Defaults.Exposed › Oppsett › SPF

Slik setter du opp SPF på AWS Route 53

Legg til en SPF-post i Route 53-sonen din slik at e-postleverandører kan skille ekte e-post fra forfalskninger.

Hvorfor dette betyr noe for bedriften din

SPF (Sender Policy Framework) er en kort merknad i domenets DNS som lister opp hvilke e-postservere som har lov til å sende e-post i ditt navn. Når noen mottar en melding som hevder å være fra deg, sjekker mottakerens e-postleverandør den listen. Er ikke sendende server på listen, ser meldingen mistenkelig ut — og havner enten i spam eller blir blokkert.

Enkelt sagt: SPF gjør det vanskeligere for andre å utgi seg for å være bedriften din på e-post, og det hjelper ekte e-post å nå innboksen i stedet for søppelpostmappen. Det er én post, det er gratis, og det tar noen minutter.

Før du starter: kjører Route 53 faktisk DNS-en din?

Dette er steget de fleste tar feil. En DNS-post fungerer bare dersom Route 53 er den som svarer på DNS-spørsmål for domenet ditt.

Route 53 er en DNS-vert, ikke en e-postleverandør — den svarer på DNS, men kjører ikke innboksene dine. To ting er viktige her:

• Den hostede sonen må være den aktive. I Route 53-konsollen åpner du Hosted zones og velger domenet. Merk de fire NS (navneserver) verdiene som vises for den sonen.
• Domenets navneservere må peke til disse verdiene. Registrerte du domenet via Route 53 (under Registered domains), er dette vanligvis allerede i orden. Men registrerte du det et annet sted, eller du har mer enn én hosted zone for samme domene, kan de aktive navneserverne peke et helt annet sted — og alt du legger til her gjør ingenting. Sjekk navneserverne hos registraren og forsikre deg om at de samsvarer med de fire NS-verdiene i denne hosted zone. Gjør de det ikke, legg til SPF-posten der DNS-en din faktisk bor i stedet.

Finn én ting først: hvem sender e-posten din?

SPF må navngi alle tjenester som sender e-post for domenet ditt. Vanlige eksempler er Google Workspace, Microsoft 365 eller det som er e-postleverandøren din. Hver av dem publiserer en verdi du skal sette inn i SPF-posten (ofte noe som include:_spf.google.com for Google eller include:spf.protection.outlook.com for Microsoft 365). Sjekk e-postleverandørens egne hjelpesider for den nøyaktige verdien — det er den delen du må ha riktig.

Sender du via Amazon SES (Amazons egne e-postsendingstjeneste), bruker SES som standard en annen mekanisme, og SPF for SES er valgfritt — men har du konfigurert et egendefinert MAIL FROM-domene i SES, følg SES’ egne instruksjoner for det. SES er en separat tjeneste fra Route 53; Route 53 lagrer bare DNS-posten.

Steg for steg på Route 53

1. Logg inn på AWS-konsollen og åpne Route 53.
2. I venstremenyen, velg Hosted zones, og klikk deretter domenenavnet.
3. Klikk Create record.
4. Ser du en veiviser med rutingspolicy-valg, bytt til det enkle skjemaet (se etter Quick create record) — SPF trenger ingen avansert ruting.
5. La feltet Record name stå tomt. Et tomt navn betyr «selve domenet». Konsollen viser domenet ved siden av feltet, så du trenger ikke å skrive det inn.
6. Sett Record type til TXT.
7. I feltet Value, skriv inn SPF-teksten pakket inn i doble anførselstegn: "v=spf1 include:_spf.google.com ~all" Bytt ut include:-delen med verdien(e) den faktiske e-postleverandøren din oppgir. De omsluttende anførselstegnene er påkrevd i Route 53 — se fellene nedenfor.
8. La TTL stå på standard (300 sekunder er greit).
9. Klikk Create records.

Route 53-feller folk går i

• TXT-verdier må stå i doble anførselstegn. I motsetning til noen DNS-verter som setter anførselstegn for deg, forventer Route 53 at du skriver dem selv. Skriv inn "v=spf1 ... ~all", ikke v=spf1 ... ~all. Å utelate anførselstegnene er den desidert vanligste Route 53-feilen.
• La Record name stå tomt for rotdomenet. Et tomt navn betyr selve domenet. Skriver du hele domenenavnet i Navn-feltet, legger Route 53 til sonen igjen og du ender opp med dittdomene.com.dittdomene.com — en post som aldri sjekkes.
• Bare én SPF-post per domene. Du kan ikke ha to v=spf1-TXT-poster — e-postleverandører vil behandle det som ødelagt. Finnes det allerede en TXT-post på roten, rediger den for å legge til den nye tjenesten i stedet for å opprette en ny SPF-post.
• Riktig hosted zone, riktig konto. Har du flere hosted zones (eller flere AWS-kontoer), er det lett å redigere feil. Forsikre deg om at sonen du redigerer er den hvis NS-verdier samsvarer med de aktive navneserverne.
• ~all kontra -all. ~all (mykt avslag) betyr «alt som ikke er listet er mistenkelig»; -all (hardt avslag) betyr «avvis alt som ikke er listet». Start med ~all mens du bekrefter at alt sendes riktig, og stram deretter til -all når du er sikker på at listen er komplett.
• Endringer er ikke umiddelbare. DNS-oppdateringer kan ta fra noen minutter til et par timer å spre seg.

Bekreft at det fungerte

Når du har lagret posten og gitt det litt tid til å tre i kraft, verifiser med den gratis sjekken på dette nettstedet. Den vil fortelle deg på klart språk om SPF-posten er til stede og riktig utformet.

Ferdig? Sjekk domenet ditt gratis for å bekrefte at det virket — og se hele karakteren din på tvers av alle 34 sjekker.