BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
dmarc

Uwierzytelnianie e-maili w HubSpot: podłączenie domeny z SPF, DKIM i DMARC

HubSpot wysyła Twoje wiadomości z własnych serwerów, więc Twój DNS musi mu na to zezwolić. Ten przewodnik prowadzi przez proces podłączenia domeny wysyłkowej rekord po rekordzie: dwa rekordy CNAME dla DKIM, return-path, dzięki któremu SPF jest zgodny z Twoją domeną, powód, dla którego zwykle nie ruszasz głównego rekordu SPF, oraz politykę DMARC spełniającą wymagania Google i Yahoo dla masowych wysyłek. Zanim klikniesz Weryfikuj w HubSpot, upewnij się, że każdy rekord się propaguje.

Zaktualizowano 5 lip 20266 min czytania

HubSpot wysyła Twoje wiadomości marketingowe i sprzedażowe z własnych serwerów, więc dostawcy skrzynek zaufają im tylko wtedy, gdy Twój DNS potwierdzi, że HubSpot ma prawo wysyłać w Twoim imieniu. Proces podłączenia domeny wysyłkowej realizuje to za pomocą niewielkiego zestawu rekordów CNAME: dwóch dla DKIM i jednego dla return-path, dzięki któremu SPF staje się zgodny z Twoją domeną. Dodaj te rekordy, opublikuj politykę DMARC, sprawdź, czy każdy z nich się propaguje, i dopiero wtedy kliknij Weryfikuj w HubSpot.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Gdzie w HubSpot znajduje się konfiguracja połączenia

Otwórz Ustawienia, a następnie przejdź do Content > Domains & URLs na starszych kontach lub Settings > Account Setup > Domains & URLs na nowszych. Wybierz Connect a domain i zaznacz Email Sending. HubSpot poprosi o domenę, z której wysyłasz (na przykład twojadomena.pl), a następnie wygeneruje dokładnie te rekordy DNS, które musisz opublikować. Zostaw ten ekran otwarty. Wartości docelowe są przypisane do Twojego konta i będziesz je kopiować dosłownie do panelu swojego dostawcy DNS.

Na początku zdecyduj o dwóch rzeczach. Po pierwsze, użyj domeny, którą odbiorcy już kojarzą z Twoją marką, a nie tymczasowej poddomeny, tak aby zgodność DMARC działała na Twoją korzyść. Po drugie, upewnij się, że masz dostęp do swojego dostawcy DNS (Cloudflare, Route 53, GoDaddy i tak dalej), zanim zaczniesz, ponieważ połączenie pozostaje w stanie oczekiwania do momentu, aż rekordy staną się widoczne publicznie.

Rekordy DKIM to dwa CNAME, a nie jeden TXT

HubSpot podpisuje każdą wiadomość kluczem DKIM i przekazuje Ci dwa rekordy CNAME zamiast pojedynczego rekordu TXT. Mają one taką postać:

hs1._domainkey.yourdomain.com CNAME yourdomain.com.hs1.dkim.hubspotemail.net hs2._domainkey.yourdomain.com CNAME yourdomain.com.hs2.dkim.hubspotemail.net

Skopiuj dokładne nazwy hostów docelowych z ekranu HubSpot. Etykiety powyżej pokazują wzorzec, a nie dosłowne wartości do wklejenia. Dwa selektory pozwalają HubSpot rotować klucze bez przerywania podpisywania: może wycofać jeden selektor i uruchomić drugi z zerowym przestojem. Ponieważ są to rekordy CNAME, HubSpot kontroluje leżący u ich podstaw klucz publiczny i może go rotować po swojej stronie, nie prosząc Cię o ponowną edycję DNS. To praktyczna różnica w porównaniu z rekordem DKIM opartym na TXT, który musiałbyś ręcznie zmieniać przy każdej rotacji. Ten kompromis omawiamy w dkim cname kontra rekord txt.

Wartość d= w podpisie HubSpot to Twoja domena, więc DKIM jest zgodny z DMARC od samego początku. Nie konfigurujesz zgodności osobno.

