Defaults.Exposed › Ρύθμιση › SPF

Πώς να ρυθμίσετε το SPF στο AWS Route 53

Προσθέστε εγγραφή SPF στο hosted zone του Route 53 ώστε οι πάροχοι email να ξεχωρίζουν τα γνήσια email σας από πλαστογραφίες.

Γιατί αυτό έχει σημασία για την επιχείρησή σας

Το SPF (Sender Policy Framework) είναι μια σύντομη σημείωση στο DNS του τομέα σας που απαριθμεί τους διακομιστές αλληλογραφίας που επιτρέπεται να στέλνουν email με το όνομά σας. Όταν κάποιος λαμβάνει μήνυμα που ισχυρίζεται ότι προέρχεται από εσάς, ο πάροχος αλληλογραφίας του ελέγχει αυτή τη λίστα. Εάν ο διακομιστής αποστολής δεν βρίσκεται σε αυτή, το μήνυμα φαίνεται ύποπτο — και είτε καταλήγει στα spam είτε αποκλείεται.

Με απλά λόγια: το SPF κάνει πιο δύσκολη την υποδύση της επιχείρησής σας μέσω email, και βοηθά τα γνήσια email σας να φτάνουν στα εισερχόμενα αντί στα ανεπιθύμητα. Είναι μία εγγραφή, είναι δωρεάν, και διαρκεί λίγα λεπτά.

Πριν ξεκινήσετε: τρέχει πραγματικά το DNS σας στο Route 53;

Αυτό είναι το βήμα που κάνουν λάθος οι περισσότεροι. Μια εγγραφή DNS λειτουργεί μόνο εάν το Route 53 απαντά σε ερωτήματα DNS για τον τομέα σας.

Το Route 53 είναι host DNS, όχι πάροχος γραμματοκιβωτίου — απαντά σε DNS αλλά δεν εκτελεί τα εισερχόμενά σας. Δύο πράγματα έχουν σημασία εδώ:

• Το hosted zone πρέπει να είναι το ενεργό. Στην κονσόλα Route 53, ανοίξτε Hosted zones και επιλέξτε τον τομέα σας. Σημειώστε τις τέσσερις τιμές NS (nameserver) που εμφανίζονται για εκείνο το zone.
• Οι nameservers του τομέα σας πρέπει να δείχνουν σε αυτές τις τιμές. Εάν καταχωρήσατε τον τομέα μέσω Route 53 (στα Registered domains), αυτό συνήθως έχει ήδη ευθυγραμμιστεί. Αλλά εάν τον καταχωρήσατε αλλού, ή έχετε περισσότερα από ένα hosted zone για τον ίδιο τομέα, οι ενεργοί nameservers μπορεί να δείχνουν αλλού — και οτιδήποτε προσθέτετε εδώ δεν κάνει τίποτα. Ελέγξτε τους nameservers στον registrar σας και βεβαιωθείτε ότι ταιριάζουν με τις τέσσερις τιμές NS σε αυτό το hosted zone. Εάν δεν ταιριάζουν, προσθέστε την εγγραφή SPF εκεί που βρίσκεται πραγματικά το DNS σας.

Βρείτε ένα γεγονός πρώτα: ποιος στέλνει τα email σας;

Το SPF πρέπει να ονομάζει κάθε υπηρεσία που στέλνει αλληλογραφία για τον τομέα σας. Συνηθισμένα παραδείγματα είναι το Google Workspace, το Microsoft 365, ή όποιος πάροχος φιλοξενεί τα γραμματοκιβώτιά σας. Ελέγξτε τις σελίδες βοήθειας του παρόχου αλληλογραφίας σας για την ακριβή τιμή.

Εάν στέλνετε μέσω Amazon SES (η υπηρεσία αποστολής email της Amazon), το SES χρησιμοποιεί διαφορετικό μηχανισμό από προεπιλογή και το SPF για SES είναι προαιρετικό — αλλά εάν έχετε ρυθμίσει προσαρμοσμένο τομέα MAIL FROM στο SES, ακολουθήστε τις ακριβείς οδηγίες SES για αυτό. Το SES είναι ξεχωριστή υπηρεσία από το Route 53· το Route 53 αποθηκεύει μόνο την εγγραφή DNS.

