Aby wysyłać i odbierać pocztę we własnej domenie, potrzebujesz co najmniej rekordu MX (oraz hosta A lub AAAA, na który on wskazuje), aby odbierać wiadomości, a także trzech rekordów uwierzytelniających, aby wysyłać zaufaną pocztę: rekordu TXT z SPF, klucza DKIM oraz rekordu TXT z DMARC. Dwa kolejne rekordy, MTA-STS i BIMI, są opcjonalne i poprawiają bezpieczeństwo transportu oraz sposób prezentacji marki. Sztuka nie polega jednak tylko na znajomości tej listy. Chodzi o to, aby dodawać rekordy we właściwej kolejności, tak by nigdy nie opublikować polityki, która zablokuje Twoją własną pocztę.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
Ten przewodnik daje Ci jedną wiarygodną listę kontrolną, oznacza każdy rekord jako obowiązkowy lub opcjonalny i prowadzi przez bezpieczną kolejność ich włączania.
Kompletna lista kontrolna rekordów DNS dla poczty
Oto każdy rekord, którego używa typowa domena wysyłająca i odbierająca pocztę, od góry do dołu.
| Rekord | Typ | Przeznaczenie | Status |
|---|---|---|---|
| MX | MX | Wskazuje innym serwerom, gdzie dostarczać przychodzącą pocztę | Obowiązkowy do odbioru |
| A / AAAA | A / AAAA | IP kryjące się za nazwą hosta, na który wskazuje MX | Obowiązkowy do odbioru |
| SPF | TXT | Wymienia serwery, które mogą wysyłać w imieniu Twojej domeny | Obowiązkowy do wysyłki |
| DKIM | CNAME lub TXT | Publikuje klucz publiczny podpisujący Twoją pocztę | Obowiązkowy do wysyłki |
| DMARC | TXT | Mówi odbiorcom, co robić, gdy SPF i DKIM zawiodą | Obowiązkowy do dobrej wysyłki |
| MTA-STS | TXT + polityka | Wymusza TLS na połączeniach przychodzących | Opcjonalny |
| TLS-RPT | TXT | Raportuje o błędach dostarczania przez TLS | Opcjonalny |
| BIMI | TXT | Pokazuje Twoje logo obok uwierzytelnionej poczty | Opcjonalny |
Dwa pierwsze rekordy dotyczą odbierania. Reszta dotyczy wysyłania oraz udowodnienia, że poczta podająca się za Twoją naprawdę pochodzi od Ciebie.
Odbieranie poczty: MX i jego cel A/AAAA
Rekord MX (Mail Exchanger) to element, który sprawia, że domena może przyjmować pocztę. Wskazuje nazwę hosta serwera obsługującego Twoją pocztę przychodzącą oraz numer priorytetu. Niższe numery są sprawdzane jako pierwsze.
example.com. IN MX 10 mail.example.com.
example.com. IN MX 20 mail2.example.com.
Jeśli korzystasz z Google Workspace, Microsoft 365, Zoho lub Fastmail, dostaniesz od nich zestaw wartości MX do opublikowania. Wklejasz je dokładnie tak, jak są podane. Nazwa hosta w rekordzie MX musi sama rozwiązywać się do adresu IP poprzez rekord A (IPv4) lub rekord AAAA (IPv6). Rekordy MX nigdy nie mogą wskazywać na CNAME ani na goły adres IP. To częsta przyczyna po cichu ginącej poczty przychodzącej.
mail.example.com. IN A 203.0.113.25
mail.example.com. IN AAAA 2001:db8::25
Jeśli tylko wysyłasz pocztę i nigdy nie odbierasz jej w domenie, możesz pominąć MX. Większość osób chce jednak i jednego, i drugiego.
Wysyłanie poczty: SPF, DKIM i DMARC
Te trzy rekordy sprawdzają nowoczesne serwery odbiorcze, zanim zaufają wiadomości. Gmail i Yahoo wymagają ich teraz od nadawców masowych, a słaba konfiguracja ląduje w spamie. Jeśli chcesz głębszego, koncepcyjnego ujęcia, przeczytaj SPF, DKIM i DMARC wyjaśnione.
