Cloudflare hostuje Twój DNS, więc wszystkie trzy rekordy uwierzytelniania poczty - SPF, DKIM i DMARC - to zwykłe rekordy TXT, które dodajesz w zakładce DNS. Cała praca to trzy rekordy, a jedyne prawdziwe pułapki to przełącznik proxy (pomarańczowa chmura), który dla tych rekordów musi być wyłączony, sposób, w jaki Cloudflare automatycznie dopisuje Twoją domenę do pola nazwy, oraz wiedza o tym, które wartości faktycznie podaje Ci dostawca poczty. Ten przewodnik daje Ci dokładne kliknięcia i gotowe do wklejenia przykłady dla każdego rekordu.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
W skrócie: SPF wskazuje, kto może wysyłać w imieniu Twojej domeny, DKIM kryptograficznie podpisuje Twoją pocztę, a DMARC mówi odbiorcom, co zrobić, gdy wiadomość nie przejdzie obu tych kontroli. Potrzebujesz wszystkich trzech, aby spełnić wymagania nadawców Gmail i Yahoo oraz zatrzymać podszywanie się. Cloudflare sprawia, że idzie to szybko, gdy już wiesz, skąd pochodzi każda wartość.
Zanim zaczniesz: zbierz wartości od swojego dostawcy
Nie napiszesz tych rekordów z pamięci. Dwa z trzech zależą całkowicie od tego, która usługa wysyła Twoją pocztę (Google Workspace, Microsoft 365, ESP taki jak Mailchimp lub SendGrid, albo Twój własny serwer).
- SPF: Twój dostawca publikuje mechanizm
include:, na przykładinclude:_spf.google.comdla Google Workspace lubinclude:spf.protection.outlook.comdla Microsoft 365. - DKIM: Twój dostawca generuje klucz publiczny i podaje Ci dokładną nazwę hosta (selektor) oraz wartość. To jedyna część, którą musisz skopiować z konsoli dostawcy. Nie zgaduj selektorów.
- DMARC: ten rekord piszesz sam. Nie zależy on od dostawcy.
Jeśli nie masz pewności, czy Cloudflare w ogóle jest Twoim hostem DNS, sprawdź najpierw, na co wskazują Twoje serwery nazw. Nasz przewodnik jak znaleźć swojego hosta DNS prowadzi przez ten proces. Gdy Twoja domena pokazuje status "Active" w Cloudflare z serwerami nazw Cloudflare, jesteś we właściwym miejscu.
Dwie pułapki, które psują konfiguracje w Cloudflare
Zanim przejdziesz do kroków, poznaj dwa błędy, które powodują większość nieudanych rekordów w Cloudflare. Oba wynikają ze sposobu działania panelu Cloudflare.
Pułapka 1: rekordy TXT muszą być w trybie szarej chmury "DNS only"
Ikona pomarańczowej chmury oznacza, że Cloudflare przekazuje ruch przez swoją sieć (proxy). To poprawne dla rekordów A i CNAME wskazujących na Twoją stronę, ale bez znaczenia dla rekordów TXT - a jeśli kiedykolwiek dodasz DKIM jako CNAME (niektórzy dostawcy dają Ci CNAME zamiast TXT), ten CNAME musi być w szarej chmurze, "DNS only". Proxowany (pomarańczowy) CNAME DKIM nie rozwiąże się do klucza Twojego dostawcy i podpisywanie po cichu zawiedzie.
Dla rekordów TXT SPF, DKIM i DMARC z tego przewodnika Cloudflare nawet nie pokazuje przełącznika proxy przy typie TXT, więc jesteś bezpieczny. Ta pułapka dotyka osób publikujących DKIM przez CNAME. Pamiętaj: rekordy uwierzytelniania są zawsze DNS only.
Pułapka 2: Cloudflare automatycznie dopisuje Twoją domenę do pola Name
To najczęstszy błąd w Cloudflare. Gdy wpisujesz nazwę, Cloudflare automatycznie dodaje Twoją domenę na końcu. Więc dla rekordu DMARC wpisujesz _dmarc, a nie _dmarc.yourdomain.com. Jeśli wpiszesz pełną nazwę hosta, Cloudflare utworzy _dmarc.yourdomain.com.yourdomain.com, o który żaden odbiorca nigdy nie zapyta.
Zasada dla każdego rekordu poniżej:
- Dla domeny głównej (SPF) wpisz
@w polu Name. - Dla DMARC wpisz
_dmarc. - Dla DKIM wpisz tylko część selektora podaną przez dostawcę, na przykład
google._domainkey, a niegoogle._domainkey.yourdomain.com.
