Defaults.Exposed › Διορθώσεις › Guides
Ρύθμιση email σε νέο domain: Το 20λεπτο checklist για SPF, DKIM και DMARC (2026)
Δημοσιεύτηκε 2026-07-08
Στοιχεία ως 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά δεδομένα census από 261 εκατομμύρια βαθμολογημένα domains. Δείτε πώς βαθμολογούμε.
Ένα νέο domain χρειάζεται τέσσερα πράγματα πριν από το πρώτο του email: έλεγχο για βάση αναφοράς, μία εγγραφή SPF που κατονομάζει τον πάροχό σας, υπογραφή DKIM με το δικό σας domain και εγγραφή DMARC με ενεργή αναφορά από την πρώτη μέρα. Τα περισσότερα domains δεν φτάνουν ποτέ εκεί — το 46.4% (121,145,609 από τα 261,086,232 βαθμολογημένα domains) δεν έχει καθόλου SPF, σύμφωνα με το census του Defaults.Exposed (ως 2026-06-29).
Η δημοσίευση όλων χρειάζεται περίπου 20 λεπτά: έλεγχος για βάση αναφοράς, μία εγγραφή SPF, ενεργοποίηση DKIM με το domain σας, δημοσίευση DMARC p=none με διεύθυνση αναφοράς, προαιρετικά MTA-STS, και μετά επανέλεγχος και αρχειοθέτηση της αναφοράς. Αυτό που παίρνει περισσότερο χρόνο είναι αυτό που κανένα checklist δεν μπορεί να επιταχύνει — η διάδοση DNS και η φήμη αποστολής — και αυτός ο οδηγός είναι ειλικρινής για αμφότερα.
Φτάνουν πραγματικά 20 λεπτά;
Για τη δημοσίευση των εγγραφών, ναι — κάθε βήμα παρακάτω είναι μια εγγραφή DNS και μερικά κλικ στην κονσόλα διαχείρισης του παρόχου. Δύο πράγματα παίρνουν περισσότερο χρόνο, και αν το αποκρύπτουμε, νέα domains καταλήγουν στα spam:
- Διάδοση. Νέες εγγραφές συνήθως επιλύονται μέσα σε λεπτά, αλλά οι resolvers αποθηκεύουν προσωρινά βάσει του TTL και ένα domain με νέα ανάθεση μπορεί να χρειαστεί ώρες για να αποκρίνεται σταθερά. Επαληθεύστε με
dig· μην κάνετε πανικόβλητες επεξεργασίες ενώ οι caches ενημερώνονται. - Warm-up. Ένα νέο domain έχει μηδενική φήμη αποστολής, και ο έλεγχος ταυτότητας είναι η προϋπόθεση για τη φήμη, όχι η υποκατάστατη. Ξεκινήστε με χαμηλό όγκο ανθρώπινης κλίμακας και αυξήστε σταδιακά τις επόμενες εβδομάδες.
Η ειλικρινής αξίωση: 20 λεπτά αγοράζουν σωστά δημοσιευμένο έλεγχο ταυτότητας. Οι επόμενες εβδομάδες συνετής αποστολής αγοράζουν παραδοτικότητα.
Το 20λεπτο checklist
- Εκτελέστε πρώτα τον δωρεάν έλεγχο στο defaults.exposed. Ελέγξτε το νέο domain πριν αγγίξετε το DNS. Η βαθμολογημένη βάση «χωρίς ρύθμιση» αποτυπώνεται σε δευτερόλεπτα και κάνει την αναφορά αφού ουσιαστική — θα θελήσετε το ζεύγος πριν-μετά (βήμα 6).