SPF: kto ma prawo wysyłać
SPF to pojedynczy rekord TXT w korzeniu Twojej domeny, który wymienia serwery uprawnione do wysyłania poczty w Twoim imieniu. Odbiorcy sprawdzają adres IP serwera wysyłającego względem tej listy.
example.com. IN TXT "v=spf1 include:_spf.google.com include:sendgrid.net -all"
Zasady, które mają znaczenie: możesz mieć tylko jeden rekord SPF na domenę, jest on ograniczony do 10 mechanizmów wymagających odpytania DNS i powinieneś zakończyć go wartością -all (twarde odrzucenie) lub ~all (miękkie odrzucenie). Nigdy nie używaj +all, które upoważnia cały internet do wysyłania w Twoim imieniu. Zobacz jak skonfigurować SPF, a jeśli masz wielu nadawców, jak naprawić zbyt wiele odpytań DNS w SPF.
DKIM: podpis kryptograficzny
DKIM dodaje podpis cyfrowy do każdej wychodzącej wiadomości. Twoja platforma wysyłkowa przechowuje klucz prywatny i publikuje pasujący klucz publiczny w DNS pod nazwą hosta specyficzną dla selektora. Odbiorcy pobierają klucz i weryfikują podpis, co dowodzi, że wiadomość nie została zmieniona w drodze i naprawdę pochodzi z autoryzowanego systemu.
Większość dostawców daje Ci rekord CNAME wskazujący na zarządzany przez nich klucz, dzięki czemu rotacja odbywa się bez konieczności dotykania DNS przez Ciebie:
selector1._domainkey.example.com. IN CNAME selector1.dkim.provider.net.
Niektóre platformy zamiast tego podają Ci surowy klucz publiczny jako rekord TXT. Oba warianty są poprawne. Różnicę opisuje DKIM CNAME kontra TXT, a kroki konfiguracji znajdziesz w jak skonfigurować DKIM.
DMARC: polityka, która spina to w całość
DMARC mówi odbiorcom, co zrobić, gdy wiadomość nie przejdzie dopasowania zarówno SPF, jak i DKIM, oraz gdzie wysyłać raporty. Znajduje się pod stałą nazwą hosta, _dmarc w obrębie Twojej domeny.
_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com"
Zacznij od p=none, które niczego nie zmienia w dostarczaniu, ale włącza raportowanie, dzięki czemu widzisz, kto wysyła w imieniu Twojej domeny. Gdy potwierdzisz, że Twoja prawidłowa poczta przechodzi weryfikację, przejdź do p=quarantine, a następnie p=reject. Ta progresja to cały sens artykułu jak przejść z DMARC none do reject. Bez DMARC w trybie egzekwowania każdy może podszyć się dokładnie pod Twoją domenę, dlatego naprawienie brakującego rekordu DMARC to priorytet bezpieczeństwa, a nie miły dodatek.
Bezpieczna kolejność dodawania rekordów
Kolejność ma znaczenie, ponieważ DMARC ocenia SPF i DKIM. Jeśli opublikujesz restrykcyjną politykę DMARC, zanim te dwa rekordy będą poprawne, możesz odrzucić własną pocztę. Wykonaj to w następującej kolejności.
- Najpierw opublikuj MX oraz cel A/AAAA, aby poczta zaczęła przychodzić. Sprawdź to, wysyłając sobie wiadomość.
- Opublikuj SPF z uwzględnieniem każdego uprawnionego nadawcy. Zakończ wartością
~all, dopóki weryfikujesz, a potem zaostrz do-all. - Włącz DKIM w swojej platformie wysyłkowej i opublikuj rekord selektora, który Ci poda. Wyślij test i potwierdź, że podpis się weryfikuje.
- Dopiero teraz opublikuj DMARC i zacznij od
p=none. Zbieraj raporty przez tydzień lub dwa. - Podnieś DMARC do
quarantine, a następniereject, gdy raporty pokażą, że Twoja prawdziwa poczta przechodzi weryfikację.