Βήμα προς βήμα στο Route 53

1. Συνδεθείτε στην κονσόλα AWS και ανοίξτε το Route 53.
2. Στο αριστερό μενού, επιλέξτε Hosted zones, κατόπιν κάντε κλικ στο όνομα του τομέα σας.
3. Κάντε κλικ στο Create record.
4. Εάν εμφανιστεί οδηγός με επιλογές routing, μεταβείτε στην απλή φόρμα (αναζητήστε Quick create record) — το SPF δεν χρειάζεται κανένα από τα σύνθετα routing.
5. Αφήστε το πεδίο Record name κενό. Ένα κενό όνομα σημαίνει «ο ίδιος ο τομέας». Η κονσόλα εμφανίζει τον τομέα σας δίπλα στο πεδίο, οπότε δεν τον επαναπληκτρολογείτε.
6. Ορίστε το Record type σε TXT.
7. Στο πεδίο Value, εισαγάγετε το κείμενο SPF περικλεισμένο σε διπλά εισαγωγικά: "v=spf1 include:_spf.google.com ~all" Αντικαταστήστε το τμήμα include: με την/τις τιμή/ές που σας υποδεικνύει ο πάροχος αλληλογραφίας σας. Τα εισαγωγικά που περιβάλλουν την τιμή είναι υποχρεωτικά στο Route 53 — δείτε τα quirks παρακάτω.
8. Αφήστε το TTL στην προεπιλογή (300 δευτερόλεπτα είναι εντάξει).
9. Κάντε κλικ στο Create records.

Συνηθισμένα λάθη στο Route 53

• Οι τιμές TXT πρέπει να είναι σε διπλά εισαγωγικά. Σε αντίθεση με μερικούς host DNS που κάνουν την εισαγωγή μόνοι τους, το Route 53 αναμένει να πληκτρολογήσετε εσείς τα εισαγωγικά. Εισαγάγετε "v=spf1 ... ~all", όχι v=spf1 ... ~all. Η παράλειψη των εισαγωγικών είναι το πιο συνηθισμένο λάθος στο Route 53.
• Αφήστε το Record name κενό για τον root τομέα. Ένα κενό όνομα σημαίνει τον ίδιο τον τομέα. Εάν πληκτρολογήσετε το πλήρες όνομα τομέα στο πεδίο Name, το Route 53 προσαρτά ξανά το zone και καταλήγετε με yourdomain.com.yourdomain.com — μια εγγραφή που δεν ελέγχεται ποτέ.
• Μόνο μία εγγραφή SPF ανά τομέα. Δεν μπορείτε να έχετε δύο εγγραφές TXT με v=spf1 — οι πάροχοι αλληλογραφίας θα το θεωρήσουν σπασμένο. Εάν υπάρχει ήδη εγγραφή TXT στη ρίζα, επεξεργαστείτε την για να προσθέσετε τη νέα υπηρεσία αντί να δημιουργήσετε δεύτερη εγγραφή SPF.
• Σωστό hosted zone, σωστός λογαριασμός. Εάν έχετε πολλά hosted zones (ή πολλούς λογαριασμούς AWS), είναι εύκολο να επεξεργαστείτε το λάθος. Βεβαιωθείτε ότι το zone που επεξεργάζεστε είναι αυτό του οποίου οι τιμές NS ταιριάζουν με τους ενεργούς nameservers σας.
• ~all έναντι -all. Το ~all (softfail) σημαίνει «οτιδήποτε δεν είναι στη λίστα είναι ύποπτο»· το -all (hardfail) σημαίνει «απόρριψη οτιδήποτε δεν είναι στη λίστα». Ξεκινήστε με ~all ενώ επιβεβαιώνετε ότι όλα αποστέλλονται σωστά.
• Οι αλλαγές δεν είναι άμεσες. Οι ενημερώσεις DNS μπορούν να χρειαστούν από λίγα λεπτά έως μερικές ώρες για να διαδοθούν.

Επαληθεύστε ότι λειτούργησε

Αφού αποθηκεύσετε την εγγραφή και δώσετε λίγο χρόνο να τεθεί σε ισχύ, επαληθεύστε την με τον δωρεάν έλεγχο σε αυτό τον ιστότοπο. Θα σας πει με απλά λόγια εάν η εγγραφή SPF υπάρχει και είναι σωστά διαμορφωμένη.

Έγινε; Ελέγξτε το domain σας δωρεάν για να επιβεβαιώσετε ότι λειτούργησε — και δείτε τον πλήρη βαθμό σας σε όλους τους 34 ελέγχους.