Defaults.Exposed › Konfiguracja › SPF

Jak skonfigurować SPF w AWS Route 53

Dodaj rekord SPF w strefie hostowanej Route 53, aby dostawcy poczty potrafili odróżnić Twoje prawdziwe e-maile od podróbek.

Dlaczego to ważne dla Twojej firmy

SPF (Sender Policy Framework) to krótki wpis w DNS Twojej domeny, który wymienia serwery pocztowe uprawnione do wysyłania wiadomości w Twoim imieniu. Gdy ktoś otrzymuje wiadomość rzekomo od Ciebie, jego dostawca poczty sprawdza tę listę. Jeśli serwera wysyłającego na niej nie ma, wiadomość wygląda podejrzanie — i albo trafia do spamu, albo zostaje zablokowana.

Mówiąc prościej: SPF utrudnia podszywanie się pod Twoją firmę pocztą e-mail i pomaga Twoim prawdziwym wiadomościom docierać do skrzynki odbiorczej, a nie do folderu śmieci. To jeden rekord, jest darmowy i zajmuje kilka minut.

Zanim zaczniesz: czy to naprawdę Route 53 obsługuje Twój DNS?

To krok, który większość osób robi źle. Rekord DNS zadziała tylko wtedy, gdy to Route 53 odpowiada na zapytania DNS dotyczące Twojej domeny.

Route 53 jest hostem DNS, a nie dostawcą skrzynek — odpowiada na zapytania DNS, ale nie prowadzi Twoich skrzynek pocztowych. Liczą się tu dwie rzeczy:

• Strefa hostowana musi być tą aktywną. W konsoli Route 53 otwórz Hosted zones i wybierz swoją domenę. Zanotuj cztery wartości NS (serwerów nazw) pokazane dla tej strefy.
• Serwery nazw Twojej domeny muszą wskazywać na te wartości. Jeśli zarejestrowałeś domenę przez Route 53 (w sekcji Registered domains), zwykle jest to już ze sobą zgrane. Ale jeśli rejestrowałeś ją gdzie indziej lub masz więcej niż jedną strefę hostowaną dla tej samej domeny, aktywne serwery nazw mogą wskazywać zupełnie gdzie indziej — i wszystko, co tu dodasz, nic nie da. Sprawdź serwery nazw u swojego rejestratora i upewnij się, że odpowiadają czterem wartościom NS w tej strefie hostowanej. Jeśli się nie zgadzają, dodaj rekord SPF tam, gdzie naprawdę mieszka Twój DNS.

Najpierw ustal jedno: kto wysyła Twoją pocztę?

SPF musi wymieniać każdą usługę wysyłającą pocztę dla Twojej domeny. Typowe przykłady to Google Workspace, Microsoft 365 lub jakikolwiek dostawca hostujący Twoje skrzynki. Każdy z nich publikuje wartość, którą należy umieścić w rekordzie SPF (często coś w rodzaju include:_spf.google.com dla Google lub include:spf.protection.outlook.com dla Microsoft 365). Dokładną wartość sprawdź na stronach pomocy swojego dostawcy poczty — to ta część, którą musisz wpisać bezbłędnie.

Jeśli wysyłasz przez Amazon SES (własną usługę Amazona do wysyłki poczty), SES domyślnie korzysta z innego mechanizmu i SPF dla SES jest opcjonalny — ale jeśli skonfigurowałeś w SES własną domenę MAIL FROM, postępuj dokładnie według instrukcji SES dla tego przypadku. SES to usługa odrębna od Route 53; Route 53 jedynie przechowuje rekord DNS.

Krok po kroku w Route 53

1. Zaloguj się do konsoli AWS i otwórz Route 53.
2. W menu po lewej wybierz Hosted zones, a następnie kliknij nazwę swojej domeny.
3. Kliknij Create record.
4. Jeśli widzisz kreatora z opcjami zasad routingu, przełącz się na prosty formularz (szukaj Quick create record) — SPF nie potrzebuje żadnego z zaawansowanych routingów.
5. Pozostaw pole Record name puste. Pusta nazwa oznacza „samą domenę”. Konsola pokazuje Twoją domenę obok tego pola, więc nie musisz jej przepisywać.
6. Ustaw Record type na TXT.
7. W polu Value wpisz tekst SPF ujęty w cudzysłowy: "v=spf1 include:_spf.google.com ~all" Część include: zastąp wartością (lub wartościami) wskazaną przez Twojego faktycznego dostawcę poczty. Otaczające cudzysłowy są w Route 53 wymagane — zobacz pułapki poniżej.
8. Pozostaw TTL na wartości domyślnej (300 sekund jest w porządku).
9. Kliknij Create records.

Pułapki Route 53, w które ludzie wpadają

• Wartości TXT muszą być w cudzysłowach. W odróżnieniu od niektórych hostów DNS, które cytują wartość za Ciebie, Route 53 oczekuje, że cudzysłowy wpiszesz sam. Wpisz "v=spf1 ... ~all", a nie v=spf1 ... ~all. Pominięcie cudzysłowów to zdecydowanie najczęstszy błąd w Route 53.
• Dla domeny głównej zostaw pole Record name puste. Pusta nazwa oznacza samą domenę. Jeśli wpiszesz pełną nazwę domeny w polu Name, Route 53 doklei strefę jeszcze raz i otrzymasz twojadomena.com.twojadomena.com — rekord, który nigdy nie zostanie sprawdzony.
• Tylko jeden rekord SPF na domenę. Nie możesz mieć dwóch rekordów TXT v=spf1 — dostawcy poczty potraktują to jako błąd. Jeśli rekord TXT już istnieje w korzeniu, edytuj go, aby dopisać nową usługę, zamiast tworzyć drugi rekord SPF.
• Właściwa strefa hostowana, właściwe konto. Jeśli masz kilka stref hostowanych (lub kilka kont AWS), łatwo edytować niewłaściwą. Upewnij się, że strefa, którą edytujesz, to ta, której wartości NS odpowiadają Twoim aktywnym serwerom nazw.
• ~all kontra -all. ~all (softfail) oznacza „wszystko, czego nie ma na liście, jest podejrzane”; -all (hardfail) oznacza „odrzuć wszystko, czego nie ma na liście”. Zacznij od ~all, dopóki upewniasz się, że wszystko wysyła się poprawnie, a potem zaostrz do -all, gdy masz pewność, że lista jest kompletna.
• Zmiany nie są natychmiastowe. Aktualizacja DNS może potrwać od kilku minut do nawet kilku godzin.

Sprawdź, czy zadziałało

Gdy zapiszesz rekord i dasz mu chwilę na zadziałanie, zweryfikuj go darmowym testem na tej stronie. Otrzymasz prostą informację, czy rekord SPF istnieje i jest poprawnie zbudowany.

Gotowe? Sprawdź swoją domenę za darmo aby potwierdzić, że zadziałało — i zobaczyć pełną ocenę we wszystkich 34 kontrolach.