Mailgun wysyła z dedykowanej poddomeny i ten jeden szczegół zmienia to, gdzie trafia każdy rekord DNS. SPF include:mailgun.org oraz rekord TXT DKIM mx._domainkey należą do Twojej poddomeny wysyłkowej (na przykład mail.twojadomena.pl), a nie do domeny głównej. Ustaw poprawne nazwy hostów, poczekaj na propagację, dodaj rekord DMARC na domenie głównej, a Twoja poczta będzie się uwierzytelniać bez problemów.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
Ten przewodnik opisuje dokładne rekordy, o które prosi Mailgun, pokazuje jak scalić SPF, jeśli domena główna ma już rekord, omawia opcjonalne rekordy śledzenia oraz końcową weryfikację, dzięki której będziesz mieć pewność, że zarówno DKIM, jak i SPF przechodzą pomyślnie, zanim zaczniesz wysyłać realny wolumen wiadomości.
Dlaczego Mailgun korzysta z poddomeny wysyłkowej
Gdy dodajesz domenę w panelu Mailgun, nie prosi on o uwierzytelnienie twojadomena.pl bezpośrednio. Prosi o poddomenę, zwykle coś w rodzaju mail.twojadomena.pl lub mg.twojadomena.pl. Jest to celowe i stanowi dobrą praktykę.
Dedykowana poddomena wysyłkowa oddziela Twój ruch transakcyjny i marketingowy od skrzynek, których Twoi pracownicy używają na domenie głównej. Reputacja poddomeny jest budowana i śledzona osobno, więc nieudana kampania nie pogrąży Twojej firmowej poczty, a Google Postmaster Tools może raportować dla samej poddomeny. Utrzymuje to również porządek w DNS: rekordy Mailgun znajdują się pod poddomeną i nigdy nie kolidują z rekordami SPF ani MX, które Twój zwykły dostawca poczty publikuje już na domenie głównej.
Haczyk polega na tym, że z przyzwyczajenia ludzie wklejają rekordy Mailgun na domenie głównej. Jeśli umieścisz include:mailgun.org w rekordzie SPF na twojadomena.pl, podczas gdy Mailgun wysyła jako mail.twojadomena.pl, serwer odbiorczy sprawdza SPF poddomeny, nic nie znajduje i SPF nie przechodzi. Nazwy hostów mają tu większe znaczenie niż wartości.
Dodaj rekord SPF na poddomenie wysyłkowej
SPF include od Mailgun mówi odbiorcom, że zakresy IP Mailgun mają prawo wysyłać w imieniu Twojej poddomeny. Opublikuj rekord TXT na samej poddomenie.
- Host / nazwa:
mail.twojadomena.pl(lub jakąkolwiek poddomenę przydzielił Ci Mailgun) - Typ:
TXT - Wartość:
v=spf1 include:mailgun.org ~all
Użyj ~all (softfail), tak jak zaleca Mailgun, a nie -all, dopóki nie upewnisz się, że nic innego nie wysyła jako ta poddomena. Jeśli hostujesz DNS w Cloudflare, Route 53, GoDaddy lub Namecheap, wpisz poddomenę w polu nazwy dokładnie tak, jak jest pokazana; niektóre panele automatycznie dopisują domenę główną, więc mail staje się mail.twojadomena.pl. Sprawdź podgląd w panelu przed zapisaniem.
Scalanie z istniejącym rekordem SPF domeny głównej
Jeśli zdecydowałeś się wysyłać z domeny głównej zamiast z poddomeny albo poddomena zawiera już rekord SPF innej usługi, nie możesz opublikować dwóch rekordów SPF na tej samej nazwie. Domena może mieć dokładnie jeden rekord TXT v=spf1. Opublikowanie drugiego to trwały błąd, który powoduje niepowodzenie SPF dla wszystkich.
Zamiast tego scal include z jednym istniejącym rekordem. Jeśli Twoja domena główna zawiera już v=spf1 include:_spf.google.com ~all, połączony rekord będzie wyglądał tak:
v=spf1 include:_spf.google.com include:mailgun.org ~all
Zachowaj jedno v=spf1 na początku i jeden mechanizm all na końcu. Każdy include liczy się do twardego limitu SPF wynoszącego dziesięć zapytań DNS, więc jeśli masz już kilku dostawców, uważaj na ten pułap. Nasz przewodnik o zbyt wielu zapytaniach DNS w SPF wyjaśnia, jak nie przekroczyć limitu, a rekordy SPF dla poddomeny omawia szczegółowo mechanikę nazw hostów.
