Aby przejść uwierzytelnianie poczty w Google Workspace, potrzebujesz trzech rekordów DNS w określonej kolejności: rekordu SPF TXT, który autoryzuje serwery Google, klucza DKIM wygenerowanego w konsoli administracyjnej i opublikowanego jako rekord TXT oraz polityki DMARC, która mówi odbiorcom, co zrobić z wiadomością, gdy ta nie przejdzie weryfikacji. Wykonaj je w tej właśnie kolejności i sprawdź każdy z nich na żywo, zanim dotkniesz następnego. Pomyl kolejność, a możesz zablokować się na niesprawnej polityce DMARC, zanim DKIM w ogóle zacznie podpisywać.
Ten przewodnik podaje dokładne wartości do opublikowania, kolejne kliknięcia w konsoli administracyjnej oraz jedno ustawienie DKIM, które ludzie pomijają i przez które podpisują pocztę słabym kluczem.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
Krok 1: Opublikuj rekord SPF
SPF (RFC 7208) pozwala odbiorcy potwierdzić, że serwer wysyłający Twoją pocztę jest jednym z tych, które zatwierdziłeś. W przypadku Google Workspace Google publikuje pojedynczy mechanizm include, który rozwija się do wszystkich zakresów adresów IP, z których wysyła pocztę, dzięki czemu Twój rekord pozostaje krótki i nigdy nie wymaga ręcznych aktualizacji adresów IP.
Dodaj ten rekord TXT w korzeniu swojej domeny:
v=spf1 include:_spf.google.com ~all
Kilka istotnych zasad:
- Na domenę możesz mieć tylko jeden rekord SPF. Jeśli masz już rekord
v=spf1dla innej usługi, scal je w jeden rekord zamiast publikować drugi. Dwa rekordy SPF to permerror i oba są ignorowane. - Końcówka
~allto miękkie odrzucenie (soft fail). Mówi odbiorcom, że wszystko, co nie zostało wymienione, jest podejrzane, ale powinno zostać mimo to przyjęte i oznaczone. Zacznij tutaj. Przejdź do-all(twarde odrzucenie) dopiero wtedy, gdy masz pewność, że każdy uprawniony nadawca jest uwzględniony, w przeciwnym razie zaczniesz odbijać własną pocztę. - Nigdy nie używaj
+all. To autoryzuje cały internet do wysyłania w Twoim imieniu i jest gorsze niż brak rekordu w ogóle. Wyjaśniamy dlaczego w przewodniku o niebezpieczeństwie +all.
Jeśli wysyłasz również przez inne usługi (CRM, system pomocy technicznej, platformę marketingową), każda z nich dodaje własny include. Pilnuj liczby: SPF pozwala na maksymalnie 10 zapytań DNS, zanim zgłosi błąd. Jeśli jesteś blisko limitu, przeczytaj jak naprawić zbyt wiele zapytań SPF, zanim dodasz kolejne.
Zweryfikuj, zanim przejdziesz dalej
Propagacja DNS zwykle trwa kilka minut, ale może zająć nawet godzinę. Przepuść swoją domenę przez skaner na górze tej strony i potwierdź, że SPF wskazuje wynik pozytywny, a mechanizm include Google rozwija się bez błędów. Nie zaczynaj konfiguracji DKIM, dopóki SPF nie będzie na zielono.
Krok 2: Wygeneruj i opublikuj DKIM w konsoli administracyjnej
DKIM (RFC 6376) dodaje kryptograficzny podpis do każdej wychodzącej wiadomości. Odbiorca pobiera Twój klucz publiczny z DNS i weryfikuje podpis, co dowodzi, że treść wiadomości i kluczowe nagłówki nie zostały zmienione w drodze oraz że poczta rzeczywiście pochodzi z Twojej domeny. W przeciwieństwie do SPF, DKIM przetrwa większość przekierowań, dlatego ma większe znaczenie dla zgodności DMARC (alignment).
Google nie podpisuje Twojej poczty, dopóki nie włączysz DKIM. Zupełnie nowa domena w Workspace domyślnie wysyła niepodpisaną pocztę, więc ten krok nie jest opcjonalny.
Dokładna procedura
- Zaloguj się do konsoli administracyjnej Google pod adresem admin.google.com na koncie superadministratora.
- Przejdź do Aplikacje > Google Workspace > Gmail > Uwierzytelnij pocztę e-mail.
- Wybierz swoją domenę z listy rozwijanej na górze.
- Zanim cokolwiek wygenerujesz, ustaw długość klucza DKIM na 2048 bitów. To właśnie tu tkwi haczyk. Niektóre środowiska Workspace nadal domyślnie ustawiają selektor na klucz 1024-bitowy, który jest słabszy i coraz częściej niedarzony zaufaniem. Najpierw zmień na 2048, a dopiero potem generuj.
- Kliknij Wygeneruj nowy rekord. Google pokaże Ci host/selektor DNS (
google) oraz długą wartość TXT zaczynającą się odv=DKIM1; k=rsa; p=.... - Skopiuj host i wartość do nowego rekordu TXT u swojego dostawcy DNS. Host to zazwyczaj
google._domainkey. Opublikuj go.
Selektor używany przez Google to google, więc Twój rekord DKIM znajduje się pod adresem google._domainkey.twojadomena.com. Ponieważ 2048-bitowy klucz publiczny jest długi, niektórzy dostawcy DNS dzielą go na kilka ciągów w cudzysłowach w obrębie tego samego rekordu. To normalne, a resolvery składają go z powrotem.
