BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
dkim

Brevo SPF, DKIM i DMARC: uwierzytelnij swoją domenę (dawniej Sendinblue)

Brevo uwierzytelnia Twoją domenę za pomocą DKIM, a nie SPF. Na współdzielonych adresach IP nadawca w kopercie pozostaje na domenie Brevo, więc SPF nie jest zgodny z Twoim adresem From, ale Brevo podpisuje pocztę Twoją domeną i DMARC przechodzi wyłącznie dzięki zgodności DKIM. Ten przewodnik opisuje rekord brevo_code, automatyczny i ręczny proces DKIM, zmianę nazwy z Sendinblue, wymagania Gmaila i Yahoo oraz sposób weryfikacji.

Zaktualizowano 5 lip 20267 min czytania

Brevo, platforma znana wcześniej jako Sendinblue, uwierzytelnia Twoją domenę wysyłkową za pomocą DKIM, a nie SPF. Przy wysyłce ze współdzielonego IP nadawca w kopercie (adres Return-Path) pozostaje na domenie Brevo, więc SPF uwierzytelnia Brevo, a nie Ciebie. To, co pozwala Twojej poczcie przejść DMARC, to DKIM: Brevo podpisuje każdą wiadomość kluczem opublikowanym w Twojej domenie, ten podpis jest zgodny z Twoim adresem From, a DMARC przechodzi wyłącznie dzięki zgodności DKIM. Dodajesz rekord weryfikacyjny brevo_code oraz rekordy DKIM, które daje Ci Brevo, i gotowe.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Wiele osób się na tym potyka, ponieważ większość przewodników dostawców każe edytować rekord SPF. W przypadku Brevo na współdzielonym IP nie musisz tego robić, a dodanie Brevo do SPF nic nie wnosi do zgodności. Poniżej znajdziesz dokładnie to, co należy opublikować, dlaczego to DKIM dźwiga cały ciężar oraz czym różni się przypadek dedykowanego IP.

Dlaczego Brevo używa zgodności DKIM, a nie SPF

DMARC przechodzi, gdy przynajmniej jedna z dwóch kontroli jednocześnie uwierzytelnia i wykazuje zgodność. Zgodność oznacza, że domena, która przeszła kontrolę, odpowiada domenie w widocznym nagłówku From.

SPF sprawdza nadawcę w kopercie (MAIL FROM / Return-Path), który jest niewidoczny dla odbiorców. Na współdzielonych IP Brevo ten adres Return-Path znajduje się na domenie należącej do Brevo, aby platforma mogła zarządzać odbiciami i skargami tysięcy nadawców. SPF dla tej domeny Brevo przechodzi, ale nie jest zgodny z Twoją domeną From, więc nie daje Ci nic w kontekście DMARC. To normalne i oczekiwane. Pełny mechanizm opisuje SPF a DKIM: różnica.

DKIM działa inaczej. Brevo podpisuje treść i nagłówki wiadomości kluczem prywatnym i ustawia znacznik domeny podpisującej na Twój: d=yourdomain.com. Serwer weryfikujący pobiera Twój klucz publiczny z DNS, potwierdza podpis, a ponieważ d= odpowiada Twojej domenie From, DKIM wykazuje zgodność. Ten jeden zgodny wynik wystarcza dla DMARC. Właśnie dlatego konfiguracja Brevo stawia DKIM na pierwszym miejscu, a SPF jest opcjonalny.

Jeśli po konfiguracji chcesz prześledzić to od początku do końca, przeczytaj jak czytać nagłówek Authentication-Results, aby potwierdzić dkim=pass z header.d=yourdomain.com.

Rekordy, które Brevo prosi opublikować

Gdy dodajesz i uwierzytelniasz domenę w Brevo (Senders, Domains, and IPs, a następnie Domains), Brevo generuje rekordy za Ciebie. Potwierdź dokładne wartości w swojej konsoli Brevo, ponieważ ciąg klucza publicznego jest unikalny dla Twojego konta. Zazwyczaj publikujesz:

  • Rekord TXT weryfikacji domeny. Host @ lub Twoja domena główna, wartość w rodzaju brevo_code:1a2b3c4d5e6f. Potwierdza on, że kontrolujesz domenę.
  • Rekord TXT DKIM. Host mail._domainkey.yourdomain.com, wartość k=rsa; p=MIGfMA0GCSqGSIb3DQ... (długi klucz publiczny). To klucz, który pozwala Brevo podpisywać wiadomości jako Twoja domena.
  • Rekord DMARC, jeśli jeszcze go nie masz. Host _dmarc.yourdomain.com.