Dodaj rekord TXT DKIM
DKIM podpisuje każdą wiadomość kluczem prywatnym przechowywanym przez Mailgun; pasujący klucz publiczny znajduje się w Twoim DNS, aby odbiorcy mogli zweryfikować podpis. Mailgun publikuje klucz publiczny jako rekord TXT pod selektorem na Twojej poddomenie wysyłkowej.
- Host / nazwa:
mx._domainkey.mail.twojadomena.pl - Typ:
TXT - Wartość:
k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQ...(długi ciąg klucza, który pokazuje Ci Mailgun)
Selektor mx to typowa wartość domyślna Mailgun, ale nowsze konta i klucze 2048-bitowe mogą używać innej nazwy selektora. Skopiuj dokładny host i wartość z panelu DNS Mailgun, zamiast zakładać nazwę selektora. Wartość p= to długi ciąg base64; wklej go w całości, bez dodanych spacji ani podziałów wiersza.
Niektórzy dostawcy DNS ograniczają pojedynczy ciąg TXT do 255 znaków, a 2048-bitowy klucz Mailgun jest dłuższy. Dobrzy dostawcy DNS automatycznie dzielą wartość na kilka fragmentów w cudzysłowach. Jeśli Twój tego nie robi i odrzuca rekord, przyczyną jest zwykle właśnie ten limit długości. Mailgun publikuje DKIM jako rekord TXT; jeśli jesteś przyzwyczajony do DKIM opartego na CNAME od innych nadawców, zobacz DKIM CNAME kontra TXT, aby zrozumieć, dlaczego oba podejścia są prawidłowe.
Opcjonalne rekordy MX i CNAME do śledzenia
Dwa kolejne typy rekordów są opcjonalne, w zależności od Twoich potrzeb.
Rekordy MX dla poczty przychodzącej i pełnej zgodności
Jeśli chcesz, aby Mailgun odbierał pocztę dla poddomeny, albo zależy Ci na najsilniejszym sygnale dostarczalności, dodaj rekordy MX na poddomenie wysyłkowej:
mail.twojadomena.plMXmxa.mailgun.orgpriorytet10mail.twojadomena.plMXmxb.mailgun.orgpriorytet10
Dodaj je tylko wtedy, gdy poddomena jest dedykowana wyłącznie Mailgun. Nigdy nie kieruj rekordu MX domeny głównej na Mailgun, chyba że Mailgun faktycznie obsługuje Twoją pocztę przychodzącą, w przeciwnym razie przestaniesz odbierać normalne wiadomości.
CNAME do śledzenia otwarć i kliknięć
Aby śledzić otwarcia i kliknięcia, Mailgun przepisuje linki przez host śledzący. Opublikuj rekord CNAME, który Ci pokazuje:
email.mail.twojadomena.plCNAMEmailgun.org
Ten rekord służy wyłącznie do śledzenia. Pomiń go, jeśli nie korzystasz ze śledzenia otwarć i kliknięć; nie ma on wpływu na uwierzytelnianie.
Poczekaj na propagację
Zmiany w DNS nie są natychmiastowe. Panel Mailgun pokazuje każdy rekord jako niezweryfikowany, dopóki nie odczyta jego wartości z publicznego DNS, i sprawdza je ponownie według harmonogramu. Większość rekordów rozpoznaje się w ciągu godziny, ale pełna globalna propagacja może zająć od 24 do 48 godzin, ograniczona ustawionym TTL oraz buforowaniem w resolverach.
Nie usuwaj i nie dodawaj ponownie rekordów tylko dlatego, że panel wciąż pokazuje ostrzeżenie po dziesięciu minutach. Daj temu czas, a następnie kliknij przycisk weryfikacji w Mailgun. Jeśli rekord nadal się nie weryfikuje po całym dniu, zwykłymi winowajcami są podwojony sufiks domeny w nazwie hosta (mail.twojadomena.pl.twojadomena.pl), obcięty klucz DKIM lub przypadkowy drugi rekord SPF.
Dodaj rekord DMARC na domenie głównej
DMARC łączy SPF i DKIM oraz mówi odbiorcom, co robić, gdy wiadomość nie przejdzie żadnego z nich. W przeciwieństwie do rekordów Mailgun, DMARC znajduje się na Twojej domenie głównej i za jej pośrednictwem obejmuje poddomeny.
- Host / nazwa:
_dmarc.twojadomena.pl - Typ:
TXT - Wartość:
v=DMARC1; p=none; rua=mailto:dmarc@twojadomena.pl
Zacznij od p=none, aby monitorować bez wpływu na dostarczanie, i skieruj rua na skrzynkę, którą naprawdę czytasz. Ponieważ Mailgun wysyła z poddomeny Twojej domeny organizacyjnej, domyślne zluzowane dopasowanie DMARC pozwala poddomenie dopasować się do domeny głównej, więc przechodzący SPF lub DKIM na mail.twojadomena.pl spełnia wymogi DMARC dla domeny organizacyjnej. Warto zrozumieć te szczegóły, dlatego przeczytaj zluzowane kontra ścisłe dopasowanie oraz nasz pełny przewodnik konfiguracji DMARC, zanim zaostrzysz politykę.
Gdy już przez kilka tygodni obserwujesz raporty i potwierdzisz, że legalna poczta przechodzi, przesuń politykę w stronę p=quarantine, a następnie p=reject.
Zweryfikuj cały łańcuch
Po propagacji potwierdź, że każde ogniwo się uwierzytelnia, zanim zwiększysz skalę wysyłki.
- W Mailgun sprawdź, czy domena pokazuje wszystkie wymagane rekordy jako zweryfikowane, z zielonym statusem.
- Przepuść swoją poddomenę wysyłkową przez skaner na górze tej strony. Odczytuje on aktualne rekordy SPF, DKIM i DMARC oraz ocenia wynik.
- Wyślij wiadomość testową na adres, który kontrolujesz, i otwórz surowe nagłówki. Poszukaj
spf=pass,dkim=passorazdmarc=passw nagłówku Authentication-Results.
Jeśli SPF przechodzi, ale DKIM nie, klucz DKIM jest niemal zawsze obcięty lub na niewłaściwym hoście. Jeśli DKIM przechodzi, ale SPF nie, brakuje rekordu SPF na dokładnie tej poddomenie, z której wysyła Mailgun. Popraw nazwę hosta, poczekaj na TTL i sprawdź ponownie.
Najczęściej zadawane pytania
Czy rekordy Mailgun trafiają na moją domenę główną, czy na poddomenę?
Na poddomenę wysyłkową przydzieloną przez Mailgun, taką jak mail.twojadomena.pl. SPF include:mailgun.org oraz rekord TXT DKIM mx._domainkey należą tam. Tylko rekord DMARC trafia na domenę główną, na _dmarc.twojadomena.pl.
Jaki jest selektor DKIM w Mailgun?
Mailgun powszechnie używa mx, co daje host mx._domainkey.mail.twojadomena.pl. Nowsze konta lub klucze 2048-bitowe mogą używać innego selektora, dlatego zawsze kopiuj dokładny host i wartość z panelu DNS Mailgun, zamiast zakładać mx.
Dlaczego Mailgun wciąż pokazuje moje rekordy jako niezweryfikowane?
Zwykle to propagacja. Globalne rozpoznanie rekordów może zająć do 24 do 48 godzin, choć większość pojawia się w ciągu godziny. Jeśli rekord nie przechodzi po całym dniu, sprawdź, czy nie ma podwojonego sufiksu domeny w nazwie hosta, klucza DKIM podzielonego lub obciętego przez limit 255 znaków w TXT, albo drugiego rekordu v=spf1 na tej samej nazwie.
Czy potrzebuję rekordów MX i CNAME do śledzenia?
Nie. Rekordy MX mają znaczenie tylko wtedy, gdy Mailgun odbiera pocztę przychodzącą dla poddomeny, a CNAME do śledzenia liczy się tylko wtedy, gdy korzystasz ze śledzenia otwarć i kliknięć. Same SPF i DKIM uwierzytelniają Twoją pocztę wychodzącą; reszta to opcjonalne dodatki.