Defaults.Exposed › Cài đặt › SPF

Cách thiết lập SPF trên AWS Route 53

Thêm bản ghi SPF trong hosted zone Route 53 để các nhà cung cấp hộp thư có thể phân biệt email thật của bạn với email giả mạo.

Tại sao điều này quan trọng với doanh nghiệp của bạn

SPF (Sender Policy Framework) là một ghi chú ngắn trong DNS của tên miền, liệt kê những máy chủ thư nào được phép gửi email từ tên của bạn. Khi ai đó nhận được thư tự xưng là từ bạn, nhà cung cấp thư của họ sẽ kiểm tra danh sách đó. Nếu máy chủ gửi không có trong danh sách, thư trông đáng ngờ — và sẽ bị đưa vào thư rác hoặc bị chặn.

Nói nôm na: SPF giúp kẻ gian khó giả mạo doanh nghiệp của bạn qua email, đồng thời giúp email hợp lệ của bạn vào hộp thư đến thay vì thư rác. Chỉ cần một bản ghi, hoàn toàn miễn phí và mất vài phút.

Trước khi bắt đầu: Route 53 có thực sự đang quản lý DNS của bạn không?

Đây là bước nhiều người hay bỏ qua nhất. Bản ghi DNS chỉ hoạt động nếu Route 53 là nơi trả lời các câu hỏi DNS cho tên miền của bạn.

Route 53 là nhà cung cấp DNS, không phải nhà cung cấp hộp thư — nó trả lời DNS nhưng không vận hành hộp thư của bạn. Hai điều quan trọng cần kiểm tra:

• Hosted zone phải là zone đang hoạt động. Trong bảng điều khiển Route 53, mở Hosted zones và chọn tên miền của bạn. Ghi lại bốn giá trị NS (nameserver) hiển thị cho zone đó.
• Nameserver của tên miền phải trỏ đến những giá trị đó. Nếu bạn đăng ký tên miền qua Route 53 (trong Registered domains), thường đã được liên kết sẵn. Nhưng nếu đăng ký ở nơi khác, hoặc có nhiều hosted zone cho cùng tên miền, nameserver hoạt động có thể trỏ hoàn toàn đến nơi khác — và bất kỳ thứ gì bạn thêm vào đây sẽ không có tác dụng. Hãy kiểm tra nameserver tại registrar và đảm bảo chúng khớp với bốn giá trị NS trong hosted zone này. Nếu không, hãy thêm bản ghi SPF tại nơi DNS thực sự đang đặt.

Tìm trước một thông tin: ai đang gửi email của bạn?

SPF phải liệt kê mọi dịch vụ gửi thư cho tên miền của bạn. Ví dụ phổ biến là Google Workspace, Microsoft 365, hoặc nhà cung cấp lưu trữ hộp thư. Mỗi dịch vụ đều công bố giá trị để đặt vào bản ghi SPF (thường là include:_spf.google.com cho Google hoặc include:spf.protection.outlook.com cho Microsoft 365). Hãy xem trang hỗ trợ của nhà cung cấp email để biết giá trị chính xác.

Nếu bạn gửi qua Amazon SES (dịch vụ gửi email của Amazon), SES mặc định dùng cơ chế khác và SPF cho SES là tùy chọn — nhưng nếu bạn đã thiết lập tên miền MAIL FROM tùy chỉnh trong SES, hãy làm theo hướng dẫn SES cụ thể cho điều đó. SES là dịch vụ riêng biệt với Route 53; Route 53 chỉ lưu trữ bản ghi DNS.

Hướng dẫn từng bước trên Route 53

1. Đăng nhập vào AWS console và mở Route 53.
2. Trong menu bên trái, chọn Hosted zones, sau đó nhấp vào tên miền của bạn.
3. Nhấp Create record.
4. Nếu thấy wizard với các tùy chọn routing-policy, chuyển sang form đơn giản (tìm Quick create record) — SPF không cần routing nâng cao.
5. Để trống trường Record name. Tên trống có nghĩa là “chính tên miền đó”. Console hiển thị tên miền của bạn bên cạnh trường, vì vậy bạn không cần gõ lại.
6. Đặt Record type thành TXT.
7. Trong trường Value, nhập nội dung SPF được bọc trong dấu ngoặc kép: "v=spf1 include:_spf.google.com ~all" Thay phần include: bằng giá trị mà nhà cung cấp email thực sự của bạn chỉ định. Dấu ngoặc bao quanh là bắt buộc trong Route 53 — xem phần lỗi phổ biến bên dưới.
8. Để TTL ở mức mặc định (300 giây là ổn).
9. Nhấp Create records.

Những lỗi phổ biến trên Route 53

• Giá trị TXT phải có dấu ngoặc kép. Không giống một số nhà cung cấp DNS tự thêm dấu ngoặc, Route 53 yêu cầu bạn tự gõ dấu ngoặc. Nhập "v=spf1 ... ~all", không phải v=spf1 ... ~all. Thiếu dấu ngoặc là lỗi phổ biến nhất trên Route 53.
• Để trống Record name cho tên miền gốc. Tên trống có nghĩa là tên miền đó. Nếu gõ tên miền đầy đủ vào trường Name, Route 53 sẽ nối thêm zone và bạn sẽ có yourdomain.com.yourdomain.com — bản ghi không bao giờ được kiểm tra.
• Chỉ một bản ghi SPF cho mỗi tên miền. Không thể có hai bản ghi TXT v=spf1 — các nhà cung cấp thư sẽ coi đó là lỗi. Nếu bản ghi TXT đã tồn tại ở gốc, hãy chỉnh sửa để thêm dịch vụ mới thay vì tạo bản ghi SPF thứ hai.
• Hosted zone đúng, tài khoản đúng. Nếu có nhiều hosted zone (hoặc nhiều tài khoản AWS), dễ chỉnh sửa nhầm zone. Hãy đảm bảo zone bạn đang chỉnh sửa có giá trị NS khớp với nameserver hoạt động của bạn.
• ~all so với -all. ~all (softfail) nghĩa là “bất cứ thứ gì không có trong danh sách thì đáng ngờ”; -all (hardfail) nghĩa là “từ chối bất kỳ thứ gì không có trong danh sách”. Bắt đầu bằng ~all trong khi xác nhận mọi thứ gửi đúng, sau đó chặt chẽ hơn bằng -all khi chắc chắn danh sách đã đầy đủ.
• Thay đổi không có hiệu lực ngay. Cập nhật DNS có thể mất từ vài phút đến vài giờ để lan rộng.

Xác minh hoạt động

Sau khi lưu bản ghi và cho một chút thời gian để có hiệu lực, hãy xác minh bằng công cụ kiểm tra miễn phí trên trang này. Hệ thống sẽ cho biết bằng ngôn ngữ đơn giản liệu bản ghi SPF của bạn có tồn tại và được định dạng đúng không.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.