BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
dkim

Postmark SPF, DKIM i DMARC: kompletny przewodnik po uwierzytelnianiu domeny

Postmark sprawia, że SPF przechodzi pomyślnie dzięki własnej ścieżce Return-Path na mtasv.net, więc uwierzytelnianie, które naprawdę ma znaczenie dla DMARC, to rekord DKIM TXT oraz własny CNAME Return-Path wskazujący na pm.mtasv.net. Ten przewodnik wyjaśnia, dlaczego zaliczenie SPF to nie to samo co zgodność SPF, prowadzi przez oba rekordy w DNS, ustawia rozsądną politykę DMARC i pokazuje, jak potwierdzić gotowy efekt.

Zaktualizowano 5 lip 20267 min czytania

Poczta transakcyjna Postmark już przechodzi kontrolę SPF od razu po instalacji, ponieważ wysyła przez własną ścieżkę Return-Path na mtasv.net, więc w ogóle nie musisz dodawać Postmark do rekordu SPF swojej domeny. Dwa rekordy, które faktycznie zapewniają zaliczenie DMARC, to rekord DKIM TXT generowany przez Postmark dla Twojej domeny oraz własny CNAME Return-Path wskazujący na pm.mtasv.net. Ustaw te dwa rekordy poprawnie, a Twoja domena From uzyska czystą zgodność, o co przecież chodzi.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Pułapka, w którą wpada większość przewodników po Postmark, to traktowanie "SPF przechodzi" jako "SPF jest gotowy". To dwa różne pytania, a DMARC obchodzi tylko to drugie. Poniżej znajdziesz dokładnie to, co dodać, dlaczego każdy rekord istnieje i jak to zweryfikować.

Dlaczego SPF w Postmark nie jest problemem (i dlaczego to ludzi myli)

Gdy Postmark wysyła Twoją pocztę, nadawca koperty (Return-Path, zwany też MailFrom) domyślnie wskazuje na adres we własnej domenie Postmark, coś w pm.mtasv.net. Serwer odbierający sprawdza SPF względem tej domeny z koperty, a nie względem Twojego nagłówka From. Ponieważ Postmark publikuje prawidłowy rekord SPF dla swoich adresów IP wysyłających, kontrola SPF przechodzi za każdym razem.

Zobaczysz więc spf=pass w nagłówku Authentication-Results bez tykania swojego DNS. To prawda, ale jest to zaliczenie dla domeny Postmark, a nie Twojej. Jeśli dodasz include:spf.mtasv.net do własnego rekordu SPF w nadziei, że "naprawisz SPF", rozwiązujesz problem, który nie istnieje, i marnujesz jedno z dziesięciu dozwolonych zapytań DNS w SPF na nic. Zostaw swój rekord SPF dla nadawców, którzy faktycznie używają Twojej domeny w kopercie, takich jak Google Workspace czy Microsoft 365.

Niuans, który ma znaczenie: zaliczenie SPF dla domeny Postmark nie robi nic dla Twojego wyniku DMARC, ponieważ DMARC ignoruje uwierzytelnianie, które nie jest zgodne z Twoją domeną From. Właśnie to naprawia reszta tego przewodnika.

Zaliczenie SPF a zgodność SPF: rozróżnienie, które napędza wszystko

DMARC nie pyta "czy SPF przeszedł?". Pyta "czy SPF przeszedł i czy uwierzytelniona domena SPF pasuje do domeny z nagłówka From?". Ta druga połowa to zgodność (alignment).

  • Zaliczenie SPF: wysyłający adres IP jest autoryzowany dla domeny Return-Path.
  • Zgodność SPF: domena Return-Path pasuje do Twojej domeny From (zgodność złagodzona akceptuje wspólną domenę organizacyjną, więc pm-bounces.twojadomena.pl jest zgodne z twojadomena.pl).

Przy domyślnym Return-Path Postmark na pm.mtasv.net SPF przechodzi, ale uwierzytelniona domena to pm.mtasv.net, która nie ma nic wspólnego z twojadomena.pl. To zaliczenie SPF bez zgodności i nie wnosi nic do DMARC. Ma to dokładnie taki sam kształt jak klasyczne zamieszanie z DKIM zawodzi, gdy SPF przechodzi, tyle że wycelowane w stronę SPF. Jeśli chcesz poznać pełną mechanikę, zobacz zgodność DMARC: złagodzona a ścisła.

Aby DMARC przeszedł, potrzebujesz co najmniej jednego zgodnego, uwierzytelnionego identyfikatora. Postmark daje Ci dwie drogi do tego celu: zgodny DKIM (ścieżka podstawowa) i zgodny SPF przez własny Return-Path (wzmocnienie). Chcesz mieć oba.

Krok 1: dodaj rekord DKIM Postmark

DKIM to Twoja podstawowa droga do zgodności DMARC z Postmark. Gdy Postmark podpisuje Twoją wiadomość, używa Twojej domeny w tagu d=, więc prawidłowy podpis DKIM automatycznie jest zgodny z Twoją domeną From.

W koncie Postmark otwórz Sender Signatures lub Domains, dodaj swoją domenę, a Postmark pokaże Ci rekord DKIM. Jest to rekord TXT na nazwie hosta selektora, który wygląda tak:

selector._domainkey.yourdomain.com TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQ..."

Postmark przypisuje selektor za Ciebie, więc skopiuj dokładną nazwę hosta i wartość z konsoli, zamiast zgadywać. Jeśli Twój dostawca DNS nie przyjmie długiej wartości TXT w jednej linii, podziel ją na cudzysłowione ciągi; resolver je połączy. Niektórzy dostawcy udostępniają to jako DKIM oparty na CNAME zamiast surowego bloku TXT. Oba działają, a jeśli chcesz poznać kompromisy, przeczytaj DKIM jako CNAME kontra TXT.

Gdy rekord się rozpropaguje, kliknij Verify w Postmark. Kiedy zaświeci się na zielono, każda wiadomość wysyłana przez Postmark będzie nosić podpis z d=yourdomain.com, który jest zgodny i samodzielnie spełnia DMARC.

Dlaczego to zgodność DKIM przetrwa przekazywanie poczty

DKIM warto traktować priorytetowo, ponieważ podpis podróżuje razem z wiadomością. Gdy odbiorca automatycznie przekazuje Twój e-mail, serwer przekazujący zmienia nadawcę koperty, co psuje SPF na kolejnym przeskoku. To właśnie dlaczego przekazywanie poczty psuje SPF. Podpis DKIM, będąc kryptograficznym i opartym na treści, nadal się waliduje, dopóki treść i podpisane nagłówki nie zostaną zmodyfikowane. Zgodność DKIM to trwalsza połowa DMARC, dlatego nigdy nie polegasz wyłącznie na SPF.

Krok 2: dodaj własny CNAME Return-Path (pm.mtasv.net)

To krok, który daje Ci zgodność SPF, i to właśnie ten pomijają naprędce sklecone przewodniki. Postmark pozwala ustawić własny Return-Path na subdomenie Twojej własnej domeny. Wybierasz subdomenę i wskazujesz ją na Postmark przez CNAME:

pm-bounces.yourdomain.com CNAME pm.mtasv.net

Gdy ustawisz to zarówno w Postmark, jak i w DNS, Postmark użyje pm-bounces.yourdomain.com jako nadawcy koperty zamiast własnego adresu pm.mtasv.net. Teraz kontrola SPF działa względem Twojej subdomeny. CNAME rozwiązuje się do infrastruktury Postmark, SPF nadal przechodzi, a ponieważ domena koperty jest teraz subdomeną yourdomain.com, jest zgodna w ramach zgodności złagodzonej z Twoją domeną From.

Efekt: SPF teraz przechodzi i jest zgodny dla Twojej domeny, dając Ci drugą niezależną drogę do zaliczenia DMARC. Jeśli DKIM kiedykolwiek zawiedzie na konkretnej wiadomości, zgodny SPF nadal ją poniesie. Zabezpieczenie na dwa sposoby.

Użyj dedykowanej subdomeny, takiej jak pm-bounces, i nie używaj jej ponownie do innych usług. Jeśli Postmark pokazuje w Twojej konsoli inną docelową nazwę hosta niż pm.mtasv.net, użyj dokładnie tego, co wyświetla konsola.

Krok 3: opublikuj lub potwierdź swój rekord DMARC

Mając na miejscu zgodny DKIM i zgodny SPF, jesteś gotowy na politykę DMARC, która faktycznie przejdzie, a nie odrzuci Twojej własnej poczty. Jeśli nie masz jeszcze rekordu DMARC, zacznij od monitorowania, aby móc obserwować wyniki przed wymuszeniem:

_dmarc.yourdomain.com TXT "v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com"

Pozwól raportom napływać przez tydzień lub dwa, potwierdź, że Postmark i Twoi inni nadawcy uzyskują zgodność, a następnie przesuwaj politykę w stronę egzekwowania. Etapowa ścieżka od none przez quarantine do reject jest opisana w polityka DMARC: none, quarantine czy reject, a pełne omówienie rekordu znajdziesz w jak skonfigurować DMARC. Nie przeskakuj od razu do p=reject, zanim nie zweryfikujesz zgodności, bo ryzykujesz zakwarantannowanie prawdziwej poczty od nadawcy, o którym zapomniałeś.

Jeśli szerszy model tego, jak te trzy rekordy do siebie pasują, wciąż jest niejasny, SPF, DKIM i DMARC wyjaśnione to wersja od podstaw.

Krok 4: zweryfikuj gotowy efekt

Wyślij na żywo testową wiadomość z Postmark na adres, który kontrolujesz, otwórz surową wiadomość i przeczytaj nagłówek Authentication-Results. Chcesz zobaczyć dla swojej domeny:

  • dkim=pass z header.d=yourdomain.com
  • spf=pass z Return-Path na Twojej subdomenie pm-bounces
  • dmarc=pass

Następnie przepuść swoją domenę przez narzędzie sprawdzające na górze tej strony. Potwierdza ono, że klucz publiczny DKIM się rozwiązuje, że subdomena Return-Path jest poprawnie delegowana i że Twoja polityka DMARC jest obecna oraz poprawna składniowo, a także sygnalizuje luki w zgodności, zanim zrobią to serwery pocztowe Twoich odbiorców. Jeśli DKIM się pojawia, ale zgodność nadal zawodzi, przejdź przez jak naprawić zgodność DKIM.

Najczęściej zadawane pytania

Czy muszę dodać Postmark do mojego rekordu SPF?

Nie. Postmark wysyła z własnym Return-Path, więc SPF przechodzi bez żadnej zmiany w rekordzie SPF Twojej domeny. Dodanie include:spf.mtasv.net nic Ci nie daje i marnuje jedno z dziesięciu dozwolonych zapytań DNS w SPF. Praca nad SPF, która ma znaczenie, to własny CNAME Return-Path, a nie wpis include.

Do czego służy CNAME pm.mtasv.net?

Zasila własny Return-Path. Wskazując pm-bounces.yourdomain.com jako CNAME na pm.mtasv.net, sprawiasz, że Postmark używa Twojej subdomeny jako nadawcy koperty. SPF przechodzi wtedy dla Twojej subdomeny i jest zgodny z Twoją domeną From, dając DMARC drugą prawidłową drogę obok DKIM.

Czy sam DKIM wystarczy dla DMARC w Postmark?

Technicznie tak, ponieważ Postmark podpisuje z d=yourdomain.com, co jest zgodne i samodzielnie zalicza DMARC. Ale i tak powinieneś dodać własny Return-Path dla zgodnego SPF, ponieważ podpisy DKIM mogą się psuć, gdy wiadomości są przekazywane lub modyfikowane w tranzycie. Dwa zgodne identyfikatory są bardziej odporne niż jeden.

Dlaczego moja poczta pokazuje spf=pass, ale dmarc=fail?

Ponieważ zaliczenie SPF dotyczy domeny Postmark pm.mtasv.net, która nie jest zgodna z Twoją domeną From. DMARC ignoruje niezgodne zaliczenia. Skonfiguruj własny CNAME Return-Path, aby SPF uwierzytelniał subdomenę Twojej własnej domeny, i upewnij się, że DKIM jest zweryfikowany, aby istniał co najmniej jeden zgodny identyfikator.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki