Aby skonfigurować SPF, DKIM i DMARC w GoDaddy, otwórz panel DNS swojej domeny w Portfolio domen, dodaj lub edytuj jeden rekord TXT dla SPF, dodaj rekordy DKIM podane przez dostawcę poczty (zwykle rekordy CNAME), a dopiero potem dodaj rekord TXT DMARC w _dmarc. Kolejność ma znaczenie: najpierw uwierzytelnij pocztę za pomocą SPF i DKIM, potwierdź, że przechodzą pozytywnie, a następnie włącz DMARC w trybie monitorowania, aby nic nie zostało odrzucone, zanim skończysz. GoDaddy dopuszcza tylko jeden rekord SPF na domenę, więc jeśli wysyłasz pocztę przez Microsoft 365, Google Workspace lub własną pocztę GoDaddy, każde źródło musi zostać połączone w jednej linii.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
Ten przewodnik prowadzi przez aktualny ekran zarządzania DNS w GoDaddy, konkretne pułapki, które psują pocztę podczas konfiguracji, oraz rekord DMARC, który możesz wkleić już dziś.
Otwórz panel DNS GoDaddy we właściwy sposób
GoDaddy przeniosło zarządzanie DNS do Portfolio domen. Zaloguj się, przejdź do listy produktów i otwórz Portfolio domen (Domain Portfolio). Kliknij domenę, którą chcesz edytować, a następnie wybierz DNS (na starszych kontach widoczny jest przycisk Manage DNS). Trafisz na tabelę rekordów DNS z przyciskiem Add New Record.
Dwie rzeczy sprawiają ludziom problem, zanim jeszcze dodadzą jakikolwiek rekord. Po pierwsze, jeśli Twoja domena korzysta z serwerów nazw GoDaddy, edytujesz rekordy właśnie tutaj, ale jeśli przeniosłeś DNS do Cloudflare lub innego dostawcy, to nie w GoDaddy znajdują się Twoje rekordy. Sprawdź sekcję Nameservers na tej samej stronie: jeśli pokazuje coś innego niż GoDaddy, edytuj rekordy u tego dostawcy. Jeśli nie masz pewności, kto kontroluje Twój DNS, nasz przewodnik jak sprawdzić dostawcę DNS rozwieje wątpliwości w minutę.
Po drugie, edytor GoDaddy używa pola Name, w które wpisujesz host. To właśnie to pole stoi za najczęstszym błędem SPF, który omawiamy poniżej.
Najpierw dodaj rekord SPF (i tylko jeden)
SPF informuje serwery odbiorcze, które systemy mają prawo wysyłać pocztę z użyciem Twojej domeny. Publikuje się go jako pojedynczy rekord TXT w katalogu głównym domeny. Zasada, która wszystkich zaskakuje: domena może mieć dokładnie jeden rekord SPF. RFC 7208 mówi, że drugi rekord TXT z v=spf1 powoduje PermError, a większość odbiorców traktuje wtedy SPF jako nieudany. GoDaddy z chęcią pozwoli Ci utworzyć dwa, więc dyscyplina spoczywa na Tobie.
Jeśli wysyłasz pocztę wyłącznie przez pocztę GoDaddy (platforma secureserver.net), Twój rekord wygląda tak:
v=spf1 include:secureserver.net -all
Jeśli wysyłasz przez Microsoft 365, użyj:
v=spf1 include:spf.protection.outlook.com -all
Jeśli wysyłasz przez więcej niż jedną usługę, łączysz wpisy include w jeden rekord. Nie układaj dwóch linii jedna nad drugą. Domena z pocztą GoDaddy oraz narzędziem marketingowym może użyć:
v=spf1 include:secureserver.net include:spf.protection.outlook.com -all
Pułapka @ kontra prefiks hosta
W edytorze GoDaddy ustaw Type na TXT, a Name na @. Znak @ oznacza katalog główny domeny, czyli miejsce, w którym musi znajdować się SPF. Ludzie czasami wpisują tu nazwę domeny albo zostawiają prefiks subdomeny, co publikuje SPF na niewłaściwym hoście, gdzie żaden odbiorca go nie poszuka. Wklej pełny ciąg polityki w pole Value, zostaw TTL na wartości domyślnej (1 godzina jest w porządku) i zapisz.
Jeszcze dwie uwagi. Zachowaj jako końcowy mechanizm -all (twarde odrzucenie) lub ~all (miękkie odrzucenie) i nigdy nie używaj +all, który upoważnia cały internet do wysyłania poczty w Twoim imieniu. Oto dlaczego +all w rekordzie SPF jest niebezpieczne. I pilnuj liczby odwołań DNS: SPF jest ograniczony do 10 odwołań typu include, a, mx i podobnych. Dokładanie kolejnych narzędzi marketingowych przekracza ten limit i wywołuje PermError. Jeśli jesteś blisko granicy, przeczytaj jak naprawić zbyt wiele odwołań DNS w SPF.
Dodaj DKIM, zanim dotkniesz DMARC
DKIM podpisuje każdą wiadomość kluczem prywatnym przechowywanym przez Twoją platformę wysyłkową i publikuje pasujący klucz publiczny w DNS. Odbiorcy weryfikują podpis, co dowodzi, że wiadomość nie została zmieniona i naprawdę pochodzi z autoryzowanego systemu. W przeciwieństwie do SPF, DKIM przetrwa większość przekierowań, więc jest silniejszym z dwóch sygnałów dla dopasowania (alignment) DMARC.
Rekordów DKIM się nie wymyśla. Twój dostawca poczty generuje je i podaje dokładne nazwy hostów oraz wartości. W GoDaddy są to prawie zawsze rekordy CNAME, a powodem, dla którego DKIM woli CNAME od surowego klucza TXT, jest to, że pozwala to dostawcy rotować klucze bez ponownej edycji DNS z Twojej strony. Więcej o tym kompromisie w rekordy DKIM CNAME kontra TXT.
Typowe wzorce, które wklejasz do GoDaddy:
- Microsoft 365: dwa rekordy CNAME,
selector1._domainkeyiselector2._domainkey, każdy wskazujący na celonmicrosoft.com, który pokazuje Microsoft. Następnie włącz podpisywanie DKIM w portalu Microsoft Defender. - Google Workspace: pojedynczy rekord TXT w
google._domainkeyz kluczem z konsoli Google Admin. - Poczta GoDaddy / Microsoft 365 przez GoDaddy: GoDaddy często dodaje rekordy DKIM za Ciebie podczas tworzenia skrzynki. Potwierdź, że istnieją, zanim to założysz.
W edytorze GoDaddy wpisz w pole Name tylko część hosta. Jeśli dostawca podaje, że rekord to selector1._domainkey.yourdomain.com, wpisz selector1._domainkey w polu Name. GoDaddy automatycznie dokleja Twoją domenę, więc wpisanie pełnej nazwy tworzy zepsuty, podwojony host. To jest wersja DKIM tego samego zamieszania z prefiksem hosta, które dokucza przy SPF. Pełny opis krok po kroku znajdziesz w jak skonfigurować DKIM.
Zapisz rekordy DKIM i daj DNS kilka minut. Wyślij do siebie wiadomość testową i potwierdź, że zarówno SPF, jak i DKIM przechodzą pozytywnie, zanim ruszysz dalej. Pominięcie tego sprawdzenia to sposób, w jaki ludzie kończą z polityką DMARC po cichu odrzucającą legalną pocztę.
Dodaj DMARC na końcu, w trybie monitorowania
DMARC łączy SPF i DKIM za pomocą dopasowania (alignment) i mówi odbiorcom, co zrobić, gdy wiadomość zawiedzie oba te mechanizmy. Opublikowanie go, zanim SPF i DKIM zostaną zweryfikowane, to klasyczny sposób na zepsucie poczty podczas konfiguracji, i właśnie dlatego dodaje się go na końcu. Zacznij od polityki p=none, która prosi odbiorców o raportowanie, ale nie o odrzucanie ani kwarantannę czegokolwiek. Obserwujesz, potwierdzasz, że Twoi prawdziwi nadawcy przechodzą pozytywnie, a potem zaostrzasz.
Utwórz jeszcze jeden rekord TXT. W polu Name wpisz _dmarc (nie @, nie pełną domenę). Wklej ten startowy wpis w pole Value:
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com; fo=1
Zastąp skrzynkę prawdziwym adresem, który możesz czytać. Tag rua to miejsce, do którego wysyłane są raporty zbiorcze, dzięki czemu widzisz, kto wysyła pocztę jako Twoja domena. fo=1 prosi o raport o niepowodzeniu, gdy SPF lub DKIM zawiedzie dopasowanie. Na początku zachowaj prostotę; pct lub polityki dla subdomen możesz dodać później. Różnicę między none, quarantine i reject wyjaśniamy w polityka DMARC: none kontra quarantine kontra reject.
Pozostaw politykę na p=none przez dwa do czterech tygodni, gdy napływają raporty. Gdy potwierdzisz, że każde legalne źródło jest dopasowane, przejdź na p=quarantine, a docelowo na p=reject. To stopniowe wdrażanie jest całym sensem bezpiecznego przejścia DMARC z none do reject, i tego właśnie Google oraz Yahoo oczekują teraz od masowych nadawców.
Zweryfikuj, zanim odejdziesz
Zmiany DNS w GoDaddy zwykle propagują się w ciągu kilku minut, choć górny limit wyznacza TTL rekordu. Nie ufaj samemu panelowi; potwierdź, co faktycznie widzi internet. Przepuść swoją domenę przez powyższy analizator SPFWise. Odczytuje on Twoje aktywne rekordy SPF, DKIM i DMARC, sygnalizuje zduplikowany rekord SPF, liczy odwołania DNS, wykrywa rekord DMARC opublikowany na niewłaściwym hoście i zwraca ocenę literową wraz z konkretną poprawką dla wszystkiego, co zawodzi.
Jeśli coś jest nie tak, typowymi winowajcami w GoDaddy są drugi zabłąkany rekord TXT SPF, pełna nazwa hosta wpisana w pole Name albo DMARC przypadkowo ustawiony na @ zamiast _dmarc. Popraw, poczekaj na TTL i sprawdź ponownie.
Najczęściej zadawane pytania
Czy mogę mieć dwa rekordy SPF w GoDaddy?
Nie. Domena musi publikować dokładnie jeden rekord TXT z v=spf1. Dwa rekordy powodują PermError, a odbiorcy traktują SPF jako zepsuty. Jeśli wysyłasz pocztę przez pocztę GoDaddy i inną platformę, połącz oba wpisy include w jednej linii, na przykład v=spf1 include:secureserver.net include:spf.protection.outlook.com -all.
Co wpisać w pole Name w GoDaddy dla DMARC?
Wpisz _dmarc. GoDaddy automatycznie dokleja Twoją domenę, więc rekord staje się _dmarc.yourdomain.com, czyli tam, gdzie musi znajdować się DMARC. Nie wpisuj @ (to dla SPF w katalogu głównym) ani nie wpisuj pełnej domeny, co tworzy podwojony, nieprawidłowy host.
Dlaczego powinienem dodać DMARC po SPF i DKIM?
Ponieważ DMARC działa na podstawie wyników SPF i DKIM. Jeśli opublikujesz restrykcyjną politykę DMARC, zanim te dwa mechanizmy zostaną zweryfikowane jako przechodzące pozytywnie, odbiorcy mogą poddać kwarantannie lub odrzucić Twoją prawdziwą pocztę. Zacznij od p=none, potwierdź dopasowanie swoich nadawców za pomocą raportów zbiorczych, a potem zaostrz do quarantine i reject.
Czy GoDaddy konfiguruje DKIM automatycznie?
Czasami. Gdy tworzysz skrzynkę hostowaną w GoDaddy lub Microsoft 365 przez GoDaddy, rekordy DKIM są często dodawane za Ciebie. Nie zakładaj, że tak się stało. Sprawdź w panelu DNS rekordy _domainkey i wyślij wiadomość testową, aby potwierdzić, że DKIM faktycznie podpisuje i przechodzi pozytywnie.