Opublikowany rekord DKIM wygląda tak:

mail._domainkey.yourdomain.com. IN TXT "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."

Ustaw wartość TXT dokładnie tak, jak pokazuje Brevo. Pojedynczy zmieniony lub pominięty znak psuje podpis i DKIM zawodzi. Jeśli Twój dostawca DNS dzieli długie wartości, zachowaj cały klucz w nienaruszonej postaci mimo podziału. Ogólny wzorzec DKIM w DNS opisuje jak skonfigurować DKIM.

Uwierzytelnianie automatyczne

Jeśli Twoja domena korzysta z dostawcy DNS, z którym Brevo się integruje, Brevo może opublikować te rekordy za Ciebie poprzez połączenie w stylu OAuth. Autoryzujesz dostęp, Brevo zapisuje wpisy brevo_code i DKIM, a weryfikacja zwykle kończy się w ciągu kilku minut. To najszybsza droga, która eliminuje błędy przy kopiowaniu i wklejaniu. Skorzystaj z niej, gdy jest dostępna.

Uwierzytelnianie ręczne

Jeśli Brevo nie integruje się z Twoim dostawcą DNS lub trzymasz zmiany w DNS pod ręczną kontrolą, dodajesz każdy rekord samodzielnie w rejestratorze lub panelu DNS. Utwórz rekordy TXT dokładnie tak, jak podano, zapisz, a następnie wróć do Brevo i kliknij przycisk weryfikacji lub uwierzytelnienia. Zmiany w DNS mogą się propagować od kilku minut do kilku godzin, w zależności od Twojego TTL. Jeśli weryfikacja natychmiast się nie powiedzie, poczekaj na wygaśnięcie TTL i spróbuj ponownie, zamiast ponownie edytować rekordy.

Zmiana nazwy z Sendinblue: co pozostaje aktualne

Sendinblue zmieniło markę na Brevo w 2023 roku. Firma, platforma i Twoje konto pozostają te same. Jeśli uwierzytelniłeś domenę wiele lat temu jeszcze jako Sendinblue, te rekordy DKIM zazwyczaj nadal działają, ponieważ klucz podpisujący znajduje się w Twojej domenie i nie zmienił się wraz z nazwą. Nie musisz uwierzytelniać ponownie tylko z powodu zmiany marki.

Mimo to, jeśli Twoja stara konfiguracja opierała się na dodaniu Sendinblue do rekordu SPF i nigdy nie opublikowałeś DKIM, nie masz zgodności DMARC i powinieneś teraz przeprowadzić uwierzytelnienie prawidłowo. Sprawdź swoją domenę w Brevo: jeśli pokazuje się jako nieuwierzytelniona lub brakuje DKIM, dodaj aktualne rekordy. Stare artykuły pomocy odwołujące się do hostów "sendinblue.com" mogą być nieaktualne, więc ufaj wartościom z Twojej aktywnej konsoli bardziej niż czemukolwiek, co znajdziesz w zapisanej w pamięci podręcznej dokumentacji.

Dedykowane IP: kiedy SPF ma znaczenie

Wszystko powyżej zakłada wysyłkę współdzieloną. Jeśli kupisz dedykowane IP w Brevo, obraz się zmienia. Przy dedykowanym IP adres Return-Path można ustawić na Twoją własną domenę, co oznacza, że możesz sprawić, by SPF również był zgodny. W takim przypadku Brevo poda Ci wpis include SPF do dodania. Typowy rekord SPF wygląda tak:

yourdomain.com. IN TXT "v=spf1 include:spf.brevo.com -all"

Opublikuj wyłącznie wpis include wskazany przez Brevo i zachowaj jeden rekord SPF na domenę. Scal include Brevo ze swoim istniejącym SPF, zamiast tworzyć drugi rekord, i pilnuj liczby odpytań, ponieważ SPF trwale zawodzi po przekroczeniu dziesięciu odpytań DNS. Jeśli wysyłasz przez kilku dostawców, zobacz jak naprawić zbyt wiele odpytań DNS w SPF. Nawet przy dedykowanym IP zgodność DKIM pozostaje Twoim głównym sposobem na przejście DMARC, więc nie pomijaj rekordów DKIM.