Włącz podpisywanie
Gdy rekord DNS jest już opublikowany i rozpropagowany, wróć na tę samą stronę Uwierzytelnij pocztę e-mail i kliknij Rozpocznij uwierzytelnianie. Dopóki tego nie klikniesz, klucz istnieje w DNS, ale Google niczego nie podpisuje. Jeśli klikniesz zbyt wcześnie, zanim DNS się rozpropaguje, Google zgłosi, że nie może znaleźć rekordu. Odczekaj kilka minut i spróbuj ponownie.
Zweryfikuj, zanim przejdziesz dalej
Uruchom skaner ponownie. Potwierdź, że DKIM pokazuje prawidłowy klucz 2048-bitowy na selektorze google oraz że status to podpisywanie. Jeśli przeszedłeś z klucza 1024-bitowego, miej świadomość, że stary klucz może się jeszcze utrzymywać; czysty wynik kontroli potwierdza, że w użyciu jest klucz 2048-bitowy. To także moment, aby zaplanować na później harmonogram rotacji klucza.
Krok 3: Na końcu dodaj politykę DMARC
DMARC (RFC 7489) spina SPF i DKIM w całość. Mówi odbiorcom, co zrobić z pocztą, która nie przejdzie uwierzytelniania, i dokąd wysyłać raporty. Dodajesz go na końcu z konkretnego powodu: jeśli opublikujesz egzekwującą politykę DMARC, zanim SPF i DKIM przejdą weryfikację i będą zgodne (aligned), możesz wysłać własną legalną pocztę prosto do kwarantanny lub do odrzucenia.
Zacznij w trybie samego monitorowania. Opublikuj ten rekord TXT pod adresem _dmarc.twojadomena.com:
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com
p=noneoznacza brak działań egzekwujących, jedynie obserwację. Nic nie jest blokowane.ruato adres, który otrzymuje dzienne raporty zbiorcze. Użyj skrzynki, którą kontrolujesz. Raporty te pokazują każde źródło wysyłające pocztę z Twojej domeny, dzięki czemu wychwycisz zapomnianą usługę, zanim włączysz egzekwowanie.
Pozostaw to działające przez jeden do dwóch tygodni. Przeczytaj raporty zbiorcze (nasz przewodnik o czytaniu raportów zbiorczych DMARC omawia strukturę XML) i potwierdź, że cała Twoja legalna poczta przechodzi SPF lub DKIM z zachowaniem zgodności. Dopiero wtedy zaostrz politykę.
Przejście do egzekwowania
Gdy raporty są już czyste, zaostrzaj politykę stopniowo, zamiast przeskakiwać od razu do odrzucania:
v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com
Następnie, gdy kwarantanna wygląda dobrze, przejdź do p=reject. Pełną ścieżkę, w tym sposób użycia znacznika pct do stopniowego zwiększania, opisujemy w jak przejść z DMARC none do reject. To osiągnięcie p=reject faktycznie powstrzymuje podszywanie się pod Twoją domenę, ponieważ p=none niczego nie blokuje.
Dlaczego kolejność i egzekwowanie mają znaczenie
Google i Yahoo wymagają teraz SPF, DKIM oraz rekordu DMARC (co najmniej p=none) od każdego, kto wysyła do ich użytkowników w większych ilościach. Spełnienie tych wymagań dla nadawców to podstawa dotarcia do skrzynki odbiorczej, a ich niespełnienie jest częstą przyczyną tego, że poczta trafia do spamu. Wykonanie trzech rekordów w kolejności i weryfikowanie każdego na żywo sprawia, że nigdy nie debugujesz trzech niewiadomych naraz. Jeśli DMARC zawiedzie, już wiesz, że SPF i DKIM były na zielono, więc pozostaje sprawdzić jedynie zgodność (alignment).
Najczęściej zadawane pytania
Czy nadal potrzebuję SPF, jeśli mam skonfigurowany DKIM?
Tak. DMARC przechodzi, jeśli z zachowaniem zgodności przejdzie SPF lub DKIM, ale warto mieć oba. SPF zawodzi przy przekierowaniach, podczas gdy DKIM zwykle je przetrwa, więc posiadanie obu daje Ci dwie niezależne szanse na uwierzytelnienie. Opublikuj wszystkie trzy rekordy.
Dlaczego mój DKIM w Google Workspace nadal pokazuje 1024 bity?
Ponieważ środowisko wygenerowało klucz, zanim ustawiłeś długość na 2048 bitów, albo w DNS nadal jest opublikowany starszy selektor. Wygeneruj klucz ponownie z wybraną wartością 2048 w konsoli administracyjnej, opublikuj nową wartość TXT, kliknij Rozpocznij uwierzytelnianie i potwierdź kontrolą na żywo, że podpisuje klucz 2048-bitowy.
Ile czasu upłynie, zanim moje rekordy zaczną działać po opublikowaniu?
Zmiany DNS zwykle propagują się w ciągu kilku minut, ale mogą zająć nawet godzinę, w zależności od dostawcy i wartości TTL. W przypadku DKIM zaczekaj, aż rekord będzie widoczny w DNS, zanim klikniesz Rozpocznij uwierzytelnianie, w przeciwnym razie Google zgłosi go jako nieznaleziony.
Czy mogę pominąć DMARC i zrobić tylko SPF i DKIM?
Nie, nie jeśli wysyłasz do Gmaila lub Yahoo w jakiejkolwiek realnej ilości, ponieważ wymagają one co najmniej rekordu DMARC z p=none. Opublikowany p=none daje Ci też raporty zbiorcze, których potrzebujesz, aby zobaczyć, kto wysyła pocztę z Twojej domeny, zanim zaczniesz egzekwowanie.