BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
dkim

Klaviyo: konfiguracja SPF i DKIM oraz poprawne uwierzytelnianie domeny wysyłkowej

Klaviyo nie chce, abyś dodawał jego serwery do głównego rekordu SPF. Zamiast tego kierujesz markową subdomenę wysyłkową do Klaviyo za pomocą rekordów CNAME, a Klaviyo hostuje SPF i DKIM za Ciebie. Ten przewodnik podaje dokładne rekordy dla markowej domeny wysyłkowej Klaviyo, wyjaśnia, dlaczego surowe include w SPF to błąd, i pokazuje, jak dodać oraz zweryfikować jeden rekord, którego Klaviyo za Ciebie nie utworzy: Twoją politykę DMARC.

Zaktualizowano 5 lip 20267 min czytania

Klaviyo nie chce, abyś dodawał jego serwery do własnego rekordu SPF. Zamiast tego kierujesz markową subdomenę wysyłkową do Klaviyo za pomocą rekordów CNAME, a Klaviyo po drugiej stronie tych CNAME hostuje za Ciebie politykę SPF i klucze DKIM. Ten przewodnik pokazuje dokładne rekordy dla markowej (dedykowanej) domeny wysyłkowej Klaviyo, wyjaśnia, dlaczego surowe include w SPF to błąd psujący uwierzytelnianie innych nadawców, oraz jak dodać jeden rekord, którego Klaviyo nigdy za Ciebie nie utworzy: Twoją politykę DMARC.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Dlaczego Klaviyo używa CNAME zamiast include w SPF

Większość platform pocztowych każe Ci doczepić include: do istniejącego rekordu SPF. Klaviyo idzie inną drogą, i jest to droga lepsza.

Gdy konfigurujesz markową domenę wysyłkową, wybierasz subdomenę, na przykład send.twojadomena.pl. Klaviyo używa tej subdomeny jako adresu zwrotnego (adresu SMTP MAIL FROM) oraz jako domeny podpisującej DKIM. Ponieważ delegujesz tę subdomenę do Klaviyo za pomocą rekordów CNAME, Klaviyo kontroluje odpowiedzi DNS, które za nią stoją. Serwer odbiorczy, który sprawdza SPF dla send.twojadomena.pl, podąża za Twoim CNAME do hosta Klaviyo i odczytuje rekord SPF, który Klaviyo tam publikuje.

Praktyczna korzyść: Klaviyo może dodawać, usuwać lub zmieniać numerację swoich wychodzących zakresów IP, kiedy tylko potrzebuje, a Twój DNS nie musi się przy tym zmieniać. Publikujesz CNAME raz. Klaviyo utrzymuje właściwą zawartość SPF i DKIM, która za nimi stoi. Dlatego czasem spotkasz się z opisem tej konfiguracji jako spłaszczania CNAME lub delegacji SPF. Jeśli kiedykolwiek walczyłeś z limitem dziesięciu odwołań DNS w SPF, ten model całkowicie go omija, ponieważ SPF Klaviyo żyje pod jego własną domeną i nigdy nie liczy się względem Twojego głównego rekordu. Zobacz naprawianie zbyt wielu odwołań DNS w SPF, aby zrozumieć, dlaczego ten limit ma znaczenie.

Rekordy dla markowej domeny wysyłkowej Klaviyo

Markowa domena wysyłkowa w Klaviyo sprowadza się do trzech rekordów CNAME, które kopiujesz z konsoli Klaviyo, plus jeden rekord TXT dla DMARC, który piszesz samodzielnie. Klaviyo pokazuje dokładne docelowe nazwy hostów na ekranie markowej domeny, więc traktuj poniższe wartości jako szkielet odpowiedzi i potwierdź precyzyjne cele w swoim koncie, zanim je zapiszesz.

Type Host Value
CNAME kl._domainkey.send dkim.klaviyomail.com
CNAME kl2._domainkey.send dkim2.klaviyomail.com
CNAME send (Klaviyo return-path target)

Zastąp send dowolną subdomeną, którą wybrałeś. Jeśli Twoja subdomena to email.twojadomena.pl, hosty DKIM stają się kl._domainkey.email oraz kl2._domainkey.email.