Po zapisaniu Cloudflare pokazuje pełną nazwę na liście rekordów, dzięki czemu możesz potwierdzić, że rozwinęła się poprawnie.
Krok 1: dodaj rekord SPF
SPF to pojedynczy rekord TXT na Twojej domenie głównej. W panelu Cloudflare wybierz swoją domenę, otwórz DNS > Records i kliknij Add record.
- Type: TXT
- Name:
@ - Content: Twój ciąg SPF
Przykład dla Google Workspace wygląda tak:
v=spf1 include:_spf.google.com ~all
Domena wysyłająca przez Microsoft 365 i jeden ESP:
v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net ~all
Trzy zasady ważniejsze niż nazwa dostawcy:
- Jeden rekord SPF na domenę. Jeśli masz już rekord TXT
v=spf1, edytuj go i dodaj nowyinclude:. Nigdy nie publikuj dwóch osobnych rekordów SPF - to trwały błąd. - Zakończ na
~all(softfail) lub-all(hardfail), nigdy na+all. Końcowe+allupoważnia cały internet do wysyłania w Twoim imieniu. Dlaczego, przeczytasz w dlaczego +all w rekordzie SPF jest niebezpieczne. - Nie przekraczaj 10 zapytań DNS. Każdy
include:się liczy. Zbyt wiele zagnieżdżonych include wywołuje PermError i SPF przestaje być przetwarzane. Jeśli jesteś blisko limitu, przeczytaj jak naprawić zbyt wiele zapytań DNS w SPF.
Kliknij Save. SPF gotowe.
Krok 2: dodaj rekord DKIM
DKIM to miejsce, gdzie musisz użyć dokładnych wartości od dostawcy, ponieważ rekord zawiera klucz publiczny sparowany z kluczem prywatnym, który posiada Twój dostawca. Kopiuj, nie przepisuj.
Większość dostawców daje Ci albo rekord TXT, albo CNAME.
Jeśli dostawca daje rekord TXT (częste w Google Workspace i wielu ESP):
- Type: TXT
- Name: selektor, na przykład
selector1._domainkeylubs1._domainkey - Content: długi ciąg
v=DKIM1; k=rsa; p=...dokładnie tak, jak został podany
Wartość DKIM wygląda tak (Twoja będzie znacznie dłuższa):
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ...
Jeśli dostawca daje CNAME (częste w Microsoft 365, Amazon SES i innych):
- Type: CNAME
- Name: selektor, na przykład
selector1._domainkey - Target: host wskazany przez dostawcę, na przykład
dkim.provider.com - Proxy status: szara chmura, DNS only (to Pułapka 1 - proxowany CNAME psuje DKIM)
Czy lepszy jest TXT, czy CNAME i dlaczego niektórzy dostawcy preferują jeden z nich, omawiamy w DKIM CNAME kontra rekord TXT. Jeśli wysyłasz z więcej niż jednej platformy, każda dostaje własny selektor; zobacz wiele selektorów DKIM na jednej domenie.
Zapisz rekord. Klucze DKIM mogą potrzebować czasu na propagację, więc jeśli weryfikacja w konsoli dostawcy nie powiedzie się za pierwszym razem, poczekaj i spróbuj ponownie zamiast edytować wartość.
Krok 3: dodaj rekord DMARC
DMARC to rekord, który piszesz sam, i ma ten sam kształt niezależnie od tego, kto wysyła Twoją pocztę. Dodaj kolejny rekord TXT.
- Type: TXT
- Name:
_dmarc(Pułapka 2 - tylko_dmarc, Cloudflare dopisze resztę) - Content: Twoja polityka DMARC
Zacznij w trybie monitorowania, aby zbierać dane bez wpływu na dostarczalność:
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com
Tag po tagu:
p=noneoznacza "nie działaj, tylko raportuj". To bezpieczny punkt startowy. Jeszcze Cię nie chroni - obserwuje. Celem jest przejście dop=quarantine, a następniep=reject, czyli do ustawienia, które faktycznie blokuje sfałszowaną pocztę. Zaplanuj tę drogę z pomocą jak przejść z DMARC none do reject.rua=mailto:...to adres, na który wysyłane są raporty zbiorcze. Użyj prawdziwej skrzynki lub skrzynki, którą monitorujesz. Te raporty XML pokazują każde źródło wysyłające w imieniu Twojej domeny.- Różnicę między politykami wyjaśniamy w polityka DMARC: none, quarantine i reject.
Zapisz. Masz teraz wszystkie trzy rekordy aktywne.
Kreator Email > DMARC Management kontra ręczne rekordy
Cloudflare dodał panel Email > DMARC Management, który może opublikować za Ciebie rekord DMARC, a w niektórych planach zbierać i podsumowywać raporty zbiorcze otrzymywane na własny adres Cloudflare. W tle zapisuje on zwykły rekord TXT _dmarc, więc robi to samo co Krok 3.
Dwie rzeczy warto wiedzieć. Po pierwsze, nie uruchamiaj obu - jeśli kreator opublikuje rekord _dmarc, a Ty dodatkowo dodasz jeden ręcznie, powstanie konflikt. Wybierz jedną metodę. Po drugie, kreator nie tworzy rekordów SPF ani DKIM; te nadal są Krokiem 1 i 2. Użyj kreatora, jeśli chcesz, aby Cloudflare zajął się raportowaniem DMARC za Ciebie, albo napisz rekord ręcznie, jeśli planujesz wysyłać raporty na własny adres lub do zewnętrznego analizatora.
Krok 4: potwierdź, że uwierzytelnianie faktycznie przechodzi
Opublikowanie rekordu to nie to samo co jego przejście. Literówka w include SPF, klucz DKIM, który się nie rozpropagował, czy błąd w nazwie typu _dmarc.yourdomain.com.yourdomain.com - wszystko to wygląda dobrze w panelu, ale zawodzi u odbiorcy.
Przepuść swoją domenę przez darmowe narzędzie spfwise. Odpytuje ono na żywo wszystkie trzy rekordy, potwierdza, że SPF rozwiązuje się w granicach limitu 10 zapytań, sprawdza, czy DKIM jest opublikowany dla Twojego selektora, i odczytuje Twoją politykę DMARC wraz z oceną. Jeśli coś jest nie tak, mówi, który rekord i co zmienić. To różnica między "dodałem rekordy" a "uwierzytelnianie przechodzi".
Aby zobaczyć szerszy obraz tego, co robi każdy rekord i jak współpracują, SPF, DKIM i DMARC wyjaśnione to elementarz, a jeśli Twoim celem jest konkretnie spełnienie zasad dostawców skrzynek, zobacz wymagania nadawców Google i Yahoo.
Najczęściej zadawane pytania
Czy w Cloudflare wpisuję pełną nazwę hosta, czy tylko _dmarc?
Tylko _dmarc. Cloudflare automatycznie dopisuje Twoją domenę do tego, co wpiszesz w polu Name. Jeśli wpiszesz _dmarc.yourdomain.com, utworzysz _dmarc.yourdomain.com.yourdomain.com, o który żaden odbiorca poczty nigdy nie zapyta. Ta sama zasada dotyczy SPF (użyj @) i DKIM (użyj tylko selektora, na przykład google._domainkey).
Czy rekordy SPF i DKIM powinny być pomarańczową czy szarą chmurą?
Szarą chmurą, DNS only. Pomarańczowe proxy dotyczy ruchu webowego na rekordach A i CNAME, a nie rekordów uwierzytelniania. Rekordy TXT w ogóle nie mają przełącznika proxy. Jedyne miejsce, gdzie może Cię to ugryźć, to rekord DKIM opublikowany jako CNAME - jeśli jest pomarańczowy (proxowany), nie rozwiąże się do klucza dostawcy i podpisywanie zawiedzie. Zawsze trzymaj CNAME-y DKIM w trybie DNS only.
Jak długo, zanim rekordy w Cloudflare zaczną działać?
Cloudflare wprowadza zmiany DNS w swojej sieci w ciągu sekund, a ponieważ używa niskiego domyślnego TTL, większość zmian jest widoczna dla odbiorców w kilka minut. Weryfikacja DKIM w konsoli dostawcy może czasem opóźniać się dłużej, więc jeśli nie powiedzie się przy pierwszym sprawdzeniu, poczekaj i spróbuj ponownie zamiast edytować wartość klucza.
Czy mogę użyć kreatora DMARC Management w Cloudflare zamiast pisać rekord?
Tak. Panel Email > DMARC Management publikuje standardowy rekord TXT _dmarc, a w obsługiwanych planach podsumowuje za Ciebie raporty zbiorcze. Tylko nie dodawaj dodatkowo ręcznego rekordu _dmarc, bo te dwa będą w konflikcie. Kreator obsługuje wyłącznie DMARC - SPF i DKIM nadal dodajesz sam.