Jak vytvořit záznamy o ověření pošty:SPF, DKIM, DMARC

Už jste někdy měli:

• E-mailová zpráva se vrátila se záhadnou odpovědí, jako je „Příkaz 5.7.1 odmítnut“, nebo vám někdo poslal e-mail, jen aby dostal podobnou zprávu?
• Doručení e-mailu s jasnou odpovědí o selhání záznamu SPF nebo DKIM (nebo DomainKeys)?
• Vaše e-maily dorazí do složky se spamem, nebo nedorazí vůbec?

co to způsobuje? Proč je odmítnut nebo filtrován jako spam? I když mohou existovat další důvody pro to, aby byla zpráva filtrována na spam, častěji než ne, dojde k některému z výše uvedených problémů, protože existuje problém s konfigurací ochrany odesílající domény před falšováním e-mailů.

Tyto ochrany se nazývají SPF, DKIM a DMARC a každá z nich má podobu jednoho nebo dvou záznamů DNS, které lze nakonfigurovat tak, aby zajistily, že reputace odesílání e-mailů vaší domény zůstane pevná.

I když tyto záznamy jednotlivě nezaručují prevenci padělaných adres, společně hodně pomáhají tomu zabránit. Spammeři běžně používají padělky odesílatelů, aby se pokusili oklamat své příjemce, aby si přečetli jejich SPAM e-maily.

Tip:DKIM má také odpovídající hlavičku pošty, a proto pokud se rozhodnete používat DNS záznam DKIM, budete muset zajistit, aby všechny e-mailové zprávy směrovaly přes váš SMTP server — nemohou existovat žádné další zdroje pošty nebo používáte alternativní poštovní servery, zatímco máte publikovaný DNS záznam DKIM.

Zde je rozpis jednotlivých typů záznamů a jejich fungování.

Záznam SPF

Záznamy SPF představují způsob, jakým může vlastník/správce domény uvést, které servery mohou odesílat poštu jménem této domény. To pomáhá zabránit spammerům nebo jiným škodlivým aktérům v odesílání pošty, která vypadá, že je z vaší domény.

Potřebujete pomoci se správným nastavením SPF záznamu? Přejděte dolů na náš generátor SPF záznamů níže.

Jak to tedy funguje? Záznam SPF je záznam DNS pro vaši doménu (záznam typu TXT), který vypadá takto:

v=spf1 include:_spf.websavers.ca +a +mx +ip4:2.2.2.2 -all

Pojďme to rozebrat. Každá část záznamu znamená něco jiného a je oddělena bílými mezerami:

1. v=spf1 –> To znamená, že se jedná o záznam SPF, verze 1 (výchozí/standardní)
2. include:_spf.websavers.ca –> Zahrnout výpisy znamená zahrnout SPF záznamy dostupné na poskytnuté adrese. Tento konkrétní znamená zahrnout všechny servery odchozí pošty, které Websavers považuje za přijatelné. Jsou zveřejněny na _spf.websavers.ca (nemůžete je však zobrazit ve webovém prohlížeči, jsou viditelné pouze pro požadavky DNS)
3. +a +mx –> Povolit serverům sídlícím na adresách záznamů A i MX odesílat e-maily. Můžete vyhledat svou doménu a zjistit, na co jsou nastaveny záznamy A a MX, nebo se jednoduše podívat do Plesku nebo na svého hostitele DNS, pokud DNS není hostován u nás.
4. +ip4:2.2.2.2 –> Server s IP adresou 2.2.2.2 může odesílat e-maily z vaší domény
5. -vše –> Nedovolte žádným jiným serverům odesílat zprávy.

Můžete vidět, že ostatní používají ~all (s vlnovkou spíše než pomlčkou), což je slabý ekvivalent našeho výchozího „-all“. Použití ~ je něco jako říkat „pokud se neshoduje s těmito, je na vás, zda je to legitimní nebo ne“. Důrazně doporučujeme použít „-all“, jak je uvedeno výše. To naznačuje mnohem pevnější prohlášení „pouze tyto servery jsou platné“.

Pokud se chcete dozvědět více o SPF, jako jsou další možnosti toho, co můžete zahrnout, podívejte se na web OpenSPF.

Všem serverům, které se neobjeví ve vašem záznamu SPF pomocí jedné z výše popsaných metod, není povoleno odesílat e-maily pomocí žádné z e-mailových adres dané domény a jakékoli zprávy odeslané přes tyto servery budou pravděpodobně označeny jako spam nebo zablokovány zcela v místě určení.

Používáte externí poštu? I když přejdete na externího poskytovatele e-mailu, ale svůj web si ponecháte u nás hostovaný, je stále důležité zachovat obě +a a zahrnuje:_spf.websavers.ca ve vašem SPF záznamu. Je to proto, že vaše webové stránky často rozesílají e-maily přímo ze serveru, na kterém jsou hostovány (např. e-maily s oznámením o registraci nebo objednávce), místo aby je posílaly prostřednictvím vašeho poskytovatele e-mailu, a přesto chcete povolit úspěšné odesílání těchto e-mailů.

Generátor záznamů SPF

Vytvořili jsme nástroj, který vám pomůže vygenerovat správný záznam SPF pro vaši doménu. Vyplňte prosím níže uvedený formulář a ten vám vygeneruje SPF záznam, který můžete použít.

Běžná reference konfigurace SPF

Následující hodnoty není celý záznam SPF, pouze tu část, kterou budete chtít přidat do svého záznamu SPF, abyste umožnili serverům SMTP odpovídající společnosti odesílat e-maily jménem vaší domény.

Při přidávání se ujistěte, že mezi těmito přidáními a ostatními částmi záznamu SPF jsou mezery. Také se ujistěte, že váš záznam začíná v=spf1 a končí buď ~vše (volné) nebo -vše (přísnější). Viz vzorový záznam v horní části této stránky, kde je vizuální znázornění, kam tyto záznamy vložit.

• Spořiče webu: patří:_spf.websavers.ca
• Google: include:_spf.google.com (podrobnosti)
• Bellnexxia: +ptr:bellnexxia.net
• Eastlink: patří:_spf.eastlink.ca
• Microsoft Office 365 :include:spf.protection.outlook.com (podrobnosti)
• GoDaddy: include:spf.secureserver.net
• Yahoo: Nemožné. Místo toho používá DMARC a nutí jejich SMTP, aby byly používány pouze účty Yahoo.
• Shopify: include:shops.shopify.com (podrobnosti)

Záznam DKIM

Záznamy DKIM nejsou striktně vyžadovanou součástí, ale přidají větší důvěru, takže pokud je můžete použít, měli byste.

Největší problém se záznamy DKIM spočívá v tom, že se jedná o dvoudílný ověřovací systém:jak záznam DNS, tak hlavičku, kterou do každého e-mailu přidává váš server odchozí pošty (SMTP). Z tohoto důvodu musíte bezpodmínečně zajistit, aby všechny e-maily odeslané z adres @yourdomain.com procházely přesně stejným serverem SMTP. To znamená, že zprávy odesílané přes váš web, CRM a jakýkoli jiný webový nebo serverový nástroj, který odesílá e-maily jménem vaší domény, musí být také nakonfigurován tak, aby k přenosu zpráv používal váš SMTP server.

• Externí hostitel e-mailu :Pokud je váš e-mail hostován externě, obávám se, že si musíte promluvit se svým poskytovatelem e-mailu, abyste získali správný záznam DNS.
• Websavers Exchange Mail: Naše služba Exchange je jednou z takových služeb, která nepodporuje DKIM, takže tuto sekci můžete přeskočit.
• Websavers Plesk Hosting: Pokud jste u nás hostováni na sdíleném, resellerském nebo VPS (s Plesk Panel), můžete jednoduše povolit DKIM v Plesku a podle toho nakonfiguruje SMTP server i váš DNS! V této příručce Plesk se dozvíte, jak povolit DKIM. Pokud je váš DNS externí, můžete zkontrolovat DNS záznam Plesk vytvořený pro tento účel a budete jej muset duplikovat na vašem DNS hostiteli. Všimněte si, že s tímto procesem vám můžeme pomoci pouze v případě, že je váš DNS hostován u nás, jinak bude váš hostitel DNS muset být vaší cestou pro podporu.

Záznam DMARC

Tam, kde se DKIM a SPF používají k ověření, že e-maily přicházejí ze správných serverů, DMARC staví na těchto nástrojích (zejména SPF) a používá se k ověření správnosti obálky a e-mailových adres. Pomáhá také odesílatelům vědět, jak si vede jejich pošta u velkých poskytovatelů, jako jsou Google a Microsoft, tím, že zveřejní e-mailovou adresu, na kterou si (jako odesílatel) přejete dostávat zprávy o schopnosti doručování.

Zatímco záznam SPF nepoužívá žádnou subdoménu a vztahuje se přímo na vaši kořenovou (@) doménu, DMARC používá subdoménu _dmarc . Nejjednodušeji to vypadá takto:

• Subdoména:_dmarc
• Typ:TXT
• Hodnota:v=DMARC1; p=žádný

Ale ta nahrávka v podstatě říká „hele, mám záznam SPF a možná záznam DKIM, ale nepřeji si, abyste (přijímač) dělali něco zvláštního s DMARC“. Pojďme to trochu oživit a poskytnout několik alternativních hodnot, které lze použít. Pamatujte, že u každého z nich jsou subdoména a typ vždy stejné jako výše a nikdy byste neměli publikovat více záznamů DMARC.

Následující příklad záznamu říká, že všechny zprávy, které se neshodují (SPF, DKIM, Envelope), je třeba umístit do karantény (to obvykle znamená umístit do spamu, ale někteří poskytovatelé zprávu před příjemci doslova skryjí, dokud to správce e-mailu nepovolí). Také říká, že u 20 % všech zpráv přijatých z vaší domény, pokud dojde k selhání, zašlete zprávu o každém selhání na zadanou e-mailovou adresu.

v=DMARC1; p=quarantine; pct=20; ruf=mailto:[email protected];

Následující záznam říká:odmítnout všechny zprávy, které se neshodují; že si přejete dostávat zprávy o 100 % poruch; že s DKIM by se mělo zacházet jako s uvolněným; že SPF by mělo být považováno za přísné; že nechcete vidět *individuální* hlášení o každém selhání zprávy (ruf ), ale raději získejte souhrnný přehled (rua ). Domnívám se, že přehledy jsou obvykle zasílány měsíčně, ale může to být na uvážení přijímajícího poskytovatele, jako je Google nebo Microsoft.

v=DMARC1; p=reject; pct=100; adkim=r; aspf=s rua=mailto:[email protected];

Budete muset zadat skutečnou e-mailovou adresu, na kterou chcete dostávat tyto zprávy, jinak jednoduše vynechejte možnost rua/ruf a možnost pct, protože pokud nechcete zprávy vidět, je to k ničemu. Můžete použít pct a ruf/rua s p=none. To bude znamenat, že přijímající server předá zprávu jako obvykle, i když selže při kontrolách DKIM, SPF, DMARC.

Pokud je ponecháte mimo, možnosti adkim a aspf se zdají být výchozí jako uvolněné.

Tip:DMARC byste měli používat vždy, i když nemáte povoleno DKIM. Ujistěte se však, že máte SPF správně nakonfigurován, jinak vám DMARC nepomůže.

Kam vložím tyto záznamy DNS?

Pokud je váš DNS hostován u nás, zde je návod, jak upravit vaše DNS záznamy. V této příručce budete chtít upravit existující záznam typu TXT .

Pokud je váš DNS hostován jinde, budete se muset přihlásit do jejich panelu, abyste mohli upravit nebo přidat svůj SPF záznam.

S naším hostingem Plesk za vás nakonfigurujeme všechny tyto záznamy, ale pokud máte problémy s doručitelností, měli byste znovu zkontrolovat, zda jsou správné. Možná máte starší verzi záznamu, která není optimální, nebo jste ji vy nebo někdo s přístupem k vašemu účtu mohli upravit, aniž byste znali důsledky.

Nevytvářejte prosím více SPF záznamů. Pokud v nastavení DNS vidíte již existující, nezapomeňte jej upravit, nikoli přidat druhý . Duplicitní záznamy často způsobí, že žádný z nich nebude fungovat.

Protože se jedná o záznamy DNS, bude trvat několik hodin (až 48 hodin), než se změny provedené v nastavení DNS projeví celosvětově. Buďte prosím trpěliví.

Odstraňování problémů

Chyba příliš velkého počtu vyhledávání SPF: pokud uvidíte chybu v kontrole záznamu SPF o příliš mnoha vyhledáváních, jednoduchý výklad je, že ve vašem záznamu je příliš mnoho položek. Jediným způsobem, jak to vyřešit, je odstranit nejméně důležité prvky ze záznamu SPF a/nebo konsolidovat poštovní služby, abyste jich tolik nepoužívali. Pokud používáte službu konference, můžete její konfiguraci změnit tak, aby používala subdoménu, jako je mailing-list.mydomain.com, a místo toho přesunout tuto část vašeho SPF záznamu do SPF záznamu subdomény.

Přečtěte si více o chybě SPF Too Many Lookups v tomto podrobném článku zde.

Pokud používáte externí poštovní službu, jako je Google Workspace (dříve G Suite), nejlepším řešením pro snížení celkového počtu vyhledávání je odstranění části Websavers záznamu SPF (include:_spf.websavers.ca ). Pokud to však uděláte, ujistěte se, že všechny weby, které u nás hostujete, jsou nakonfigurovány k odesílání e-mailů pomocí služby SMTP vašeho externího poskytovatele pošty (jako je v tomto příkladu Google Workspace). Tím zajistíte, že veškerá pošta přicházející z webu bude procházet SMTP serverem, který zůstane autorizovaný ve vašem záznamu SPF, a nikoli našimi servery, které ve vašem záznamu SPF nezůstanou.

Pokud musíte odstranit prohlášení „zahrnout“, rozhodně si jej ponechte, protože to umožní našemu hlavnímu přenosu pošty pokračovat v doručování vaší pošty:

+ip4:149.56.38.109

Zprávy doručované do spamu nebo nevyžádané pošty: pokud jste úspěšně nakonfigurovali všechny výše uvedené záznamy DNS a od doby, kdy jste tak učinili, uplynulo 48 hodin (pamatujte, že změny DNS se projeví nějakou dobu), přesto vaše e-maily stále přistávají ve složkách nevyžádané pošty vašich příjemců, podívejte se prosím na našeho průvodce odstraňováním problémů zde.