- Δημοσιεύστε μία εγγραφή SPF για τον πάροχό σας. Ακριβώς μία εγγραφή TXT που αρχίζει με
v=spf1, που περιέχει το include του παρόχου — για παράδειγμαv=spf1 include:_spf.google.com ~allγια Google Workspace, ήinclude:spf.protection.outlook.comγια Microsoft 365· αν το DNS σας βρίσκεται σε πάνελ registrar, ο οδηγός GoDaddy καλύπτει τις ιδιαιτερότητες του UI. Μόνο μία εγγραφή: δύο εγγραφέςv=spf1αποτελούν μόνιμο σφάλμα που ακυρώνει τελείως το SPF — η κατάσταση στην οποία βρίσκονται 1,013,416 domains, περίπου ένα στα 138 από αυτά που επιχειρούν SPF (census ως 2026-06-29), συνήθως ως κατάλοιπο migration. Μην προσθέτετε includes «για κάθε ενδεχόμενο»: το SPF περιορίζει τα DNS lookups σε 10, και τουλάχιστον 797,263 domains έχουν ακυρώσει την εγγραφή τους ξεπερνώντας αυτό το όριο. Και κατανοήστε τι ελέγχει πραγματικά το SPF: οι receivers το αξιολογούν βάσει του domain Return-Path (RFC5321.MailFrom) — τη διεύθυνση αναπήδησης — όχι της επικεφαλίδας From που βλέπουν οι παραλήπτες σας. - Ενεργοποιήστε υπογραφή DKIM με το δικό σας domain. Ο πάροχός σας υπογράφει emails ούτως ή άλλως· το ερώτημα είναι ποιο domain κατονομάζει η υπογραφή. Ωσότου ολοκληρώσετε αυτό το βήμα, το Google Workspace υπογράφει με το default
gappssmtp.comκαι το Microsoft 365 μεonmicrosoft.com— υπογραφές που περνούν DKIM αλλά δεν ευθυγραμμίζονται με το domain σας, οπότε το DMARC εξακολουθεί να αποτυγχάνει. Δημιουργήστε το κλειδί στην κονσόλα διαχείρισης και δημοσιεύστε αυτό που σας δίνει ο πάροχος: εγγραφή TXT 2048-bit για Google, δύο CNAMEs (selector1/selector2) για Microsoft 365. Αν μια εγγραφή δεν χωράει στο πάνελ DNS σας, δείτε το fix DKIM — μεγάλα κλειδιά που παραμορφώνονται από UI είναι κλασικό πρόβλημα. - Δημοσιεύστε DMARC από την πρώτη μέρα —
p=noneμε διεύθυνση αναφοράς. Μία εγγραφή TXT στο_dmarc.yourdomain.com:v=DMARC1; p=none; rua=mailto:[email protected]. Ξεκαθαρίστε τι κάνει αυτό: τοp=noneδεν προστατεύει τίποτα ακόμα — είναι λειτουργία παρακολούθησης. Αλλά δεν κοστίζει τίποτα, και οι συγκεντρωτικές αναφορές καλύπτουν έπειτα το ιστορικό αποστολής του domain από το πρώτο μήνυμα. Τα εδραιωμένα domains ξοδεύουν εβδομάδες αναφορών μόνο για να ανακαλύψουν αποστολείς που είχαν ξεχάσει· εσείς αγοράζετε αυτή την ορατότητα δωρεάν, από την πρώτη μέρα. Δείτε το fix DMARC για την ανατομία της εγγραφής. - Προαιρετικό αλλά φτηνό σε νέο domain: MTA-STS και TLS-RPT. Το MTA-STS ενημερώνει τους αποστέλλοντες servers ότι το domain σας απαιτεί TLS για εισερχόμενα email (εγγραφή DNS συν ένα μικρό αρχείο πολιτικής)· το TLS-RPT αναφέρει αποτυχίες κρυπτογράφησης παράδοσης. Σε εδραιωμένο domain αυτά απαιτούν προσοχή· σε νέο domain με έναν πάροχο email δεν υπάρχει τίποτα να χαλάσει, και το
mode: testingείναι ουσιαστικά χωρίς κίνδυνο. Ρυθμίστε τα τώρα ή παρακάμψτε τα — αλλά αποφασίστε, μην τα αφήσετε στην τύχη. - Επανελέγξτε και κρατήστε την αναφορά. Εκτελέστε τον έλεγχο ξανά — SPF, DKIM και DMARC πρέπει να εμφανίζονται πράσινα. Αποθηκεύστε τη βαθμολογημένη αναφορά: χρονολογημένη απόδειξη της κατάστασης του domain κατά την εκκίνηση, και ακριβώς αυτό που θα ζητήσει ένας ασφαλιστής ή ένα ερωτηματολόγιο ασφαλείας προμηθευτή.
