BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
dmarc

Jak dodać rekordy SPF, DKIM i DMARC w Cloudflare (krok po kroku)

Dodaj SPF, DKIM i DMARC w DNS Cloudflare z dokładnymi kliknięciami w panelu i gotowymi do wklejenia wartościami TXT. Omawiamy pułapki, które psują konfigurację: rekordy TXT muszą być w trybie szarej chmury (DNS only), Cloudflare automatycznie dopisuje Twoją domenę, więc wpisujesz _dmarc, a nie pełną nazwę hosta, oraz czym kreator Email DMARC Management różni się od ręcznych rekordów. Na koniec potwierdź, że uwierzytelnianie przechodzi, za pomocą darmowego narzędzia spfwise.

Zaktualizowano 5 lip 20267 min czytania

Cloudflare hostuje Twój DNS, więc wszystkie trzy rekordy uwierzytelniania poczty - SPF, DKIM i DMARC - to zwykłe rekordy TXT, które dodajesz w zakładce DNS. Cała praca to trzy rekordy, a jedyne prawdziwe pułapki to przełącznik proxy (pomarańczowa chmura), który dla tych rekordów musi być wyłączony, sposób, w jaki Cloudflare automatycznie dopisuje Twoją domenę do pola nazwy, oraz wiedza o tym, które wartości faktycznie podaje Ci dostawca poczty. Ten przewodnik daje Ci dokładne kliknięcia i gotowe do wklejenia przykłady dla każdego rekordu.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

W skrócie: SPF wskazuje, kto może wysyłać w imieniu Twojej domeny, DKIM kryptograficznie podpisuje Twoją pocztę, a DMARC mówi odbiorcom, co zrobić, gdy wiadomość nie przejdzie obu tych kontroli. Potrzebujesz wszystkich trzech, aby spełnić wymagania nadawców Gmail i Yahoo oraz zatrzymać podszywanie się. Cloudflare sprawia, że idzie to szybko, gdy już wiesz, skąd pochodzi każda wartość.

Zanim zaczniesz: zbierz wartości od swojego dostawcy

Nie napiszesz tych rekordów z pamięci. Dwa z trzech zależą całkowicie od tego, która usługa wysyła Twoją pocztę (Google Workspace, Microsoft 365, ESP taki jak Mailchimp lub SendGrid, albo Twój własny serwer).

  • SPF: Twój dostawca publikuje mechanizm include:, na przykład include:_spf.google.com dla Google Workspace lub include:spf.protection.outlook.com dla Microsoft 365.
  • DKIM: Twój dostawca generuje klucz publiczny i podaje Ci dokładną nazwę hosta (selektor) oraz wartość. To jedyna część, którą musisz skopiować z konsoli dostawcy. Nie zgaduj selektorów.
  • DMARC: ten rekord piszesz sam. Nie zależy on od dostawcy.

Jeśli nie masz pewności, czy Cloudflare w ogóle jest Twoim hostem DNS, sprawdź najpierw, na co wskazują Twoje serwery nazw. Nasz przewodnik jak znaleźć swojego hosta DNS prowadzi przez ten proces. Gdy Twoja domena pokazuje status "Active" w Cloudflare z serwerami nazw Cloudflare, jesteś we właściwym miejscu.

Dwie pułapki, które psują konfiguracje w Cloudflare

Zanim przejdziesz do kroków, poznaj dwa błędy, które powodują większość nieudanych rekordów w Cloudflare. Oba wynikają ze sposobu działania panelu Cloudflare.

Pułapka 1: rekordy TXT muszą być w trybie szarej chmury "DNS only"

Ikona pomarańczowej chmury oznacza, że Cloudflare przekazuje ruch przez swoją sieć (proxy). To poprawne dla rekordów A i CNAME wskazujących na Twoją stronę, ale bez znaczenia dla rekordów TXT - a jeśli kiedykolwiek dodasz DKIM jako CNAME (niektórzy dostawcy dają Ci CNAME zamiast TXT), ten CNAME musi być w szarej chmurze, "DNS only". Proxowany (pomarańczowy) CNAME DKIM nie rozwiąże się do klucza Twojego dostawcy i podpisywanie po cichu zawiedzie.

Dla rekordów TXT SPF, DKIM i DMARC z tego przewodnika Cloudflare nawet nie pokazuje przełącznika proxy przy typie TXT, więc jesteś bezpieczny. Ta pułapka dotyka osób publikujących DKIM przez CNAME. Pamiętaj: rekordy uwierzytelniania są zawsze DNS only.

