BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
spf

Namecheap: konfiguracja SPF, DKIM i DMARC (krok po kroku)

Precyzyjny przewodnik po dodawaniu rekordów SPF, DKIM i DMARC w panelu Advanced DNS w Namecheap. Wyjaśnia, kiedy zakładka jest dostępna, na czym polega zamieszanie wokół pola Host (@ kontra puste), jak poprawnie sformatować wartość TXT, kiedy DKIM to CNAME, a kiedy TXT w zależności od dostawcy poczty, oraz jak sprawdzić, że rekordy rzeczywiście zadziałały.

Zaktualizowano 5 lip 20267 min czytania

Aby skonfigurować SPF, DKIM i DMARC dla domeny w Namecheap, otwórz domenę na swoim koncie Namecheap, przejdź do zakładki Advanced DNS i dodaj każdy rekord w sekcji Host Records: jeden rekord TXT dla SPF, jeden rekord TXT lub CNAME dla DKIM (w zależności od dostawcy poczty) oraz jeden rekord TXT dla DMARC na hoście _dmarc. Cała praca zajmuje około dziesięciu minut, a jedyne prawdziwe pułapki to pole Host i dokładny tekst każdej wartości.

Ten przewodnik prowadzi Cię przez ekran Advanced DNS pole po polu, wyjaśnia, dlaczego kolumna Host w Namecheap sprawia ludziom kłopoty, i pokazuje, jak potwierdzić, że rekordy działają, zanim zaczniesz na nich polegać.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Zanim zaczniesz: z jakiego DNS faktycznie korzysta Twoja domena

Namecheap pokazuje edytowalne Host Records w zakładce Advanced DNS tylko wtedy, gdy domena korzysta z własnych serwerów nazw Namecheap. Oznacza to, że w sekcji Domain > Nameservers musi być wybrany BasicDNS, PremiumDNS lub FreeDNS. Jeśli widzisz "Custom DNS" z serwerami nazw kogoś innego (na przykład Cloudflare, Twojego hostingu WWW lub usługi parkowania rejestratora), to Namecheap nie odpowiada na zapytania DNS dla Twojej domeny i każdy rekord dodany w tej zakładce nie ma żadnego efektu.

Sprawdź to najpierw. Otwórz domenę, spójrz na sekcję Nameservers w zakładce Domain i upewnij się, że widnieje tam Namecheap BasicDNS lub PremiumDNS. Jeśli wskazuje gdzie indziej, to tamten dostawca jest Twoim prawdziwym hostem DNS i to tam powinieneś dodać rekordy. Nie masz pewności? Nasz przewodnik jak znaleźć swojego hosta DNS pokazuje, jak namierzyć go w mniej niż minutę.

Wszystko poniżej zakłada, że korzystasz z DNS Namecheap i patrzysz na zakładkę Advanced DNS.

Pole Host: @ kontra puste pole i dlaczego to ma znaczenie

To największe źródło nieporozumień w Namecheap. Kolumna Host to miejsce, w którym mówisz Namecheap, do jakiej nazwy należy rekord. Namecheap używa skrótów:

  • @ oznacza korzeń Twojej domeny, na przykład samo example.com. Użyj @ dla rekordu SPF oraz dla większości rekordów TXT DKIM, które znajdują się na apexie domeny.
  • Etykieta taka jak _dmarc oznacza subdomenę _dmarc.example.com. Namecheap automatycznie dokleja Twoją domenę, więc wpisujesz tylko etykietę, nigdy pełnej nazwy.
  • Selektor DKIM taki jak s1._domainkey oznacza s1._domainkey.example.com. Ponownie, wpisz tylko etykietę.

Nie wpisuj pełnej nazwy domeny w pole Host. Jeśli wpiszesz example.com jako host, Namecheap potraktuje to jako example.com.example.com i rekord się nie rozwiąże. Nie zostawiaj też pola Host pustego w nadziei, że domyślnie ustawi się korzeń. Użyj jawnie @ dla apexu. W razie wątpliwości pamiętaj, że cokolwiek wpiszesz w Host, Twoja domena zostanie doklejona na końcu, a @ jest jedynym wyjątkiem, który oznacza "nic dodatkowo".

Krok 1: Dodaj rekord SPF

SPF to pojedynczy rekord TXT w korzeniu Twojej domeny, który wymienia, które serwery mogą wysyłać pocztę w Twoim imieniu. Publikujesz dokładnie jeden rekord SPF na domenę. Jeśli już jakiś masz, edytuj go zamiast dodawać drugi, ponieważ dwa rekordy SPF to trwały błąd (PermError) zgodnie z RFC 7208.

W zakładce Advanced DNS, w sekcji Host Records, kliknij Add New Record i wybierz TXT Record:

  • Type: TXT Record
  • Host: @
  • Value: v=spf1 include:_spf.google.com ~all
  • TTL: Automatic

Zastąp include: tym, co poleca Twój dostawca poczty. Google Workspace używa include:_spf.google.com, Microsoft 365 używa include:spf.protection.outlook.com, a usługi takie jak SendGrid czy Mailgun dają Ci własny include. Jeśli wysyłasz przez więcej niż jedną usługę, połącz include w łańcuch w tym samym rekordzie:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Zakończ na ~all (softfail) lub -all (hardfail). Unikaj +all, który upoważnia cały internet do wysyłania w Twoim imieniu i jest naprawdę niebezpieczny. Jeszcze jeden limit, który trzeba respektować: SPF jest ograniczony do 10 zapytań DNS, a nakładanie kolejnych include szybko go przekracza. Jeśli osiągniesz ten sufit, nasz przewodnik jak naprawić zbyt wiele zapytań DNS w SPF prowadzi przez proces jego spłaszczania.

Nie otaczaj wartości cudzysłowami samodzielnie. Edytor Namecheap obsługuje cytowanie rekordu TXT automatycznie, a dodanie własnych znaków " może je zdublować.

Krok 2: Dodaj DKIM (CNAME lub TXT zależy od dostawcy)

To przy DKIM zasady dotyczące Host w Namecheap naprawdę dają o sobie znać, ponieważ typ rekordu zależy od nadawcy. Twój dostawca poczty generuje klucz DKIM i każe Ci opublikować go pod selektorem. Selektor to etykieta przed ._domainkey. Są dwie częste postacie.

DKIM jako CNAME (Amazon SES, wiele ESP)

Niektórzy dostawcy, w tym Amazon SES i szereg platform marketingowych, hostują właściwy klucz DKIM po swojej stronie i proszą, abyś skierował na niego rekord CNAME. Jest to wygodne, ponieważ mogą rotować klucz bez ponownego ruszania Twojego DNS. Wygląda to tak:

  • Type: CNAME Record
  • Host: abc123._domainkey
  • Value: abc123.dkim.amazonses.com
  • TTL: Automatic

W polu Host publikujesz etykietę selektora, a w polu Value cel wskazany przez dostawcę. W przypadku SES często dostajesz trzy takie rekordy. Dlaczego CNAME, a nie TXT? Ponieważ materiał klucza pozostaje u dostawcy. Nasze wyjaśnienie DKIM CNAME kontra TXT omawia ten kompromis dogłębnie.

DKIM jako TXT (Google Workspace, Microsoft 365, Zoho)

Inni dostawcy przekazują Ci pełny klucz publiczny i proszą o wklejenie go do rekordu TXT. Google Workspace na przykład domyślnie używa selektora google:

  • Type: TXT Record
  • Host: google._domainkey
  • Value: v=DKIM1; k=rsa; p=MIIBIjANBgkq... (długi klucz, który pokazuje Twój dostawca)
  • TTL: Automatic

Wartość może być bardzo długa. Wklej ją dokładnie tak, jak podaje ją dostawca, bez łamania wierszy i bez dodatkowych spacji. Namecheap akceptuje długie wartości TXT i dzieli je na ciągi DNS w tle, więc nie musisz robić tego ręcznie. Jeśli klucz wygląda na ucięty w konsoli, poszerz pole lub najpierw wklej go do zwykłego edytora tekstu, aby potwierdzić, że skopiowałeś całość. Ucięty klucz to klasyczna przyczyna niezgodności body hash lub błędu podpisu DKIM.

Niezależnie od tego, której postaci używasz, warto rozumieć ogólną mechanikę DKIM, a jak skonfigurować DKIM wyjaśnia model selektora i klucza niezależnie od dostawcy.

Krok 3: Dodaj rekord DMARC

DMARC łączy SPF i DKIM za pomocą polityki i znajduje się na stałym hoście _dmarc. Dodaj jeden rekord TXT:

  • Type: TXT Record
  • Host: _dmarc
  • Value: v=DMARC1; p=none; rua=mailto:dmarc@example.com
  • TTL: Automatic

Zacznij od p=none, abyś mógł obserwować bez wpływu na dostarczalność. Adres rua to miejsce, do którego wysyłane są raporty zbiorcze, więc użyj skrzynki, którą możesz czytać. Gdy już przez kilka tygodni obserwujesz raporty i potwierdzisz, że cała Twoja legalna poczta się uwierzytelnia, zaostrz politykę w kierunku p=quarantine, a następnie p=reject. Różnice między tymi trzema ustawieniami wyjaśnia DMARC none, quarantine i reject, a etapową ścieżkę do egzekwowania opisuje jak przejść z DMARC none do reject.

DMARC przechodzi tylko wtedy, gdy SPF lub DKIM się uwierzytelnia oraz jest zgodny (aligned) z domeną w nagłówku From. To wymaganie zgodności jest częścią, którą większość ludzi pomija, i warto przeczytać SPF kontra DKIM, aby zobaczyć, jak oba zasilają DMARC.

Krok 4: Zapisz i sprawdź, że rekordy naprawdę zadziałały

Namecheap zapisuje każdy rekord, gdy klikniesz zielony znak zaznaczenia obok wiersza. Nie ma osobnego przycisku "publikuj", ale upewnij się, że każdy wiersz pokazuje znak zaznaczenia, a nie stan edycji. DNS Namecheap zwykle propaguje w ciągu kilku minut, choć może to zająć do około 30 minut.

Nigdy nie zakładaj, że rekordy są poprawne tylko dlatego, że poprawnie je wpisałeś. Zweryfikuj je:

  • Szybkie sprawdzenie z terminala: uruchom dig TXT example.com +short dla SPF, dig TXT _dmarc.example.com +short dla DMARC oraz dig TXT google._domainkey.example.com +short (lub dig CNAME ... dla klucza w postaci CNAME) dla DKIM. Powinieneś zobaczyć zwrócone dokładnie Twoje wartości.
  • Pełne sprawdzenie: przepuść swoją domenę przez skaner na górze tej strony. Potwierdza on, że wszystkie trzy rekordy parsują się poprawnie, automatycznie oznacza błędy zdublowanych cudzysłowów i zduplikowanego SPF oraz ocenia wynik.

Jeśli rekord się nie pojawia, zwykli winowajcy to błędna wartość Host (pełna domena zamiast @ lub sama etykieta), rekord wciąż w trybie edycji bez kliknięcia znaku zaznaczenia albo domena po cichu korzystająca z niestandardowych serwerów nazw, które nie należą do Namecheap. Sprawdź najpierw serwery nazw.

Najczęściej zadawane pytania

Czy w pole Host w Namecheap dla SPF wpisuję nazwę domeny, czy @?

Użyj @. Pole Host w Namecheap automatycznie dokleja Twoją domenę, więc @ oznacza korzeń, samo example.com. Jeśli wpiszesz pełne example.com w Host, stanie się to example.com.example.com i zawiedzie. Dla DMARC użyj _dmarc, a dla DKIM użyj samej etykiety selektora, takiej jak google._domainkey, nigdy pełnej nazwy.

Dlaczego Namecheap nie pokazuje sekcji Host Records w Advanced DNS?

Ponieważ domena nie korzysta z serwerów nazw Namecheap. Host Records są edytowalne tylko wtedy, gdy domena działa na BasicDNS, PremiumDNS lub FreeDNS. Jeśli sekcja Nameservers pokazuje Custom DNS wskazujący na innego dostawcę, dodaj rekordy tam. Tamten host jest Twoim prawdziwym DNS.

Czy DKIM powinien być rekordem CNAME, czy TXT w Namecheap?

To zależy całkowicie od Twojego dostawcy poczty. Amazon SES i wiele platform marketingowych daje Ci cele CNAME, aby mogły rotować klucze za Ciebie. Google Workspace, Microsoft 365 i Zoho dają Ci pełny klucz publiczny do wklejenia do rekordu TXT. Użyj dokładnie tego typu, który wskazuje Twój dostawca, i nigdy nie mieszaj obu dla tego samego selektora.

Ile czasu zajmuje zadziałanie zmian DNS w Namecheap?

Zwykle kilka minut, a zazwyczaj nie więcej niż 30 minut na DNS Namecheap. Jeśli rekord nadal się nie rozwiązuje po tym czasie, prawie zawsze oznacza to, że wartość Host jest błędna albo wiersz nigdy nie został zapisany zielonym znakiem zaznaczenia, a nie że propagacja jest wolna.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki