Defaults.Exposed › הגדרה › SPF

כיצד להגדיר SPF ב-AWS Route 53

הוסף רשומת SPF ב-hosted zone של Route 53 כדי שספקי תיבות הדואר יוכלו להבחין בין הדוא"ל האמיתי שלך לבין זיופים.

מדוע זה חשוב לעסק שלך

SPF (Sender Policy Framework) הוא הערה קצרה ב-DNS של הדומיין שלך המפרטת אילו שרתי דוא”ל מורשים לשלוח הודעות בשמך. כאשר מישהו מקבל הודעה הטוענת שהיא ממך, ספק הדואר שלהם בודק רשימה זו. אם שרת השליחה אינו מופיע בה, ההודעה נראית חשודה — ועלולה להגיע לספאם או להיחסם.

במילים פשוטות: SPF מקשה על התחזות לעסק שלך בדוא”ל, ומסייע לדוא”ל האמיתי שלך להגיע לתיבת הדואר הנכנס במקום לתיקיית הזבל. זוהי רשומה אחת, חינמית, ואורכת כמה דקות.

לפני שמתחילים: האם Route 53 אכן מנהל את ה-DNS שלך?

זהו השלב שבו רוב האנשים טועים. רשומת DNS פועלת רק אם Route 53 הוא זה שעונה על שאלות DNS עבור הדומיין שלך.

Route 53 הוא מארח DNS, לא ספק תיבות דואר — הוא עונה על שאילתות DNS אך אינו מפעיל את תיבות הדואר שלך. שני דברים חשובים כאן:

• ה-hosted zone חייב להיות הפעיל. במסוף Route 53, פתח את Hosted zones ובחר את הדומיין שלך. שים לב לארבעת ערכי ה-NS (שרתי שמות) המוצגים עבור אותו zone.
• שרתי השמות של הדומיין שלך חייבים להצביע לאותם ערכים. אם רשמת את הדומיין דרך Route 53 (תחת Registered domains), בדרך כלל זה כבר מסונכרן. אך אם רשמת אותו במקום אחר, או שיש לך יותר מ-hosted zone אחד לאותו דומיין, שרתי השמות הפעילים עלולים להצביע למקום אחר לחלוטין — וכל מה שתוסיף כאן לא יועיל. בדוק את שרתי השמות אצל הרשם שלך וודא שהם תואמים לארבעת ערכי ה-NS ב-hosted zone הזה. אם לא, הוסף את רשומת ה-SPF במקום שבו ה-DNS שלך אכן נמצא.

גלה עובדה אחת תחילה: מי שולח את הדוא”ל שלך?

SPF חייב לציין כל שירות שולח דוא”ל עבור הדומיין שלך. דוגמאות נפוצות הן Google Workspace, Microsoft 365, או כל ספק אחר שמארח את תיבות הדואר שלך. כל אחד מפרסם ערך להכנסה לרשומת ה-SPF שלך (לרוב משהו כמו include:_spf.google.com עבור Google או include:spf.protection.outlook.com עבור Microsoft 365). בדוק בדפי העזרה של ספק הדואר שלך את הערך המדויק — זה החלק שחייב להיות נכון.

אם אתה שולח דרך Amazon SES (שירות שליחת הדוא”ל של Amazon), SES משתמש כברירת מחדל במנגנון שונה ו-SPF עבור SES הוא אופציונלי — אך אם הגדרת דומיין MAIL FROM מותאם אישית ב-SES, עקוב אחרי הוראות ה-SES המדויקות לכך. SES הוא שירות נפרד מ-Route 53; Route 53 רק מאחסן את רשומת ה-DNS.

שלב אחר שלב ב-Route 53

1. היכנס למסוף AWS ופתח את Route 53.
2. בתפריט השמאלי, בחר Hosted zones, ולאחר מכן לחץ על שם הדומיין שלך.
3. לחץ על Create record.
4. אם מוצג אשף עם אפשרויות routing, עבור לטופס הפשוט (חפש Quick create record) — SPF לא צריך את ה-routing המתקדם.
5. השאר את שדה Record name ריק. שם ריק פירושו “הדומיין עצמו”. המסוף מציג את הדומיין שלך ליד השדה, כך שלא צריך להקלידו מחדש.
6. הגדר את Record type ל-TXT.
7. בשדה Value, הכנס את טקסט ה-SPF שלך עטוף במרכאות כפולות: "v=spf1 include:_spf.google.com ~all" החלף את חלק ה-include: בערך/ים שספק הדוא”ל האמיתי שלך הורה לך להשתמש בהם. המרכאות הסובבות נדרשות ב-Route 53 — ראה את הטעויות הנפוצות למטה.
8. השאר את TTL בברירת המחדל (300 שניות זה בסדר).
9. לחץ על Create records.

טעויות נפוצות ב-Route 53

• ערכי TXT חייבים להיות במרכאות כפולות. בשונה ממארחי DNS אחרים שמוסיפים את המרכאות עבורך, Route 53 מצפה שתכתוב אותן בעצמך. הכנס "v=spf1 ... ~all", לא v=spf1 ... ~all. השמטת המרכאות היא הטעות הנפוצה ביותר ב-Route 53.
• השאר את Record name ריק עבור הדומיין הראשי. שם ריק פירושו הדומיין עצמו. אם תכתוב את שם הדומיין המלא בשדה Name, Route 53 יוסיף את ה-zone מחדש ותקבל yourdomain.com.yourdomain.com — רשומה שלעולם לא נבדקת.
• רשומת SPF אחת בלבד לכל דומיין. לא יכולות להיות שתי רשומות TXT של v=spf1 — ספקי דואר יתייחסו לזה כשגוי. אם רשומת TXT כבר קיימת בשורש, ערוך אותה כדי להוסיף את השירות החדש במקום ליצור רשומת SPF שנייה.
• ה-hosted zone הנכון, החשבון הנכון. אם יש לך כמה hosted zones (או כמה חשבונות AWS), קל לערוך את הלא נכון. ודא שה-zone שאתה עורך הוא זה שערכי ה-NS שלו תואמים לשרתי השמות הפעילים שלך.
• ~all לעומת -all. ~all (softfail) פירושו “כל דבר שאינו ברשימה הוא חשוד”; -all (hardfail) פירושו “דחה כל דבר שאינו ברשימה”. התחל עם ~all בזמן שאתה מאשר שהכל נשלח כהלכה, ואז הדק ל--all ברגע שאתה בטוח שהרשימה שלך מלאה.
• שינויים אינם מיידיים. עדכוני DNS יכולים לקחת מכמה דקות עד כמה שעות להתפשט.

אמת שזה עבד

לאחר שמירת הרשומה ומתן זמן מה להיכנס לתוקף, אמת אותה עם הבדיקה החינמית באתר זה. השירות יאמר לך בשפה ברורה אם רשומת ה-SPF שלך קיימת ומוגדרת נכון.

סיימתם? בדקו את הדומיין שלכם בחינם כדי לאשר שזה עבד — וראו את הציון המלא שלכם על פני כל 34 הבדיקות.