O tym, czy świat ufa poczcie z Twojej domeny, decydują trzy rekordy DNS: SPF, DKIM i DMARC. Skonfiguruj je poprawnie, a Twoje wiadomości trafią do skrzynki odbiorczej, podczas gdy osoby podszywające się zostaną zablokowane. Ustaw je źle, a Twoje własne wiadomości wylądują w spamie. Oto co robi każdy z nich i jak się ze sobą łączą.
Sprawdź, jak wygląda sytuacja Twojej domeny w trakcie czytania:
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
SPF: kto ma prawo wysyłać
SPF (Sender Policy Framework) to rekord DNS, który zawiera listę serwerów uprawnionych do wysyłania poczty w imieniu Twojej domeny. Odbiorca odczytuje Twój rekord i sprawdza, czy serwer wysyłający znajduje się na liście. Jeśli go tam nie ma, wiadomość nie przechodzi weryfikacji SPF. Rekord wygląda tak:
v=spf1 include:_spf.google.com -all
Końcówka -all nakazuje odbiorcom odrzucać wszystko, co nie znajduje się na liście. Pełny opis krok po kroku znajdziesz w poradniku jak skonfigurować SPF.
DKIM: dowód, że wiadomość nie została zmieniona
DKIM (DomainKeys Identified Mail) dodaje kryptograficzny podpis do każdej wysyłanej wiadomości. Twój serwer podpisuje wychodzącą pocztę kluczem prywatnym, a odbiorcy weryfikują ją za pomocą klucza publicznego umieszczonego w Twoim DNS. Prawidłowy podpis potwierdza, że wiadomość naprawdę pochodzi od Ciebie i nie została zmodyfikowana po drodze. Zobacz jak skonfigurować DKIM.
DMARC: spina wszystko i ustala politykę
DMARC (Domain-based Message Authentication, Reporting and Conformance) zamienia SPF i DKIM w realną ochronę. Robi dwie rzeczy: mówi odbiorcom, co zrobić z pocztą, która nie przejdzie weryfikacji, oraz wymaga zgodności (alignment), czyli tego, aby domena widoczna w adresie From była zgodna z domeną, która przeszła weryfikację SPF lub DKIM. To właśnie zgodność powstrzymuje osobę podszywającą się, która przechodzi SPF dla własnej domeny, przed udawaniem Twojej. Podstawowy rekord:
v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com
Zobacz jak skonfigurować DMARC oraz jak bezpiecznie przejść na politykę reject.
Jak współpracują ze sobą
SPF potwierdza, że serwer jest uprawniony. DKIM potwierdza, że wiadomość jest nienaruszona. DMARC sprawdza, czy przynajmniej jeden z nich jest zgodny z Twoją widoczną domeną, i egzekwuje politykę, gdy tak nie jest. Potrzebujesz wszystkich trzech. Domena z SPF i DKIM, ale bez DMARC, wciąż nie ma żadnej polityki, więc odbiorcy pozostają zdani na domysły.
Uruchom bezpłatne skanowanie, aby zobaczyć swoje SPF, DKIM i DMARC w jednej ocenie, wraz z dokładnymi rekordami do poprawienia wszystkiego, co jest słabe.