Defaults.Exposed › Persediaan › SPF

Cara menyediakan SPF di AWS Route 53

Tambah rekod SPF dalam zon hos Route 53 anda supaya pembekal peti mel boleh membezakan e-mel tulen anda daripada pemalsuan.

Mengapa ini penting untuk perniagaan anda

SPF (Sender Policy Framework) ialah nota ringkas dalam DNS domain anda yang menyenaraikan pelayan mel yang dibenarkan menghantar e-mel menggunakan nama anda. Apabila seseorang menerima mesej yang mendakwa datang dari anda, pembekal mel mereka menyemak senarai tersebut. Jika pelayan penghantar tidak tersenarai, mesej itu kelihatan mencurigakan — dan sama ada tersasar ke spam atau disekat.

Dalam bahasa mudah: SPF menyukarkan seseorang untuk menyamar sebagai perniagaan anda melalui e-mel, dan ia membantu e-mel tulen anda sampai ke peti masuk dan bukannya folder sampah. Ini hanya satu rekod, percuma, dan mengambil masa beberapa minit.

Sebelum bermula: adakah Route 53 benar-benar mengendalikan DNS anda?

Inilah langkah yang paling kerap tersilap. Rekod DNS hanya berfungsi jika Route 53 adalah yang menjawab pertanyaan DNS untuk domain anda.

Route 53 adalah hos DNS, bukan pembekal peti mel — ia menjawab DNS tetapi tidak menjalankan peti masuk anda. Dua perkara penting di sini:

• Zon hos mesti zon yang aktif. Dalam konsol Route 53, buka Hosted zones dan pilih domain anda. Perhatikan empat nilai NS (nameserver) yang ditunjukkan untuk zon tersebut.
• Nameserver domain anda mesti menghala ke nilai-nilai tersebut. Jika anda mendaftarkan domain melalui Route 53 (di bawah Registered domains), ini biasanya sudah selaras. Tetapi jika anda mendaftarkannya di tempat lain, atau anda mempunyai lebih daripada satu zon hos untuk domain yang sama, nameserver aktif mungkin menghala ke tempat lain sepenuhnya — dan apa sahaja yang anda tambah di sini tidak akan memberi kesan. Semak nameserver di pendaftar anda dan pastikan ia sepadan dengan empat nilai NS dalam zon hos ini. Jika tidak sepadan, tambah rekod SPF di mana DNS anda sebenarnya berada.

Ketahui satu fakta dahulu: siapa yang menghantar e-mel anda?

SPF mesti menamakan setiap perkhidmatan yang menghantar mel bagi pihak domain anda. Contoh biasa ialah Google Workspace, Microsoft 365, atau pembekal yang mengehoskan peti mel anda. Setiap satu menerbitkan nilai untuk dimasukkan dalam rekod SPF anda (selalunya seperti include:_spf.google.com untuk Google atau include:spf.protection.outlook.com untuk Microsoft 365). Semak halaman bantuan pembekal mel anda untuk nilai tepat — itulah bahagian yang perlu anda betulkan.

Jika anda menghantar melalui Amazon SES (perkhidmatan penghantar e-mel Amazon sendiri), SES menggunakan mekanisme berbeza secara lalai dan SPF untuk SES adalah pilihan — tetapi jika anda telah menyediakan domain MAIL FROM tersuai dalam SES, ikut arahan SES yang tepat untuk itu. SES adalah perkhidmatan berasingan dari Route 53; Route 53 hanya menyimpan rekod DNS.

Langkah demi langkah di Route 53

1. Log masuk ke konsol AWS dan buka Route 53.
2. Dalam menu sebelah kiri, pilih Hosted zones, kemudian klik nama domain anda.
3. Klik Create record.
4. Jika anda melihat wizard dengan pilihan polisi penghalaan, tukar ke borang ringkas (cari Quick create record) — SPF tidak memerlukan mana-mana penghalaan lanjutan.
5. Biarkan medan Record name kosong. Nama kosong bermaksud “domain itu sendiri”. Konsol menunjukkan domain anda di sebelah medan, jadi anda tidak perlu menaip semula.
6. Tetapkan Record type kepada TXT.
7. Dalam medan Value, masukkan teks SPF anda dibalut dalam tanda petikan berganda: "v=spf1 include:_spf.google.com ~all" Gantikan bahagian include: dengan nilai yang diberikan oleh pembekal mel sebenar anda. Tanda petikan sekeliling adalah diperlukan dalam Route 53 — lihat kesilapan lazim di bawah.
8. Biarkan TTL pada nilai lalai (300 saat sudah mencukupi).
9. Klik Create records.

Kesilapan lazim pengguna Route 53

• Nilai TXT mesti dalam tanda petikan berganda. Tidak seperti sesetengah hos DNS yang menambah tanda petikan untuk anda, Route 53 mengharapkan anda menaip tanda petikan sendiri. Masukkan "v=spf1 ... ~all", bukan v=spf1 ... ~all. Meninggalkan tanda petikan adalah kesilapan Route 53 yang paling biasa.
• Biarkan Record name kosong untuk domain akar. Nama kosong bermaksud domain itu sendiri. Jika anda menaip nama domain penuh dalam medan Name, Route 53 menambah zon lagi dan anda berakhir dengan yourdomain.com.yourdomain.com — satu rekod yang tidak pernah disemak.
• Hanya satu rekod SPF bagi setiap domain. Anda tidak boleh mempunyai dua rekod TXT v=spf1 — pembekal mel akan menganggapnya rosak. Jika rekod TXT sudah ada di akar, edit rekod itu untuk menambah perkhidmatan baru dan jangan buat rekod SPF kedua.
• Zon hos yang betul, akaun yang betul. Jika anda mempunyai beberapa zon hos (atau beberapa akaun AWS), mudah untuk mengedit zon yang salah. Pastikan zon yang anda edit adalah zon yang nilai NS-nya sepadan dengan nameserver aktif anda.
• ~all berbanding -all. ~all (softfail) bermaksud “apa sahaja yang tidak tersenarai adalah mencurigakan”; -all (hardfail) bermaksud “tolak apa sahaja yang tidak tersenarai”. Mulakan dengan ~all semasa anda mengesahkan semua penghantaran berfungsi, kemudian ketatkan kepada -all setelah anda pasti senarai anda lengkap.
• Perubahan tidak serta-merta. Kemas kini DNS boleh mengambil masa dari beberapa minit hingga beberapa jam untuk tersebar.

Sahkan ia berjaya

Setelah anda menyimpan rekod dan memberinya sedikit masa untuk berkuat kuasa, sahkan dengan semakan percuma di laman ini. Ia akan memberitahu anda dalam bahasa mudah sama ada rekod SPF anda ada dan terbentuk dengan betul.

Sudah selesai? Semak domain anda secara percuma untuk mengesahkan ia berjaya — dan lihat gred penuh anda merentasi kesemua 34 semakan.