Defaults.Exposed › Diegimas › SPF

Kaip sukonfigūruoti SPF įraše AWS Route 53

Pridėkite SPF įrašą savo Route 53 prieglobos zonoje, kad pašto paslaugų teikėjai galėtų atskirti tikruosius jūsų el. laiškus nuo suklastotų.

Kodėl tai svarbu jūsų verslui

SPF (Sender Policy Framework) — tai trumpas įrašas jūsų domeno DNS, kuriame nurodyti pašto serveriai, turintys teisę siųsti el. laiškus jūsų vardu. Kai kas nors gauna laišką, apsimetantį jūsų vardu, jo pašto teikėjas patikrina tą sąrašą. Jei siuntimo serverio nėra sąraše, laiškas atrodo įtartinas — patenka į šiukšliadėžę arba blokuojamas.

Paprasčiau tariant: SPF apsunkina jūsų verslo apsimetimą el. paštu ir padeda tikriems laiškams pasiekti gavėjo pašto dėžutę, o ne šiukšliadėžę. Tai vienas įrašas, nemokamas ir užtrunka kelias minutes.

Prieš pradedant: ar Route 53 iš tikrųjų valdo jūsų DNS?

Tai žingsnis, kuriame dauguma žmonių klysta. DNS įrašas veikia tik tada, kai Route 53 atsako į DNS užklausas jūsų domeno vardu.

Route 53 yra DNS prieglobos teikėjas, ne pašto dėžučių teikėjas — jis atsako į DNS, bet nevaldo jūsų pašto dėžučių. Du dalykai yra svarbūs:

• Prieglobos zona turi būti aktyvi. Route 53 konsolėje atidarykite Hosted zones ir pasirinkite savo domeną. Atkreipkite dėmesį į keturias NS (vardų serveriai) reikšmes, rodomas tai zonai.
• Jūsų domeno vardų serveriai turi nurodyti į tas reikšmes. Jei domeną registravote per Route 53 (skirtuke Registered domains), tai paprastai jau suderinta. Tačiau jei registravote kitur arba turite daugiau nei vieną prieglobos zoną tam pačiam domenui — aktyvūs vardų serveriai gali nurodyti visai kitur, ir bet ką pridėjęs čia neturės jokio poveikio. Patikrinkite vardų serverius savo registratoriuje ir įsitikinkite, kad jie sutampa su keturiomis NS reikšmėmis šioje prieglobos zonoje. Jei ne — pridėkite SPF ten, kur DNS iš tikrųjų gyvena.

Pirmiausia sužinokite: kas siunčia jūsų el. laiškus?

SPF privalo nurodyti kiekvieną paslaugą, siunčiančią laiškus jūsų domeno vardu. Dažni pavyzdžiai: Google Workspace, Microsoft 365 arba bet kuris kitas jūsų pašto teikėjas. Kiekvienas skelbia reikšmę, kurią reikia įdėti į SPF įrašą (pvz., include:_spf.google.com Google atveju arba include:spf.protection.outlook.com Microsoft 365 atveju). Tikslią reikšmę rasite savo pašto teikėjo pagalbos puslapiuose.

Jei siunčiate per Amazon SES (Amazon el. pašto siuntimo paslauga) — SES pagal numatytuosius nustatymus naudoja kitokį mechanizmą, o SPF SES atveju yra neprivalomas. Tačiau jei SES sukonfigūravote pasirinktinį MAIL FROM domeną, vykdykite tikslias SES instrukcijas. SES yra atskira paslauga nuo Route 53; Route 53 tik saugo DNS įrašą.

Žingsnis po žingsnio Route 53

1. Prisijunkite prie AWS konsolės ir atidarykite Route 53.
2. Kairiajame meniu pasirinkite Hosted zones, tada spustelėkite savo domeno pavadinimą.
3. Spustelėkite Create record.
4. Jei matote vedlį su maršruto politikos pasirinkimais — perjunkite į paprastą formą (ieškokite Quick create record) — SPF nereikia jokio išplėstinio maršruto.
5. Palikite lauką Record name tuščią. Tuščias pavadinimas reiškia „pats domenas”. Konsolė rodo jūsų domeną šalia lauko, todėl jo nekartokite.
6. Nustatykite Record type į TXT.
7. Lauke Value įveskite SPF tekstą dvigubose kabutėse: "v=spf1 include:_spf.google.com ~all" Pakeiskite include: dalį reikšme (-ėmis), kurią nurodo jūsų tikrasis pašto teikėjas. Route 53 reikalauja apgaubiančių kabučių — žr. klaidas žemiau.
8. Palikite TTL numatytąją reikšmę (300 sekundžių tinka).
9. Spustelėkite Create records.

Route 53 klaidos, kurių dažnai vengiama

• TXT reikšmės turi būti dvigubose kabutėse. Skirtingai nuo kai kurių DNS prieglobos teikėjų, kurie pateikia kabutes už jus — Route 53 tikisi, kad kabutes įvesite pats. Įveskite "v=spf1 ... ~all", ne v=spf1 ... ~all. Kabučių praleidimas yra dažniausia Route 53 klaida.
• Palikite Record name tuščią šakniniam domenui. Tuščias pavadinimas reiškia domeną. Jei lauke Name įvesite pilną domeno pavadinimą — Route 53 pridės zoną dar kartą ir gausite yourdomain.com.yourdomain.com — įrašą, kuris niekada nebus tikrinamas.
• Tik vienas SPF įrašas per domeną. Negalima turėti dviejų v=spf1 TXT įrašų — pašto teikėjai tai laikys klaida. Jei šakniniam domenui jau yra TXT įrašas — redaguokite jį ir pridėkite naują paslaugą.
• Teisinga prieglobos zona, teisinga paskyra. Jei turite kelias prieglobos zonas (ar kelias AWS paskyras), lengva redaguoti netinkamą. Įsitikinkite, kad redaguojamos zonos NS reikšmės sutampa su jūsų aktyviais vardų serveriais.
• ~all ir -all. ~all (softfail) reiškia „viskas, ko nėra sąraše, atrodo įtartina”; -all (hardfail) reiškia „atmesti viską, ko nėra sąraše”. Pradėkite nuo ~all, tada pereikite prie -all.
• Pakeitimai neįsigalioja akimirksniu. DNS atnaujinimas gali užtrukti nuo kelių minučių iki kelių valandų.

Patikrinkite, ar veikia

Išsaugoję įrašą ir palaukę šiek tiek, kol jis įsigalios, patikrinkite jį nemokamu patikrinimu šioje svetainėje. Gausite aiškų atsakymą, ar jūsų SPF įrašas yra ir teisingai suformuotas.

Atlikta? Patikrinkite savo domeną nemokamai kad patvirtintumėte, jog veikia — ir pamatytumėte pilną įvertinimą pagal visus 34 kriterijus.