Rekord return-path i dlaczego ma znaczenie

Trzeci rekord to return-path, nazywany też domeną odbić lub nadawcą koperty. Jest to rekord CNAME na poddomenie Twojej domeny, w takiej postaci:

smtp.yourdomain.com CNAME <hubspot-value>.hubspotemail.net

Adres koperty MAIL FROM, który HubSpot umieszcza na każdej wiadomości, korzysta z tej poddomeny Twojej domeny i to właśnie ten szczegół sprawia ludziom kłopot. SPF jest sprawdzany względem domeny koperty MAIL FROM, a nie widocznego nagłówka From. Ponieważ return-path HubSpot znajduje się na Twojej domenie i wskazuje, poprzez rekord CNAME, na infrastrukturę HubSpot autoryzowaną w SPF, SPF przechodzi weryfikację i, co równie ważne, jest zgodny z Twoją domeną From w trybie zgodności złagodzonej (relaxed). Uzyskujesz zgodne przejście SPF, nie dodając HubSpot do głównego rekordu SPF.

Ta poddomena nie wymaga rekordu MX. Odbicia są kierowane przez serwery HubSpot za pośrednictwem celu rekordu CNAME, więc nie prowadzisz serwera pocztowego na smtp.yourdomain.com. Jeśli Twój dostawca DNS próbuje automatycznie dodać rekord MX lub A dla tej nazwy, usuń go i zostaw wyłącznie rekord CNAME wskazany przez HubSpot.

SPF: zwykle nie ruszaj głównego rekordu

Ponieważ return-path znajduje się na poddomenie kontrolowanej przez HubSpot, większość nadawców korzystających z HubSpot w ogóle nie modyfikuje rekordu SPF na swojej domenie głównej. Zaskakuje to zespoły, które zakładają, że każde narzędzie wysyłkowe wymaga wpisu include w głównym rekordzie SPF. Dodawanie zbędnych wpisów include to dokładnie sposób, w jaki domeny zbliżają się do limitu dziesięciu odwołań SPF i zaczynają zwracać PermError.

Zachowaj istniejący główny rekord SPF dla narzędzi, które faktycznie wysyłają z Twoją domeną główną jako nadawcą koperty, takich jak dostawca skrzynki pocztowej czy przekaźnik transakcyjny. Typowy rekord główny nadal wygląda tak:

v=spf1 include:_spf.google.com ~all

Nie dodawaj do niego HubSpot, chyba że własny ekran HubSpot wyraźnie każe Ci dodać wpis include dla Twojej konkretnej konfiguracji. Jeśli tak, postępuj zgodnie z tą instrukcją, ale standardowy proces podłączania domeny opiera się na rekordzie CNAME return-path. Jeśli chcesz poznać pełny model tego, jak te trzy mechanizmy współpracują ze sobą, przeczytaj spf, dkim i dmarc wyjaśnione.

DMARC oraz zasady Google i Yahoo dla masowych wysyłek

HubSpot nie publikuje DMARC za Ciebie. Dodajesz go samodzielnie jako rekord TXT pod _dmarc.yourdomain.com. Pierwszy rekord może być tak prosty jak:

v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com

Od lutego 2024 roku Google i Yahoo wymagają, aby każda domena wysyłająca więcej niż około 5000 wiadomości dziennie miała SPF, DKIM oraz rekord DMARC, z co najmniej jednym uwierzytelnionym identyfikatorem zgodnym z domeną From. Podłączona domena HubSpot daje Ci zarówno zgodny podpis DKIM, jak i zgodny return-path SPF, więc z zapasem spełniasz wymóg zgodności. Polityka p=none wystarcza, aby spełnić wymóg posiadania rekordu DMARC w czasie, gdy obserwujesz raporty.

Nie pozostawiaj jej na none na zawsze. Gdy raporty zbiorcze potwierdzą, że HubSpot i Twoi pozostali legalni nadawcy przechodzą weryfikację, zaostrz politykę do quarantine, a następnie reject, aby sfałszowana poczta była faktycznie blokowana. Przejdź tę drogę bezpiecznie z pomocą przewodnika jak przejść z dmarc none do reject i sprawdź pełną listę dostawców skrzynek w wymaganiach dla nadawców Google i Yahoo.