Πόσα domains ολοκληρώνουν πραγματικά αυτό το checklist;
Πολύ λίγα — και τα περισσότερα πέφτουν στο πρώτο εμπόδιο. Από τα 261,086,232 domains που βαθμολογήθηκαν στο census του Defaults.Exposed (ως 2026-06-29):
| Ορόσημο checklist | Πραγματικότητα census (από 261,086,232 βαθμολογημένα domains, ως 2026-06-29) |
|---|---|
| Βήμα 2 — δημοσίευση οποιασδήποτε εγγραφής SPF | 46.4% δεν το κάνουν ποτέ: 121,145,609 domains χωρίς SPF |
| Βήμα 4+ — DMARC με εφαρμοζόμενη πολιτική | 10.59% (27,640,987 domains)· 89.41% χωρίς εφαρμοζόμενη πολιτική |
| Η πλήρης τριάδα — SPF + DKIM + DMARC με εφαρμογή | 3.87% (10,092,481 domains) |
Τα 20 λεπτά που περιγράφει αυτή η σελίδα τοποθετούν ένα ολοκαίνουριο domain μπροστά από περίπου το 96% του διαδικτύου στην πλήρη τριάδα. Το μοντέλο ωριμότητας υιοθέτησης SPF αναλύει κάθε σκαλί αυτής της κλίμακας.
Πόσο γρήγορα μπορεί ένα νέο domain να φτάσει σε p=reject;
Εβδομάδες, όχι μήνες — αυτό είναι το πραγματικό πλεονέκτημα της εκκίνησης από μηδέν. Αυτό που κάνει την εφαρμογή DMARC αργή σε εδραιωμένα domains είναι η κληρονομιά: ο ξεχασμένος CRM connector, το εργαλείο τιμολόγησης που κάποιος συνέδεσε το 2019, η πλατφόρμα newsletter που κανείς δεν τεκμηρίωσε. Κάθε ένα πρέπει να βρεθεί στις αναφορές και να διορθωθεί πριν σφίξει η πολιτική — εξ ού και η τυπική ανάπτυξη διάρκειας μηνών.
Ένα νέο domain δεν έχει παλαιούς αποστολείς: ρυθμίσατε κάθε αποστέλλουσα πηγή μόνοι σας, αυτή την εβδομάδα, και οι αναφορές του βήματος 4 θα το επιβεβαιώσουν. Εκτελέστε p=none για δύο έως τέσσερις εβδομάδες πραγματικής αποστολής, ελέγξτε ότι οι αναφορές καλύπτουν όλα όσα χρησιμοποιείτε (γραμματοκιβώτια, τιμολόγια, αποδείξεις, η φόρμα επικοινωνίας του site), μετά μεταβείτε σε p=quarantine και στη συνέχεια σε p=reject μόλις αρχίσουν να τρέχουν καθαρές. Η σταδιακή μηχανική — ράμπες pct, πολιτική υποτομέα, τι να παρακολουθείτε — βρίσκεται στο από p=none σε p=reject· σε νέο domain θα τα διανύσετε γρήγορα, φτάνοντας εκεί που βρίσκεται μόνο το 10.59% των βαθμολογημένων domains.
Τι γίνεται με το παλιό domain που αντικαθιστάτε;
Αν αυτό το νέο domain αποτελεί μέρος επαναδιατύπωσης της ταυτότητας, το domain που εγκαταλείπετε είναι πλέον ο μεγαλύτερος κίνδυνος email σας: εξακολουθεί να είναι δικό σας, εξακολουθεί να έχει εμπιστοσύνη από αντισυμβαλλόμενους, δεν παρακολουθείται πλέον. Μην το εγκαταλείπετε — κλειδώστε το ρητά. Αυτή είναι η δική του μικρή δουλειά: αυτό το παλιό domain από το rebrand σας είναι μια πόρτα που αφήσατε ανοιχτή.