Pułapka 2: Cloudflare automatycznie dopisuje Twoją domenę do pola Name

To najczęstszy błąd w Cloudflare. Gdy wpisujesz nazwę, Cloudflare automatycznie dodaje Twoją domenę na końcu. Więc dla rekordu DMARC wpisujesz _dmarc, a nie _dmarc.yourdomain.com. Jeśli wpiszesz pełną nazwę hosta, Cloudflare utworzy _dmarc.yourdomain.com.yourdomain.com, o który żaden odbiorca nigdy nie zapyta.

Zasada dla każdego rekordu poniżej:

  • Dla domeny głównej (SPF) wpisz @ w polu Name.
  • Dla DMARC wpisz _dmarc.
  • Dla DKIM wpisz tylko część selektora podaną przez dostawcę, na przykład google._domainkey, a nie google._domainkey.yourdomain.com.

Po zapisaniu Cloudflare pokazuje pełną nazwę na liście rekordów, dzięki czemu możesz potwierdzić, że rozwinęła się poprawnie.

Krok 1: dodaj rekord SPF

SPF to pojedynczy rekord TXT na Twojej domenie głównej. W panelu Cloudflare wybierz swoją domenę, otwórz DNS > Records i kliknij Add record.

  • Type: TXT
  • Name: @
  • Content: Twój ciąg SPF

Przykład dla Google Workspace wygląda tak:

v=spf1 include:_spf.google.com ~all

Domena wysyłająca przez Microsoft 365 i jeden ESP:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ~all

Trzy zasady ważniejsze niż nazwa dostawcy:

  1. Jeden rekord SPF na domenę. Jeśli masz już rekord TXT v=spf1, edytuj go i dodaj nowy include:. Nigdy nie publikuj dwóch osobnych rekordów SPF - to trwały błąd.
  2. Zakończ na ~all (softfail) lub -all (hardfail), nigdy na +all. Końcowe +all upoważnia cały internet do wysyłania w Twoim imieniu. Dlaczego, przeczytasz w dlaczego +all w rekordzie SPF jest niebezpieczne.
  3. Nie przekraczaj 10 zapytań DNS. Każdy include: się liczy. Zbyt wiele zagnieżdżonych include wywołuje PermError i SPF przestaje być przetwarzane. Jeśli jesteś blisko limitu, przeczytaj jak naprawić zbyt wiele zapytań DNS w SPF.

Kliknij Save. SPF gotowe.

Krok 2: dodaj rekord DKIM

DKIM to miejsce, gdzie musisz użyć dokładnych wartości od dostawcy, ponieważ rekord zawiera klucz publiczny sparowany z kluczem prywatnym, który posiada Twój dostawca. Kopiuj, nie przepisuj.

Większość dostawców daje Ci albo rekord TXT, albo CNAME.

Jeśli dostawca daje rekord TXT (częste w Google Workspace i wielu ESP):

  • Type: TXT
  • Name: selektor, na przykład selector1._domainkey lub s1._domainkey
  • Content: długi ciąg v=DKIM1; k=rsa; p=... dokładnie tak, jak został podany

Wartość DKIM wygląda tak (Twoja będzie znacznie dłuższa):

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ...

Jeśli dostawca daje CNAME (częste w Microsoft 365, Amazon SES i innych):

  • Type: CNAME
  • Name: selektor, na przykład selector1._domainkey
  • Target: host wskazany przez dostawcę, na przykład dkim.provider.com
  • Proxy status: szara chmura, DNS only (to Pułapka 1 - proxowany CNAME psuje DKIM)

Czy lepszy jest TXT, czy CNAME i dlaczego niektórzy dostawcy preferują jeden z nich, omawiamy w DKIM CNAME kontra rekord TXT. Jeśli wysyłasz z więcej niż jednej platformy, każda dostaje własny selektor; zobacz wiele selektorów DKIM na jednej domenie.

Zapisz rekord. Klucze DKIM mogą potrzebować czasu na propagację, więc jeśli weryfikacja w konsoli dostawcy nie powiedzie się za pierwszym razem, poczekaj i spróbuj ponownie zamiast edytować wartość.

Krok 3: dodaj rekord DMARC

DMARC to rekord, który piszesz sam, i ma ten sam kształt niezależnie od tego, kto wysyła Twoją pocztę. Dodaj kolejny rekord TXT.

  • Type: TXT
  • Name: _dmarc (Pułapka 2 - tylko _dmarc, Cloudflare dopisze resztę)
  • Content: Twoja polityka DMARC

Zacznij w trybie monitorowania, aby zbierać dane bez wpływu na dostarczalność:

v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com

Tag po tagu:

  • p=none oznacza "nie działaj, tylko raportuj". To bezpieczny punkt startowy. Jeszcze Cię nie chroni - obserwuje. Celem jest przejście do p=quarantine, a następnie p=reject, czyli do ustawienia, które faktycznie blokuje sfałszowaną pocztę. Zaplanuj tę drogę z pomocą jak przejść z DMARC none do reject.
  • rua=mailto:... to adres, na który wysyłane są raporty zbiorcze. Użyj prawdziwej skrzynki lub skrzynki, którą monitorujesz. Te raporty XML pokazują każde źródło wysyłające w imieniu Twojej domeny.
  • Różnicę między politykami wyjaśniamy w polityka DMARC: none, quarantine i reject.

