Defaults.Exposed › Настройка › SPF

Как настроить SPF в AWS Route 53

Добавьте SPF-запись в hosted zone на Route 53, чтобы почтовые провайдеры могли отличить ваши настоящие письма от подделок.

Почему это важно для вашего бизнеса

SPF (Sender Policy Framework, политика отправителя) — это короткая запись в DNS вашего домена, которая перечисляет, каким почтовым серверам разрешено отправлять письма от вашего имени. Когда кто-то получает сообщение, якобы от вас, его почтовый провайдер сверяется с этим списком. Если отправляющего сервера в нём нет, письмо выглядит подозрительно — и либо попадает в спам, либо блокируется.

Проще говоря: SPF затрудняет выдачу себя за ваш бизнес по электронной почте и помогает вашим настоящим письмам попадать во «Входящие», а не в папку «Спам». Это всего одна запись, она бесплатна и настраивается за несколько минут.

Прежде чем начать: действительно ли вашим DNS управляет Route 53?

На этом шаге ошибается большинство. DNS-запись работает только в том случае, если именно Route 53 отвечает на DNS-запросы по вашему домену.

Route 53 — это DNS-хостер, а не почтовый провайдер: он отвечает на DNS-запросы, но не обслуживает ваши почтовые ящики. Здесь важны две вещи:

• Hosted zone должна быть «живой». В консоли Route 53 откройте Hosted zones и выберите свой домен. Запомните четыре значения NS (серверов имён), показанные для этой зоны.
• Серверы имён вашего домена должны указывать на эти значения. Если вы регистрировали домен через Route 53 (раздел Registered domains), обычно это уже настроено. Но если вы регистрировали его в другом месте, либо у вас несколько hosted zone для одного домена, то реальные серверы имён могут указывать совсем в другое место — и тогда всё, что вы добавите здесь, не даст эффекта. Проверьте серверы имён у регистратора и убедитесь, что они совпадают с четырьмя значениями NS в этой hosted zone. Если нет — добавляйте SPF-запись там, где на самом деле живёт ваш DNS.

Сначала выясните один факт: кто отправляет вашу почту?

SPF должен перечислять каждый сервис, который шлёт почту от вашего домена. Типичные примеры — Google Workspace, Microsoft 365 или тот провайдер, у которого размещены ваши почтовые ящики. Каждый из них публикует значение для вашей SPF-записи (часто что-то вроде include:_spf.google.com для Google или include:spf.protection.outlook.com для Microsoft 365). Точное значение посмотрите в справке вашего почтового провайдера — именно эту часть важно указать без ошибок.

Если вы отправляете почту через Amazon SES (собственный сервис рассылки Amazon), SES по умолчанию использует иной механизм, и SPF для SES необязателен — но если вы настроили собственный домен MAIL FROM в SES, следуйте точным инструкциям SES для этого случая. SES — это отдельный от Route 53 сервис; Route 53 лишь хранит DNS-запись.

Пошагово в Route 53

1. Войдите в консоль AWS и откройте Route 53.
2. В левом меню выберите Hosted zones, затем нажмите на имя своего домена.
3. Нажмите Create record.
4. Если откроется мастер с вариантами политики маршрутизации, переключитесь на простую форму (ищите Quick create record) — для SPF не нужна никакая из расширенных настроек маршрутизации.
5. Оставьте поле Record name пустым. Пустое имя означает «сам домен». Консоль показывает ваш домен рядом с полем, так что повторно его вводить не нужно.
6. Установите Record type в TXT.
7. В поле Value введите текст SPF в двойных кавычках: "v=spf1 include:_spf.google.com ~all" Замените часть include: на значение(я), которые вам предписывает ваш реальный почтовый провайдер. Окружающие кавычки в Route 53 обязательны — см. особенности ниже.
8. Оставьте TTL по умолчанию (300 секунд вполне подходит).
9. Нажмите Create records.

Особенности Route 53, на которых ошибаются

• Значения TXT должны быть в двойных кавычках. В отличие от некоторых DNS-хостеров, которые добавляют кавычки за вас, Route 53 ожидает, что вы впишете их сами. Вводите "v=spf1 ... ~all", а не v=spf1 ... ~all. Пропуск кавычек — самая частая ошибка в Route 53.
• Оставьте поле Record name пустым для корневого домена. Пустое имя означает сам домен. Если вписать полное имя домена в поле Name, Route 53 снова допишет имя зоны, и вы получите yourdomain.com.yourdomain.com — запись, которую никто никогда не проверит.
• Только одна SPF-запись на домен. Двух TXT-записей v=spf1 быть не может — почтовые провайдеры сочтут это поломкой. Если TXT-запись в корне уже есть, отредактируйте её, добавив новый сервис, а не создавайте вторую SPF-запись.
• Правильная hosted zone, правильный аккаунт. Если у вас несколько hosted zone (или несколько аккаунтов AWS), легко отредактировать не ту. Убедитесь, что редактируемая зона — та, чьи значения NS совпадают с вашими реальными серверами имён.
• ~all против -all. ~all (мягкий отказ) означает «всё, чего нет в списке, подозрительно»; -all (жёсткий отказ) означает «отклонять всё, чего нет в списке». Начните с ~all, пока убеждаетесь, что вся почта отправляется правильно, затем ужесточите до -all, когда уверены, что список полон.
• Изменения не мгновенны. Обновление DNS может занять от нескольких минут до пары часов.

Проверьте, что всё сработало

После сохранения записи и небольшого ожидания проверьте её бесплатной проверкой на этом сайте. Она понятным языком скажет, присутствует ли ваша SPF-запись и правильно ли она составлена.

Готово? Проверьте свой домен бесплатно чтобы убедиться, что всё сработало — и увидеть полную оценку по всем 34 проверкам.