Rekordy CNAME dla DKIM

Dwa rekordy _domainkey kierują selektory DKIM Klaviyo do kluczy, które Klaviyo generuje i rotuje. Klaviyo publikuje dwa selektory, aby móc rotować jeden klucz, podczas gdy drugi nadal podpisuje, co oznacza, że poczta nigdy nie pozostaje niepodpisana w trakcie rotacji. Nie wklejasz klucza publicznego do rekordu TXT, tak jak zrobiłbyś to w samodzielnie hostowanej konfiguracji DKIM. CNAME przekazuje to zadanie Klaviyo. Jeśli chcesz poznać tło dwóch sposobów publikowania rekordów DKIM, przeczytaj DKIM: rekord CNAME kontra TXT.

Rekord CNAME adresu zwrotnego, który niesie SPF

Trzeci CNAME, na samej subdomenie, to domena adresu zwrotnego lub domena odbić. Jest to adres w kopercie SMTP, którego odbiorcy używają do sprawdzenia SPF. Ponieważ rozwiązuje się on przez CNAME do Klaviyo, ewaluowany rekord SPF jest rekordem Klaviyo i autoryzuje prawdziwe adresy IP wysyłkowe Klaviyo. Ten jeden rekord sprawia, że SPF przechodzi dla Twoich kampanii Klaviyo bez dotykania Twojego głównego rekordu SPF.

Nigdy nie dodawaj surowego include SPF od Klaviyo

To najczęstszy błąd przy Klaviyo, więc warto powiedzieć to wprost. Nie dodawaj niczego w stylu include:_spf.klaviyo.com do rekordu SPF na swojej domenie głównej.

Są dwa powody. Po pierwsze, jest to zbędne. SPF dla poczty Klaviyo jest ewaluowany względem markowej subdomeny wysyłkowej, a nie Twojej domeny głównej, więc include na domenie głównej nie robi nic pożytecznego dla dostarczalności kampanii. Po drugie, jest to szkodliwe. Twój główny rekord SPF ma twardy limit dziesięciu odwołań DNS zgodnie z RFC 7208. Każdy include:, który dokładasz, zużywa odwołania, a jeśli już wysyłasz z Google Workspace, Microsoft 365 lub narzędzia helpdesk, jeden dodatkowy include może przechylić Cię ponad limit i spowodować błąd PermError, który zawali SPF dla całej Twojej poczty, nie tylko dla Klaviyo. Dodanie szerokiego +all lub próba poszerzenia rekordu, aby to zrekompensować, tylko pogarsza sprawę, o czym mowa w dlaczego +all w SPF jest niebezpieczne.

Zostaw swój główny rekord SPF w spokoju. Trzy rekordy CNAME to cała historia SPF i DKIM dla Klaviyo.

DMARC to Twoje zadanie, nie Klaviyo

Klaviyo hostuje SPF i DKIM, ale nie może opublikować rekordu DMARC za Ciebie, ponieważ DMARC rządzi całą Twoją domeną organizacyjną i tylko Ty powinieneś być właścicielem tej polityki. Jeśli Twoja domena nie ma jeszcze rekordu DMARC, zasady masowych nadawców Google i Yahoo już go wymagają, a Klaviyo będzie Cię ponaglać do jego dodania. Jest to rekord TXT pod _dmarc.twojadomena.pl, który tworzysz w swoim DNS.

Zacznij w trybie monitorowania, abyś mógł obserwować raporty, zanim cokolwiek wyegzekwujesz:

_dmarc.yourdomain.com TXT "v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com; adkim=r; aspf=r"

p=none mówi odbiorcom, aby na razie niczego nie egzekwowali, ale wysyłali Ci raporty zbiorcze na adres rua. Gdy potwierdzisz, że Klaviyo i każdy inny legalny nadawca jest wyrównany, przesuwasz politykę w stronę p=quarantine, a następnie p=reject. Pełna progresja, wraz z tym, jak długo pozostać na każdym etapie, znajduje się w jak skonfigurować DMARC oraz przechodzenie DMARC z none do reject. Zwróć uwagę na tagi luźnego wyrównania adkim=r i aspf=r, które mają znaczenie w następnym kroku.