Zapisz. Masz teraz wszystkie trzy rekordy aktywne.

Kreator Email > DMARC Management kontra ręczne rekordy

Cloudflare dodał panel Email > DMARC Management, który może opublikować za Ciebie rekord DMARC, a w niektórych planach zbierać i podsumowywać raporty zbiorcze otrzymywane na własny adres Cloudflare. W tle zapisuje on zwykły rekord TXT _dmarc, więc robi to samo co Krok 3.

Dwie rzeczy warto wiedzieć. Po pierwsze, nie uruchamiaj obu - jeśli kreator opublikuje rekord _dmarc, a Ty dodatkowo dodasz jeden ręcznie, powstanie konflikt. Wybierz jedną metodę. Po drugie, kreator nie tworzy rekordów SPF ani DKIM; te nadal są Krokiem 1 i 2. Użyj kreatora, jeśli chcesz, aby Cloudflare zajął się raportowaniem DMARC za Ciebie, albo napisz rekord ręcznie, jeśli planujesz wysyłać raporty na własny adres lub do zewnętrznego analizatora.

Krok 4: potwierdź, że uwierzytelnianie faktycznie przechodzi

Opublikowanie rekordu to nie to samo co jego przejście. Literówka w include SPF, klucz DKIM, który się nie rozpropagował, czy błąd w nazwie typu _dmarc.yourdomain.com.yourdomain.com - wszystko to wygląda dobrze w panelu, ale zawodzi u odbiorcy.

Przepuść swoją domenę przez darmowe narzędzie spfwise. Odpytuje ono na żywo wszystkie trzy rekordy, potwierdza, że SPF rozwiązuje się w granicach limitu 10 zapytań, sprawdza, czy DKIM jest opublikowany dla Twojego selektora, i odczytuje Twoją politykę DMARC wraz z oceną. Jeśli coś jest nie tak, mówi, który rekord i co zmienić. To różnica między "dodałem rekordy" a "uwierzytelnianie przechodzi".

Aby zobaczyć szerszy obraz tego, co robi każdy rekord i jak współpracują, SPF, DKIM i DMARC wyjaśnione to elementarz, a jeśli Twoim celem jest konkretnie spełnienie zasad dostawców skrzynek, zobacz wymagania nadawców Google i Yahoo.

Najczęściej zadawane pytania

Czy w Cloudflare wpisuję pełną nazwę hosta, czy tylko _dmarc?

Tylko _dmarc. Cloudflare automatycznie dopisuje Twoją domenę do tego, co wpiszesz w polu Name. Jeśli wpiszesz _dmarc.yourdomain.com, utworzysz _dmarc.yourdomain.com.yourdomain.com, o który żaden odbiorca poczty nigdy nie zapyta. Ta sama zasada dotyczy SPF (użyj @) i DKIM (użyj tylko selektora, na przykład google._domainkey).

Czy rekordy SPF i DKIM powinny być pomarańczową czy szarą chmurą?

Szarą chmurą, DNS only. Pomarańczowe proxy dotyczy ruchu webowego na rekordach A i CNAME, a nie rekordów uwierzytelniania. Rekordy TXT w ogóle nie mają przełącznika proxy. Jedyne miejsce, gdzie może Cię to ugryźć, to rekord DKIM opublikowany jako CNAME - jeśli jest pomarańczowy (proxowany), nie rozwiąże się do klucza dostawcy i podpisywanie zawiedzie. Zawsze trzymaj CNAME-y DKIM w trybie DNS only.

Jak długo, zanim rekordy w Cloudflare zaczną działać?

Cloudflare wprowadza zmiany DNS w swojej sieci w ciągu sekund, a ponieważ używa niskiego domyślnego TTL, większość zmian jest widoczna dla odbiorców w kilka minut. Weryfikacja DKIM w konsoli dostawcy może czasem opóźniać się dłużej, więc jeśli nie powiedzie się przy pierwszym sprawdzeniu, poczekaj i spróbuj ponownie zamiast edytować wartość klucza.

Czy mogę użyć kreatora DMARC Management w Cloudflare zamiast pisać rekord?

Tak. Panel Email > DMARC Management publikuje standardowy rekord TXT _dmarc, a w obsługiwanych planach podsumowuje za Ciebie raporty zbiorcze. Tylko nie dodawaj dodatkowo ręcznego rekordu _dmarc, bo te dwa będą w konflikcie. Kreator obsługuje wyłącznie DMARC - SPF i DKIM nadal dodajesz sam.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki