Defaults.Exposed › Налаштування › SPF

Як налаштувати SPF на AWS Route 53

Додайте SPF-запис у вашу hosted zone в Route 53, щоб поштові провайдери відрізняли ваші справжні листи від підроблених.

Чому це важливо для вашого бізнесу

SPF (Sender Policy Framework) — це короткий запис у DNS вашого домену, який вказує, яким поштовим серверам дозволено надсилати листи від вашого імені. Коли хтось отримує лист нібито від вас, поштовий провайдер одержувача перевіряє цей список. Якщо сервер-відправник у ньому відсутній — лист виглядає підозріло: він або потрапляє в спам, або блокується.

Простіше кажучи: SPF ускладнює підробку електронної адреси вашого бізнесу і допомагає вашим справжнім листам потрапляти у вхідні, а не у спам. Це один запис, безкоштовно, і займає кілька хвилин.

Перед початком: чи дійсно Route 53 керує вашим DNS?

Це крок, на якому найчастіше помиляються. DNS-запис працює лише якщо Route 53 відповідає на DNS-запити для вашого домену.

Route 53 — це DNS-хост, а не поштовий провайдер: він відповідає на DNS-запити, але не обслуговує ваші поштові скриньки. Тут важливі дві речі:

• Hosted zone має бути активною. У консолі Route 53 відкрийте Hosted zones і виберіть свій домен. Зверніть увагу на чотири значення NS (неймсерверів), що показані для цієї зони.
• Неймсервери вашого домену мають вказувати на ці значення. Якщо ви реєстрували домен через Route 53 (у розділі Registered domains) — зазвичай це вже налаштовано. Але якщо домен зареєстрований деінде або у вас є кілька hosted zones для одного домену — активні неймсервери можуть вказувати зовсім в інше місце, і все, що ви додаєте тут, не матиме ефекту. Перевірте неймсервери у вашого реєстратора і переконайтеся, що вони збігаються з чотирма NS-значеннями у цій hosted zone. Якщо ні — додайте SPF-запис там, де DNS дійсно знаходиться.

Спочатку з’ясуйте одне: хто надсилає вашу пошту?

SPF має вказувати всі сервіси, які надсилають пошту для вашого домену. Типові приклади: Google Workspace, Microsoft 365 або будь-який інший провайдер, який обслуговує ваші поштові скриньки. Кожен із них публікує значення для вашого SPF-запису (зазвичай щось на кшталт include:_spf.google.com для Google або include:spf.protection.outlook.com для Microsoft 365). Перевірте довідкові сторінки свого поштового провайдера — це та частина, яку потрібно вказати точно.

Якщо ви надсилаєте через Amazon SES (власний сервіс надсилання пошти Amazon) — SES за замовчуванням використовує інший механізм, і SPF для SES є необов’язковим. Але якщо ви налаштували кастомний MAIL FROM домен в SES — дотримуйтесь точних інструкцій SES для цього. SES — це окремий сервіс від Route 53; Route 53 лише зберігає DNS-запис.

Покрокова інструкція для Route 53

1. Увійдіть до консолі AWS і відкрийте Route 53.
2. У лівому меню виберіть Hosted zones, потім натисніть на ім’я вашого домену.
3. Натисніть Create record.
4. Якщо відобразиться майстер із параметрами маршрутизації — переключіться на просту форму (шукайте Quick create record). SPF не потребує жодних розширених параметрів маршрутизації.
5. Залиште поле Record name порожнім. Порожнє ім’я означає «сам домен». Консоль відображає ваш домен поруч із полем, тому повторно вводити його не потрібно.
6. Встановіть Record type — TXT.
7. У полі Value введіть ваш SPF-текст в подвійних лапках: "v=spf1 include:_spf.google.com ~all" Замініть частину include: на значення(а), які надає ваш поштовий провайдер. Лапки в Route 53 обов’язкові — дивіться типові помилки нижче.
8. Залиште TTL за замовчуванням (300 секунд підходить).
9. Натисніть Create records.

Типові помилки в Route 53

• Значення TXT мають бути в подвійних лапках. На відміну від деяких DNS-хостів, які самостійно беруть значення в лапки, Route 53 очікує, що ви введете лапки самостійно. Вводьте "v=spf1 ... ~all", а не v=spf1 ... ~all. Відсутність лапок — найпоширеніша помилка в Route 53.
• Залиште поле Record name порожнім для кореневого домену. Порожнє ім’я означає сам домен. Якщо ввести повне ім’я домену у поле Name — Route 53 додасть зону ще раз і вийде yourdomain.com.yourdomain.com — запис, який ніколи не перевірятиметься.
• Лише один SPF-запис на домен. Два записи v=spf1 TXT неприпустимі — поштові провайдери вважатимуть це помилкою. Якщо TXT-запис уже є в корені — відредагуйте його, щоб додати новий сервіс, а не створюйте другий SPF.
• Правильна hosted zone і правильний акаунт. Якщо у вас кілька hosted zones або AWS-акаунтів — легко відредагувати не той. Переконайтеся, що зона, яку ви редагуєте, має NS-значення, що збігаються з вашими активними неймсерверами.
• ~all проти -all. ~all (softfail) означає «все, що не в списку, підозріло»; -all (hardfail) означає «відхиляти все, чого немає в списку». Починайте з ~all, поки не переконаєтеся, що всі відправники вказані, а потім перейдіть на -all.
• Зміни не миттєві. DNS-оновлення можуть займати від кількох хвилин до кількох годин.

Перевірте результат

Після збереження запису і невеликої паузи для поширення змін перевірте його за допомогою безкоштовної перевірки на цьому сайті. Вона повідомить зрозумілою мовою, чи є ваш SPF-запис і чи правильно він сформований.

Готово? Перевірте домен безкоштовно щоб підтвердити, що все спрацювало, — і побачити повну оцінку за всіма 34 перевірками.