Wykonanie SPF i DKIM przed egzekwowaniem DMARC to najważniejsza zasada w tym miejscu. Domena z p=reject, uszkodzonym rekordem SPF i niepodpisaną pocztą będzie miała odrzucane własne newslettery i potwierdzenia.
Rekordy opcjonalne: MTA-STS, TLS-RPT i BIMI
Dodają one bezpieczeństwo i dopracowanie, gdy podstawowa piątka jest już solidna.
MTA-STS wymusza na nadawcach korzystanie z szyfrowanych połączeń TLS podczas dostarczania do Twojego MX, co blokuje ataki polegające na obniżeniu poziomu zabezpieczeń. Wykorzystuje rekord TXT _mta-sts oraz plik polityki serwowany przez HTTPS. Połącz go z TLS-RPT, aby otrzymywać raporty, gdy dostarczanie przez TLS zawiedzie. Konfigurację opisano w jak skonfigurować MTA-STS oraz jak skonfigurować TLS-RPT.
BIMI wyświetla logo Twojej marki obok uwierzytelnionych wiadomości we wspierających je skrzynkach, ale działa dopiero wtedy, gdy DMARC jest w trybie quarantine lub reject. Ta blokada jest zamierzona: dostawcy skrzynek nie pokażą logo domeny, która nie jest chroniona przed podszywaniem. Zobacz jak skonfigurować BIMI i VMC.
Potwierdź każdy rekord jednym skanem
Najszybszy sposób, aby przekonać się, że Twoja konfiguracja jest kompletna i poprawna, to przepuszczenie domeny przez narzędzie sprawdzające SPFWise na górze tej strony. Raportuje ono, które z tych rekordów są obecne, czy składnia jest poprawna, czy SPF mieści się w limicie 10 odpytań, czy klucze DKIM się rozwiązują oraz jaką politykę DMARC faktycznie publikujesz. Zwraca jedną ocenę, dzięki czemu od razu widzisz, czy czegoś brakuje, zanim zaczniesz polegać na domenie w prawdziwej korespondencji.
Najczęściej zadawane pytania
Czy potrzebuję SPF, DKIM i DMARC, jeśli wysyłam tylko z Gmaila?
Tak. Nawet przy Google Workspace publikujesz wpis include w SPF, włączasz DKIM w konsoli administracyjnej i sam dodajesz rekord DMARC. Google hostuje infrastrukturę wysyłkową, ale rekordy DNS znajdują się w Twojej domenie. Przewodnik konfiguracji Google Workspace prowadzi przez dokładne wartości.
Czy domena może wysyłać pocztę bez rekordu MX?
Tak. MX reguluje wyłącznie odbieranie. Domena tylko do wysyłki potrzebuje SPF, DKIM i DMARC, ale nie MX. Mimo to odbiorcy czasem szukają pasującej domeny podczas kontroli przychodzących, dlatego domena tylko do wysyłki powinna nadal mieć rekord DMARC, a najlepiej pusty rekord MX (0 .), jeśli nigdy nie przyjmuje poczty.
Co się stanie, jeśli dodam DMARC, zanim SPF i DKIM będą poprawne?
Przy p=none nie dzieje się nic złego, ponieważ ta polityka jedynie prosi o raporty. Niebezpieczeństwo polega na przeskoczeniu od razu do p=reject, gdy Twoja poczta nie przechodzi uwierzytelnienia, co każe odbiorcom wyrzucać Twoje własne wiadomości. Zawsze najpierw napraw SPF i DKIM, a potem podnoś politykę.
Ile rekordów DKIM mogę mieć?
Tyle, ile masz platform wysyłkowych, każdą na własnym selektorze. Jedna domena może jednocześnie posiadać osobne klucze DKIM dla dostawcy skrzynki, narzędzia marketingowego i systemu rozliczeń. Zobacz wiele selektorów DKIM w jednej domenie.