail i dit navn. Når nogen modtager en besked, der angiver at komme fra dig, tjekker vedkommendes mailudbyder denne liste. Er den afsendende server ikke på listen, virker beskeden mistænkelig — og den ender enten i spam eller bliver blokeret.

Konkret: SPF gør det sværere for andre at udgive sig for at være din virksomhed via e-mail, og det hjælper din rigtige e-mail med at nå indbakken frem for spammappen. Det er én post, det er gratis, og det tager få minutter.

Inden du begynder: er det Route 53, der kører din DNS?

Det er det trin, de fleste får galt. En DNS-post virker kun, hvis Route 53 besvarer DNS-forespørgsler for dit domæne.

Route 53 er en DNS-host, ikke en postkasseudbyder — den besvarer DNS, men kører ikke dine indbakker. To ting er vigtige her:

• Hosted zone’en skal være den aktive. Åbn Hosted zones i Route 53-konsollen og vælg dit domæne. Notér de fire NS-værdier (navneservere), der vises for den zone.
• Dit domænes navneservere skal pege på disse værdier. Har du registreret domænet via Route 53 (under Registered domains), er det som regel allerede på plads. Men har du registreret det et andet sted, eller har du mere end én hosted zone for samme domæne, kan de aktive navneservere pege et helt andet sted hen — og alt, du tilføjer her, gør ingenting. Tjek navneserverne hos din registrar og sørg for, at de matcher de fire NS-værdier i denne hosted zone. Gør de ikke det, tilføjer du SPF-posten der, hvor din DNS faktisk lever.

Find ét faktum først: hvem sender din e-mail?

SPF skal nævne alle tjenester, der sender e-mail for dit domæne. Typiske eksempler er Google Workspace, Microsoft 365 eller en anden udbyder, der hoster dine postkasser. Hver udbyder publicerer en værdi til din SPF-post (ofte noget som include:_spf.google.com for Google eller include:spf.protection.outlook.com for Microsoft 365). Tjek din mailudbyders egne hjælpesider for den præcise værdi — det er det, du skal have rigtigt.

Sender du via Amazon SES (Amazons egen e-mailafsendingstjeneste), bruger SES som standard en anden mekanisme, og SPF til SES er valgfrit — men har du sat et brugerdefineret MAIL FROM-domæne op i SES, følger du SES’s præcise instruktioner for det. SES er en separat tjeneste fra Route 53; Route 53 gemmer kun DNS-posten.

Trin for trin på Route 53

1. Log ind på AWS-konsollen og åbn Route 53.
2. Vælg Hosted zones i venstremenuen, og klik derefter på dit domænes navn.
3. Klik på Create record.
4. Vises der en guide med routingpolitik-muligheder, skifter du til den simple formular (kig efter Quick create record) — SPF kræver ikke nogen af de avancerede routing-funktioner.
5. Lad feltet Record name stå tomt. Et tomt navn betyder “selve domænet”. Konsollen viser dit domæne ved siden af feltet, så du behøver ikke genindtaste det.
6. Sæt Record type til TXT.
7. I feltet Value skriver du din SPF-tekst omsluttet af dobbelte anførselstegn: "v=spf1 include:_spf.google.com ~all" Erstat include:-delen med den eller de værdier, din faktiske mailudbyder angiver. De omgivende anførselstegn er påkrævede i Route 53 — se faldgruberne nedenfor.
8. Lad TTL stå på standardværdien (300 sekunder er fint).
9. Klik på Create records.

Route 53-faldgruber, som folk rammer

• TXT-værdier skal stå i dobbelte anførselstegn. I modsætning til nogle DNS-hosts, der selv sætter anførselstegnene, forventer Route 53, at du skriver dem selv. Skriv "v=spf1 ... ~all", ikke v=spf1 ... ~all. Glemte anførselstegn er den mest almindelige Route 53-fejl.
• Lad Record name stå tomt for roddomænet. Et tomt navn betyder selve domænet. Skriver du dit fulde domænenavn i Name-feltet, tilføjer Route 53 zonen igen og du ender med ditdomæne.com.ditdomæne.com — en post, der aldrig tjekkes.
• Kun én SPF-post per domæne. Du kan ikke have to v=spf1-TXT-poster — mailservere vil betragte det som fejlbehæftet. Eksisterer der allerede en TXT-post ved roden, skal du redigere den for at tilføje den nye tjeneste fremfor at oprette endnu en SPF-post.
• Rigtig hosted zone, rigtig konto. Har du flere hosted zones (eller flere AWS-konti), er det nemt at redigere den forkerte. Sørg for, at den zone, du redigerer, er den, hvis NS-værdier matcher dine aktive navneservere.
• ~all vs. -all. ~all (softfail) betyder “alt, der ikke er på listen, er mistænkeligt”; -all (hardfail) betyder “afvis alt, der ikke er på listen”. Start med ~all, mens du sikrer, at alting sender korrekt, og skær til -all, når du er sikker på, at din liste er komplet.
• Ændringer sker ikke med det samme. DNS-opdateringer kan tage alt fra få minutter til et par timer om at brede sig.

Bekræft, at det virkede

Når du har gemt posten og givet den lidt tid til at træde i kraft, kan du bekræfte det med den gratis kontrol på dette site. Den fortæller dig med klare ord, om din SPF-post er til stede og korrekt udformet.

Færdig? Tjek dit domæne gratis for at bekræfte, at det virkede — og se din fulde karakter på tværs af alle 34 kontroller.