Συχνές ερωτήσεις
Μπορώ να δημοσιεύσω αυτές τις εγγραφές πριν επιλέξω πάροχο email;
Το DMARC, ναι — το p=none με rua είναι ανεξάρτητο παρόχου, οπότε δημοσιεύστε το την ημέρα που κάνετε εγγραφή. Το SPF χρειάζεται το include του παρόχου σας· ωσότου επιλέξετε έναν, δημοσιεύστε v=spf1 -all (τίποτα δεν είναι εξουσιοδοτημένο να αποστέλλει) και αντικαταστήστε το στο βήμα 2. Αυτό είναι αυστηρά καλύτερο από την κατάσταση χωρίς εγγραφή στην οποία βρίσκονται 121,145,609 domains (46.4% από τα 261,086,232 βαθμολογημένα, ως 2026-06-29).
Χρειάζομαι DKIM αν το SPF ήδη περνάει; Ναι. Το SPF σπάει στη διαβίβαση από σχεδιασμό, και επικυρώνει το domain Return-Path, το οποίο για πολλά εργαλεία δεν είναι δικό σας — το ευθυγραμμισμένο DKIM είναι το σκέλος που επιζεί και στις δύο περιπτώσεις. Μόνο το 3.87% των βαθμολογημένων domains ολοκληρώνει την πλήρη τριάδα SPF+DKIM+DMARC με εφαρμογή (census ως 2026-06-29)· το DKIM είναι το βήμα που παρακάμπτουν οι περισσότεροι. Ξεκινήστε από το fix DKIM αν ο έλεγχος το επισημάνει.
Πρέπει ένα νέο domain να χρησιμοποιεί ~all ή -all;
Σε εδραιωμένο domain, το ~all είναι η προσεκτική επιλογή ενώ αναζητάτε ξεχασμένους αποστολείς. Ένα νέο domain δεν έχει τέτοιους να βρει: μόλις το include του παρόχου σας εισαχθεί και το DKIM υπογράφει, το -all είναι ασφαλές πολύ νωρίτερα. Θέλετε επιπλέον ασφάλεια; Επιβεβαιώστε με δύο καθαρές εβδομάδες αναφορών DMARC πρώτα.
Και τα τρία records περνάνε — γιατί το mail μου πηγαίνει ακόμα στα spam; Επειδή ο έλεγχος ταυτότητας και η φήμη είναι διαφορετικά πράγματα: τα records που περνάνε σημαίνουν ότι οι receivers μπορούν να επαληθεύσουν ότι το mail είναι δικό σας, όχι ότι σας εμπιστεύονται ακόμα. Τα νέα domains αποκτούν εμπιστοσύνη αποστέλλοντας συνεπή, επιθυμητό, χαμηλού όγκου mail με σταδιακή αύξηση. Αν το mail αποτυγχάνει στους ελέγχους και δεν απλώς καταλήγει στα spam, ξεκινήστε από το fix SPF και δουλέψτε μέσα από τα αποτελέσματα ελέγχου.
Στείλτε στον ιδιοκτήτη την αναφορά
Αν ρυθμίζετε αυτό το domain για πελάτη, κλείστε τη δουλειά με αποδεικτικά. Εκτελέστε ξανά τον δωρεάν έλεγχο μετά το βήμα 6 και προωθήστε τη βαθμολογημένη αναφορά στον ιδιοκτήτη της επιχείρησης: SPF, DKIM και DMARC με πράσινο, σε απλή γλώσσα, χρονολογημένα κατά την εκκίνηση. Είναι το τεχνούργημα που θα χρειαστεί για την ανανέωση κυβερνοασφάλισης και το επόμενο ερωτηματολόγιο ασφαλείας προμηθευτή — και αποδεικνύει ότι το domain ξεκίνησε τη ζωή του με τον τρόπο που το 96% του διαδικτύου δεν καταφέρνει ποτέ.
Ελέγξτε το domain σας → · Από p=none σε p=reject χωρίς απώλεια νόμιμου email → · Μόνο συγκεντρωτικά δεδομένα. Τα δεδομένα αποθηκεύονται και επεξεργάζονται στην ΕΕ.