Dodaj rekord DMARC

Zgodność DKIM daje wynik pozytywny, ale to rekord DMARC mówi odbiorcom, aby raportowali i egzekwowali politykę. Zacznij w trybie monitorowania:

_dmarc.yourdomain.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com"

p=none zbiera dane bez wpływu na dostarczanie. Gdy Twoja poczta z Brevo i inni uprawnieni nadawcy pokażą zgodne wyniki pozytywne, zaostrz politykę do p=quarantine, a następnie p=reject. Tę ścieżkę opisuje jak przejść z DMARC none do reject. Jeśli DKIM Brevo jest zgodny, ale widzisz błędy z innego źródła, potwierdź zgodność dla każdego nadawcy w jak naprawić zgodność DKIM.

Spełnianie wymagań Gmaila i Yahoo dla nadawców

Od lutego 2024 Gmail i Yahoo wymagają, aby nadawcy masowi (mniej więcej 5000+ wiadomości dziennie do ich użytkowników) uwierzytelniali pocztę za pomocą SPF lub DKIM, zachowywali zgodność przynajmniej dla jednego z nich, publikowali politykę DMARC na poziomie co najmniej p=none oraz obsługiwali rezygnację z subskrypcji jednym kliknięciem. Prawidłowo uwierzytelniona domena Brevo spełnia te wymagania: DKIM jest zgodny z Twoją domeną From, a opublikowany rekord _dmarc spełnia wymóg dotyczący polityki. Brevo automatycznie dodaje zgodne nagłówki List-Unsubscribe do kampanii marketingowych. Pełną listę kontrolną znajdziesz w wymaganiach Google i Yahoo dla nadawców. Najważniejszy wniosek dla użytkowników Brevo: nie potrzebujesz zgodności SPF, aby przejść kontrolę, ponieważ Twój zgodny DKIM już pokrywa wymóg uwierzytelniania.

Zweryfikuj swoją konfigurację Brevo

Nie ufaj samemu zielonemu znaczkowi w Brevo. Potwierdza on, że Brevo może podpisywać, a nie że DMARC przejdzie u odbiorcy. Wyślij wiadomość testową na adres Gmail lub Outlook, otwórz ją i wyświetl oryginał lub nagłówki, aby potwierdzić dkim=pass header.d=yourdomain.com oraz dmarc=pass.

Następnie przepuść swoją domenę przez narzędzie sprawdzające na tej stronie. Odczytuje ono Twój aktywny DNS, potwierdza, że klucz DKIM rozwiązuje się i poprawnie się parsuje, sprawdza Twoją politykę i składnię DMARC oraz sygnalizuje, czy Twoja domena From będzie zgodna. Jeśli DKIM pokazuje błąd, najczęstszą przyczyną jest skrócony lub przeformatowany klucz publiczny, więc skopiuj go ponownie dokładnie z Brevo.

Najczęściej zadawane pytania

Czy potrzebuję rekordu SPF dla Brevo?

Nie przy wysyłce współdzielonej. Return-Path Brevo pozostaje na jego własnej domenie, więc SPF i tak nie może być zgodny z Twoim adresem From, a DMARC przechodzi wyłącznie dzięki zgodnemu DKIM. Wpis include SPF Brevo dodaj tylko wtedy, gdy używasz dedykowanego IP skonfigurowanego do wysyłki z Twojej domeny.

Dlaczego SPF zawodzi, ale mój e-mail z Brevo i tak przechodzi DMARC?

Ponieważ DMARC potrzebuje tylko jednego zgodnego, pozytywnego mechanizmu. Brevo podpisuje wiadomość za pomocą DKIM z użyciem Twojej domeny, ten podpis jest zgodny z Twoim nagłówkiem From, a DMARC przechodzi. Niezgodny wynik SPF jest oczekiwany na współdzielonych IP i Ci nie szkodzi.

Czy moje stare rekordy DKIM z Sendinblue są nadal ważne po zmianie nazwy na Brevo?

Tak. Zmiana marki nie zmieniła Twojego klucza podpisującego, który znajduje się w Twojej domenie. Istniejące rekordy DKIM nadal działają. Uwierzytelnij ponownie tylko wtedy, gdy Twoja konsola Brevo pokazuje domenę jako nieuwierzytelnioną lub z brakującym DKIM.

Czy uwierzytelnienie w Brevo spełni wymagania Gmaila i Yahoo?

Tak. Zgodny DKIM spełnia zasadę uwierzytelniania i zgodności, a Twój opublikowany rekord DMARC (co najmniej p=none) spełnia wymóg dotyczący polityki. Brevo dodaje też do kampanii rezygnację z subskrypcji jednym kliknięciem, pokrywając ten wymóg dla nadawców masowych.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki