Defaults.Exposed › Nastavenie › SPF

Ako nastaviť SPF na AWS Route 53

Pridajte SPF záznam do svojej Route 53 hosted zone, aby poskytovatelia poštových schránok rozoznali váš skutočný e-mail od falzifikátov.

Prečo na tom záleží pre vaše podnikanie

SPF (Sender Policy Framework) je krátka poznámka v DNS vašej domény, ktorá uvádza, ktoré mailové servery smú posielať e-mail vo vašom mene. Keď niekto dostane správu tvrdiaco, že pochádza od vás, jeho poštový poskytovateľ túto zoznam overí. Ak odosielací server na ňom nie je, správa vyzerá podozrivo — a buď skončí v spame, alebo sa zablokuje.

Zrozumiteľne povedané: SPF sťažuje niekomu, kto sa vydáva za vašu firmu e-mailom, a pomáha vašim skutočným e-mailom dostať sa do doručenej pošty namiesto nevyžiadanej. Je to jeden záznam, je bezplatný a zaberie niekoľko minút.

Pred začatím: riadi Route 53 skutočne váš DNS?

Toto je krok, ktorý väčšina ľudí pokazí. DNS záznam funguje iba vtedy, ak Route 53 odpovedá na DNS otázky pre vašu doménu.

Route 53 je DNS hostiteľ, nie poskytovateľ poštových schránok — odpovedá na DNS, ale neprevádzkuje vaše schránky. Dve veci sú tu dôležité:

• Hosted zone musí byť tá aktívna. V konzole Route 53 otvorte Hosted zones a vyberte svoju doménu. Poznačte si štyri NS (nameserver) hodnoty zobrazené pre túto zónu.
• Nameservery vašej domény musia ukazovať na tieto hodnoty. Ak ste doménu zaregistrovali cez Route 53 (pod Registered domains), toto je zvyčajne už správne nastavené. Ak ste ju zaregistrovali inde, alebo máte pre tú istú doménu viac ako jednu hosted zone, aktívne nameservery môžu ukazovať úplne inam — a čokoľvek pridáte tu, nemá žiadny efekt. Skontrolujte nameservery u vášho registrátora a uistite sa, že zodpovedajú štyrom NS hodnotám v tejto hosted zone. Ak nie, pridajte SPF záznam tam, kde váš DNS skutočne žije.

Zistite jednu vec: kto posiela váš e-mail?

SPF musí vymenovať každú službu, ktorá posiela poštu pre vašu doménu. Bežné príklady sú Google Workspace, Microsoft 365 alebo akýkoľvek poskytovateľ hosťujúci vaše poštové schránky. Každý z nich zverejňuje hodnotu pre váš SPF záznam (zvyčajne niečo ako include:_spf.google.com pre Google alebo include:spf.protection.outlook.com pre Microsoft 365). Skontrolujte stránky nápovedy vášho poštového poskytovateľa pre presnú hodnotu — tá časť musí byť správna.

Ak posielate cez Amazon SES (vlastná e-mailová odosielacia služba Amazonu), SES používa štandardne iný mechanizmus a SPF pre SES je voliteľné — ale ak ste nastavili vlastnú doménu MAIL FROM v SES, postupujte podľa presných pokynov SES pre tento prípad. SES je samostatná služba od Route 53; Route 53 iba uchováva DNS záznam.

Krok za krokom na Route 53

1. Prihláste sa do konzoly AWS a otvorte Route 53.
2. V ľavom menu zvoľte Hosted zones, potom kliknite na názov svojej domény.
3. Kliknite Create record.
4. Ak sa zobrazí sprievodca s možnosťami smerovania, prepnite na jednoduchý formulár (hľadajte Quick create record) — SPF nepotrebuje žiadne pokročilé smerovanie.
5. Pole Record name nechajte prázdne. Prázdne meno znamená „samotná doména”. Konzola zobrazuje vašu doménu vedľa poľa, takže ju nemusíte prepisovať.
6. Nastavte Record type na TXT.
7. Do poľa Value zadajte váš SPF text zabalený v dvojitých úvodzovkách: "v=spf1 include:_spf.google.com ~all" Nahraďte časť include: hodnotou (hodnotami), ktorú vám skutočne uviedol váš poštový poskytovateľ. Okolité úvodzovky sú na Route 53 povinné — pozrite si poznámky nižšie.
8. TTL ponechajte na predvolenej hodnote (300 sekúnd je v poriadku).
9. Kliknite Create records.

Časté chyby na Route 53

• TXT hodnoty musia byť v dvojitých úvodzovkách. Na rozdiel od niektorých DNS hostiteľov, ktorí uvádzajú hodnotu do úvodzoviek za vás, Route 53 očakáva, že úvodzovky napíšete sami. Zadajte "v=spf1 ... ~all", nie v=spf1 ... ~all. Vynechanie úvodzoviek je najčastejšia chyba na Route 53.
• Nechajte Record name prázdne pre koreňovú doménu. Prázdne meno znamená samotnú doménu. Ak do poľa Name napíšete celý názov domény, Route 53 pridá zónu znovu a skončíte s yourdomain.com.yourdomain.com — záznamom, ktorý sa nikdy nekontroluje.
• Iba jeden SPF záznam na doménu. Nemôžete mať dva TXT záznamy v=spf1 — poskytovatelia pošty to budú považovať za chybu. Ak TXT záznam v koreni už existuje, upravte ho a pridajte novú službu namiesto vytvárania druhého SPF záznamu.
• Správna hosted zone, správny účet. Ak máte viacero hosted zones (alebo viacero účtov AWS), je ľahké upraviť nesprávnu. Uistite sa, že zóna, ktorú upravujete, je tá, ktorej NS hodnoty zodpovedajú vašim aktívnym nameserverom.
• ~all vs -all. ~all (softfail) znamená „čokoľvek, čo nie je v zozname, je podozrivé”; -all (hardfail) znamená „zamietnuť čokoľvek, čo nie je v zozname”. Začnite s ~all, kým si overíte, že všetko správne odosiela, potom sprísňte na -all.
• Zmeny nie sú okamžité. DNS aktualizácie sa môžu šíriť od niekoľkých minút po niekoľko hodín.

Overenie, či to fungovalo

Po uložení záznamu a po krátkom čase na nadobudnutie platnosti ho overte bezplatnou kontrolou na tejto stránke. Zrozumiteľne vám povie, či je váš SPF záznam prítomný a správne naformátovaný.

Hotovo? Skontrolujte svoju doménu zadarmo a potvrďte, že to fungovalo — a pozrite si celkové hodnotenie v rámci všetkých 34 kontrol.