SPF (Sender Policy Framework) to pojedynczy rekord DNS TXT, który wskazuje, które serwery mogą wysyłać wiadomości e-mail w imieniu Twojej domeny. Konfiguracja zajmuje kilka minut i blokuje najprostszą formę podszywania się. Oto jak zrobić to poprawnie.
Krok 1: sporządź listę nadawców
Spisz każdą usługę, która wysyła pocztę w imieniu Twojej domeny: dostawcę skrzynki pocztowej (Google Workspace, Microsoft 365) oraz wszystkie narzędzia marketingowe, fakturowe, helpdeskowe czy CRM. Każde z nich udostępnia wpis include dla SPF, którego będziesz potrzebować.
Krok 2: zbuduj rekord
Rekord SPF zaczyna się od v=spf1, wymienia Twoich nadawców i kończy się mechanizmem all. Dla domeny wysyłającej pocztę przez Google Workspace i jedno narzędzie marketingowe:
v=spf1 include:_spf.google.com include:sendgrid.net -all
include:dołącza autoryzowane serwery danego dostawcy.-all(hardfail) instruuje odbiorców, aby odrzucali wszystko, co nie znajduje się na liście. To najsilniejsze zakończenie i cel, do którego warto dążyć.~all(softfail) oznacza niewymienioną pocztę jako podejrzaną, zamiast ją odrzucać. Używaj go wyłącznie w trakcie testów.
Krok 3: opublikuj jeden rekord
Dodaj rekord jako rekord TXT w domenie głównej. Opublikuj dokładnie jeden rekord SPF. Dwa rekordy SPF to błąd konfiguracji, który powoduje permerror i uniemożliwia uwierzytelnianie.
Krok 4: pilnuj limitu dziesięciu odpytań
Podczas oceny SPF może wywołać maksymalnie dziesięć odpytań DNS. Każdy include się liczy, a u dostawców szybko się one sumują. Po przekroczeniu limitu otrzymasz permerror. Zobacz jak naprawić zbyt wiele odpytań DNS w SPF.
Krok 5: zweryfikuj
Opublikuj rekord, poczekaj na propagację DNS, a następnie przeskanuj swoją domenę, aby potwierdzić, że rekord jest poprawny, mieści się w limicie odpytań i kończy się silnym kwalifikatorem all.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.