Jedna uwaga dotycząca zgodności: p=reject na Twojej domenie głównej nie koliduje z HubSpot, dopóki zarówno DKIM d=, jak i return-path pozostają na Twojej domenie, co gwarantuje proces podłączenia. Jeśli kiedykolwiek zobaczysz błędy DMARC z HubSpot po przejściu na reject, zwykłą przyczyną jest to, że ktoś zmienił konfigurację return-path lub usunął rekordy CNAME dla DKIM.

Najpierw zweryfikuj DNS, potem kliknij Weryfikuj

Najczęstsze zgłoszenie do HubSpot brzmi: "Dodałem rekordy, a Weryfikuj nadal się nie udaje". Prawie zawsze rekordy po prostu jeszcze się nie rozpropagowały albo jedna wartość została wklejona z literówką na końcu. Zanim klikniesz Weryfikuj w HubSpot, upewnij się, że każdy rekord jest widoczny publicznie. Przepuść swoją domenę przez skaner powyżej i sprawdź, czy oba selektory DKIM zwracają wynik, czy rekord CNAME return-path się rozwiązuje oraz czy Twój rekord DMARC jest obecny i poprawny składniowo. Gdy wszystkie świecą na zielono, wróć do HubSpot i kliknij Weryfikuj. Taka kolejność oszczędza Ci wolniejszego cyklu ponownej weryfikacji HubSpot i zgadywania, który rekord jest błędny.

Propagacja może zająć od kilku minut do kilku godzin, w zależności od wartości TTL u Twojego dostawcy DNS. Jeśli po tym czasie rekord nadal się nie rozwiązuje, poszukaj zduplikowanego rekordu CNAME, rekordu z włączonym proxy (pomarańczowa chmura) w Cloudflare, który powinien być ustawiony na DNS-only, albo dostawcy po cichu doklejającego Twoją domenę do już w pełni kwalifikowanego celu.

Najczęściej zadawane pytania

Czy muszę dodać HubSpot do mojego rekordu SPF?

Zazwyczaj nie. Podłączona domena wysyłkowa HubSpot korzysta z return-path na poddomenie Twojej własnej domeny, a SPF jest oceniany względem tego return-path, a nie Twojej domeny głównej. Daje to zgodne przejście SPF bez wpisu include. Dodaj include tylko wtedy, gdy ekran konfiguracji HubSpot wyraźnie tego wymaga dla Twojego konta.

Dlaczego HubSpot daje mi dwa rekordy DKIM?

Dwa selektory (hs1 i hs2) pozwalają HubSpot rotować klucze podpisujące bez przestoju. Może przenieść podpisywanie na drugi selektor, wycofując pierwszy, dzięki czemu Twoja poczta zachowuje ważny podpis DKIM przez cały czas zmiany. Opublikuj oba rekordy CNAME i pozostaw je na miejscu.

Czy polityka DMARC reject zepsuje moje e-maile z HubSpot?

Nie, dopóki podłączona domena jest nienaruszona. HubSpot podpisuje wiadomości Twoją domeną w tagu DKIM d= i używa return-path na Twojej domenie, więc zarówno SPF, jak i DKIM są zgodne. DMARC przechodzi na zgodnym identyfikatorze, więc quarantine lub reject dotyczy wyłącznie nieuwierzytelnionej poczty, a nie Twoich kampanii w HubSpot.

Ile czasu musi minąć, zanim będę mógł kliknąć Weryfikuj w HubSpot?

Zaczekaj, aż rekordy staną się widoczne publicznie, co zwykle trwa kilka minut, ale przy hostach z wysokim TTL może się rozciągnąć do kilku godzin. Najpierw potwierdź skanerem, że oba rekordy CNAME dla DKIM, rekord CNAME return-path oraz Twój rekord TXT DMARC się rozwiązują, a następnie kliknij Weryfikuj, aby HubSpot sprawdzał rekordy, które są już aktywne.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki