Defaults.Exposed › Beállítás › SPF

SPF beállítása AWS Route 53-on

Adj hozzá SPF-rekordot a Route 53 hosztolt zónájában, hogy a levelezőszolgáltatók meg tudják különböztetni a valódi e-mailjeidet a hamisítványoktól.

Miért fontos ez a vállalkozásod számára?

Az SPF (Sender Policy Framework) egy rövid bejegyzés a domain DNS-ében: felsorolja, melyik levelezőszerverek küldhetnek e-mailt a nevedben. Amikor valaki kap egy tőled állítólag érkező üzenetet, a levelezőszolgáltatója ellenőrzi ezt a listát. Ha a küldő szerver nem szerepel rajta, az üzenet gyanúsnak minősül — és vagy a spam-mappába kerül, vagy teljesen blokkolják.

Egyszerűen fogalmazva: az SPF megnehezíti, hogy valaki e-mailben kiadja magát vállalkozásodnak, és segít, hogy a valódi e-mailjeid a beérkező levelek közé kerüljenek a kuka helyett. Egyetlen rekord, ingyenes, és néhány perc alatt beállítható.

Mielőtt elkezded: valóban a Route 53 kezeli a DNS-edet?

Ezen akad fel a legtöbb ember. A DNS-rekord csak akkor működik, ha a Route 53 válaszolja meg a domainedre vonatkozó DNS-kérdéseket.

A Route 53 DNS-gazda, nem postafiók-szolgáltató — DNS-kérdésekre válaszol, de nem kezeli a postafiókjaidat. Két dologra kell figyelni:

• A hosztolt zónának az élőnek kell lennie. A Route 53 konzolon nyisd meg a Hosztolt zónákat, és válaszd ki a domained. Jegyezd meg a zónában szereplő négy NS (névszerver) értéket.
• A domain névszervereinek ezekre az értékekre kell mutatniuk. Ha a domaint a Route 53-on regisztráltad (Regisztrált domainek), ez általában már be van állítva. De ha máshol regisztráltad, vagy ugyanarra a domainre több hosztolt zóna is létezik, az élő névszerverek esetleg máshova mutatnak — és a Route 53-ban felvett rekordnak nincs hatása. Ellenőrizd a registrátornál a névszervereket, és győződj meg arról, hogy megegyeznek a zóna négy NS-értékével. Ha nem, az SPF-rekordot oda add hozzá, ahol a DNS valójában él.

Tudj meg egy fontos dolgot előre: ki küldi az e-mailjeidet?

Az SPF-ben fel kell sorolni minden olyan szolgáltatást, amely a domainedről küld levelet. Jellemző példák: Google Workspace, Microsoft 365, vagy az a szolgáltató, ahol a postafiókjaid vannak. Mindegyik közzéteszi az SPF-rekordba kerülő értéket (általában valami olyasmi, mint include:_spf.google.com a Google-nél, vagy include:spf.protection.outlook.com a Microsoft 365-nél). A pontos értéket a levelezőszolgáltatód súgójából nézd ki — ezt kell pontosan beillesztened.

Ha az Amazon SES-t használod (az Amazon saját e-mail-küldési szolgáltatása), az SES alapértelmezés szerint eltérő mechanizmust alkalmaz, és az SPF az SES-hez opcionális — de ha egyéni MAIL FROM domaint állítottál be az SES-ben, kövesd pontosan az SES utasításait. Az SES és a Route 53 külön szolgáltatások; a Route 53 csak a DNS-rekordot tárolja.

Lépések a Route 53-on

1. Jelentkezz be az AWS konzolra, és nyisd meg a Route 53-at.
2. A bal oldali menüben válaszd a Hosztolt zónákat, majd kattints a domained nevére.
3. Kattints a Rekord létrehozása gombra.
4. Ha egy útválasztási beállításokat tartalmazó varázsló jelenik meg, váltj az egyszerű képernyőre (Gyors rekordlétrehozás) — az SPF-hez nincs szükség speciális útválasztásra.
5. A Rekord neve mezőt hagyd üresen. Az üres név azt jelenti: „maga a domain”. A konzol a mező mellett megmutatja a domainedet, tehát nem kell beírni.
6. A Rekord típusa legyen TXT.
7. Az Érték mezőbe írd be az SPF-szöveget dupla idézőjelbe zárva: "v=spf1 include:_spf.google.com ~all" Az include: részt cseréld le a tényleges levelezőszolgáltatód által megadott értékre. A Route 53-ban az idézőjelek kötelezőek — ld. az alábbiakat.
8. A TTL értékét hagyd az alapértelmezetten (300 másodperc megfelel).
9. Kattints a Rekordok létrehozása gombra.

Route 53-sajátosságok, amelyeken sokan fennakadnak

• A TXT-értékeket dupla idézőjelbe kell zárni. Más DNS-gazdákkal ellentétben, amelyek maguk adják hozzá az idézőjeleket, a Route 53 elvárja, hogy saját magad írd be. Írd be: "v=spf1 ... ~all", ne így: v=spf1 ... ~all. Az idézőjelek elhagyása a leggyakoribb Route 53-hiba.
• A gyökér-domainhez hagyd üresen a Rekord neve mezőt. Az üres név a domain magát jelenti. Ha beírod a teljes domainnevet a Név mezőbe, a Route 53 újra hozzáfűzi a zóna nevét, és sajatdomain.com.sajatdomain.com rekord keletkezik — amely soha nem kerül ellenőrzésre.
• Domainenként csak egy SPF-rekord legyen. Két v=spf1 TXT-rekord nem lehet — a levelezőszolgáltatók töröttre tekintik. Ha már létezik TXT-rekord a gyökéren, szerkeszd azt, és add hozzá az új szolgáltatást, ne hozz létre második SPF-rekordot.
• Megfelelő hosztolt zóna, megfelelő fiók. Ha több hosztolt zónád (vagy több AWS-fiókod) van, könnyen a rosszat szerkeszted meg. Győződj meg arról, hogy a szerkesztett zóna NS-értékei megegyeznek az élő névszerverekkel.
• ~all versus -all. A ~all (softfail) azt jelenti: „ami nem szerepel a listán, az gyanús”; a -all (hardfail) azt jelenti: „a listán nem szereplő feladótól érkező e-mailt el kell utasítani.” Kezdd ~all-lal, amíg meggyőződsz arról, hogy minden küldőd szerepel a listán, majd szigorítsd -all-ra.
• A változtatások nem azonnal érvényesülnek. A DNS-frissítés néhány perctől pár óráig tarthat.

Ellenőrizd, hogy működik-e

A rekord mentése és egy kis várakozás után ellenőrizd az oldalon elérhető ingyenes eszközzel. Egyértelmű nyelven megmondja, hogy az SPF-rekordod megvan-e és helyesen van-e formázva.

Kész? Ellenőrizd a domainjedet ingyen hogy megbizonyosodj róla, hogy működött — és lásd teljes értékelésed mind a 34 ellenőrzésen.