Zweryfikuj wyrównanie, zanim zaufasz konfiguracji

Rekordy, które się rozwiązują, to nie to samo co rekordy, które są wyrównane. DMARC przechodzi tylko wtedy, gdy przynajmniej jeden z mechanizmów SPF lub DKIM zarazem uwierzytelnia się i wyrównuje z domeną w Twoim widocznym adresie From.

W modelu Klaviyo DKIM podpisuje markową subdomeną, a adres zwrotny żyje na tej samej subdomenie, więc oba dzielą Twoją domenę organizacyjną. Przy luźnym wyrównaniu send.twojadomena.pl i twojadomena.pl są traktowane jako ta sama organizacja, więc wyrównanie przechodzi czysto. Właśnie dlatego powyższe tagi DMARC używają trybu luźnego. Jeśli chcesz poznać mechanikę tego, dlaczego subdomena nadal liczy się jako wyrównana, przeczytaj DMARC: wyrównanie luźne kontra ścisłe.

Wyślij sobie testową kampanię, a następnie przepuść swoją domenę przez skaner powyżej. Chcesz zobaczyć, że SPF przechodzi na markowej subdomenie, DKIM przechodzi z wartością d= na Twojej domenie, a DMARC raportuje wyrównanie na obu. Jeśli DKIM się uwierzytelnia, ale DMARC nadal zawodzi, zwykłym winowajcą jest wyrównanie, a naprawianie wyrównania DKIM przeprowadza Cię przez rozwiązanie. Uzyskanie wszystkich trzech na zielono jest tym, co utrzymuje kampanie Klaviyo z dala od spamu i spełnia wymagania nadawców Google i Yahoo.

Najczęściej zadawane pytania

Czy potrzebuję dedykowanej domeny wysyłkowej w Klaviyo, czy współdzielona wystarczy?

Współdzielona domena działa, ale poczta jest podpisywana pod domeną należącą do Klaviyo, więc nie wyrównuje się z Twoim adresem From na potrzeby DMARC i dzieli reputację z innymi nadawcami Klaviyo. Markowa domena wysyłkowa daje Ci wyrównany DKIM, wyrównany SPF oraz reputację, którą kontrolujesz. Jeśli wysyłasz znaczący wolumen lub egzekwujesz DMARC, użyj markowej domeny.

Dlaczego Klaviyo nie chce, abym edytował swój rekord SPF?

Ponieważ SPF dla Twoich kampanii jest sprawdzany względem markowej subdomeny, która jest delegowana do Klaviyo przez CNAME. Klaviyo publikuje i utrzymuje zawartość SPF za tym CNAME. Edytowanie Twojego głównego SPF nic nie dodaje, a grozi przekroczeniem limitu dziesięciu odwołań, który psuje SPF dla każdego nadawcy na Twojej domenie.

Czy rekordy CNAME Klaviyo same sprawią, że DMARC przejdzie?

Sprawiają, że SPF i DKIM się uwierzytelniają i wyrównują, a to właśnie ewaluuje DMARC. Ale DMARC zaczyna działać dopiero, gdy opublikujesz własny rekord TXT _dmarc. Bez tego rekordu nie ma polityki, którą odbiorcy mogliby zastosować, nawet jeśli leżące u podstaw uwierzytelnianie jest poprawne.

Ile czasu zajmuje, zanim rekordy zaczną działać?

Propagacja DNS trwa zwykle od minut do kilku godzin, choć w zależności od Twojego dostawcy i TTL może zająć do 48 godzin. Klaviyo będzie nadal pokazywać markową domenę jako oczekującą, dopóki nie zdoła rozwiązać wszystkich trzech rekordów CNAME, więc zweryfikuj w konsoli, a następnie potwierdź testową wysyłką na żywo, zanim uruchomisz kampanię.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki