Zoho Mail to pełnoprawny host skrzynek pocztowych, więc wysyła zarówno całą Twoją codzienną korespondencję, jak i wszelkie wiadomości transakcyjne. Aby przejść SPF, DKIM i DMARC, potrzebujesz dokładnie trzech rekordów DNS: jednego rekordu SPF, który autoryzuje serwery Zoho za pomocą include:zohomail.com, jednego rekordu TXT DKIM, który włączasz dla każdej domeny wewnątrz konsoli administracyjnej Zoho, oraz jednego rekordu DMARC, który mówi serwerom odbiorczym, co zrobić, gdy wiadomość nie przejdzie weryfikacji. Ustaw wszystkie trzy poprawnie i w zgodności (alignment), a Twoja poczta będzie uwierzytelniana w Gmailu, Yahoo i Outlooku bez lądowania w spamie.
Poniżej znajdziesz dokładną konfigurację, zasadę jednego rekordu SPF, na której większość ludzi się potyka, poprawny selektor DKIM oraz bezpieczne wdrożenie DMARC od none do reject. Najpierw sprawdź swoją domenę, aby zobaczyć, co jest już opublikowane.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
Dodaj jeden rekord SPF z include:zohomail.com
SPF to pojedynczy rekord DNS typu TXT w korzeniu domeny, który wymienia serwery mogące wysyłać pocztę w Twoim imieniu. Dla domeny hostowanej w Zoho rekord jest krótki:
v=spf1 include:zohomail.com ~all
Opublikuj go jako rekord TXT w korzeniu domeny (host @). Mechanizm include:zohomail.com pobiera aktualne zakresy adresów IP wysyłkowych Zoho, dzięki czemu nigdy nie wpisujesz na sztywno adresów, które Zoho może zmienić. Końcowe ~all to softfail, który informuje serwery odbiorcze, że wszystko, czego nie wymieniono, jest podejrzane, ale na razie powinno być nadal akceptowane. Gdy Twoja konfiguracja będzie stabilna, a DMARC będzie egzekwowany, możesz zaostrzyć to do -all (hardfail).
Zasada jednego rekordu SPF
Domena musi mieć dokładnie jeden rekord SPF. To błąd, który psuje więcej konfiguracji Zoho niż jakikolwiek inny. Jeśli wysyłasz także przez narzędzie do newsletterów lub system CRM, nie dodajesz drugiego rekordu v=spf1. Łączysz includy w jeden:
v=spf1 include:zohomail.com include:_spf.google.com ~all
Dwa osobne rekordy SPF to trwały błąd (PermError) i serwery odbiorcze traktują całą weryfikację jako nieudaną. Jeśli nie masz pewności, dlaczego SPF zawodzi, nasz przewodnik spf-permerror-vs-temperror wyjaśnia różnicę między problemem składniowym a przejściowym przekroczeniem czasu DNS.
Uważaj na limit 10 zapytań
SPF ogranicza liczbę zapytań DNS do 10. Każdy include się liczy, a includy mogą być zagnieżdżone, więc nakładanie kilku ESP obok Zoho może przekroczyć limit i spowodować PermError, nawet gdy każdy rekord jest składniowo poprawny. Jeśli wysyłasz przez wielu dostawców, przeczytaj fix-spf-too-many-dns-lookups, zanim dodasz kolejne includy.
Włącz DKIM dla każdej domeny w konsoli administracyjnej Zoho
DKIM dodaje kryptograficzny podpis do każdej wychodzącej wiadomości, co pozwala serwerom odbiorczym potwierdzić, że poczta naprawdę pochodzi z Twojej domeny i nie została zmieniona po drodze. W przeciwieństwie do SPF, DKIM nie jest rekordem, który piszesz ręcznie od zera. Zoho generuje dla Ciebie parę kluczy, a Ty włączasz ją wewnątrz konsoli administracyjnej.
Ścieżka to konsola administracyjna Zoho Mail, następnie Domeny, potem Twoja domena, a następnie zakładka Email Configuration lub DKIM. Zoho pokazuje Ci selektor i klucz publiczny, a Ty publikujesz ten klucz publiczny jako rekord TXT pod hostem, który Ci wskaże. Zoho podpisuje wtedy Twoją pocztę pasującym kluczem prywatnym.
Selektor DKIM Zoho
Rekord DKIM Zoho znajduje się pod hostem opartym na selektorze w takiej formie:
selector._domainkey.yourdomain.com
Zoho zazwyczaj używa selektora takiego jak zoho lub zmail, ale nie zakładaj tego z góry. Skopiuj dokładny selektor i klucz publiczny z własnej konsoli administracyjnej, ponieważ wartość jest unikalna dla Twojej domeny i to Zoho ją kontroluje. Opublikowany rekord TXT wygląda tak:
zoho._domainkey.yourdomain.com TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GN..."
Po jego opublikowaniu wróć do konsoli i kliknij opcję weryfikacji lub włączenia DKIM. Zoho nie zacznie podpisywać, dopóki nie potwierdzi, że rekord jest opublikowany w DNS, więc wiadomość wysłana przed weryfikacją nie będzie zawierać podpisu. Jeśli hostujesz więcej niż jedną domenę w Zoho, włączasz DKIM osobno dla każdej z nich. Nie ma jednego przełącznika obejmującego całe konto, który pokrywałby wszystkie domeny naraz.
Dlaczego zgodność (alignment) ma znaczenie
DMARC nie chce jedynie, aby DKIM przeszedł weryfikację, chce także, aby DKIM był zgodny (alignment). Zgodność oznacza, że domena w podpisie DKIM (tag d=) pasuje do domeny w widocznym adresie From. Ponieważ Zoho podpisuje Twoją własną domeną, zgodność jest tutaj automatyczna, i to właśnie dlatego pełnoprawny host skrzynek jest prostszy niż zewnętrzny ESP. Jeśli kiedykolwiek zobaczysz, że DKIM przechodzi, a DMARC nadal zawodzi, nasz przewodnik fix-dkim-alignment przeprowadzi Cię przez tę niezgodność.
Opublikuj DMARC i zacznij od p=none
DMARC łączy SPF i DKIM oraz mówi serwerom odbiorczym, co zrobić, gdy wiadomość nie przejdzie obu. Odblokowuje także raportowanie, dzięki czemu widzisz, kto wysyła pocztę jako Twoja domena. Opublikuj go jako rekord TXT pod hostem _dmarc:
_dmarc.yourdomain.com TXT "v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com"
Zacznij od p=none. To tryb wyłącznie monitorujący: nie zmienia nic w sposobie dostarczania Twojej poczty, ale prosi serwery odbiorcze o przesyłanie Ci zbiorczych raportów na adres rua. Te raporty pokazują każde źródło wysyłające pod Twoją domeną, dzięki czemu potwierdzasz, że Zoho uwierzytelnia się poprawnie, i wychwytujesz wszystko, o czym zapomniałeś, na przykład system rozliczeniowy lub narzędzie marketingowe. Nigdy nie przeskakuj od razu do p=reject, ponieważ przeoczone źródło będzie mieć odrzucaną swoją prawidłową pocztę.
Przenieś DMARC z none do reject etapami
Sensem DMARC jest egzekwowanie, ale zasługujesz na nie stopniowo. Etapowe wdrożenie pozwala obserwować raporty i naprawiać problemy, zanim jakakolwiek prawdziwa poczta zostanie zablokowana.
- Tydzień 1 do 2: uruchom
p=nonei czytaj zbiorcze raporty. Potwierdź, że Zoho przechodzi SPF i DKIM ze zgodnością, oraz zidentyfikuj każdego innego prawidłowego nadawcę. Nasz przewodnik how-to-read-dmarc-aggregate-report pokazuje, co mówi Ci ten XML. - Tydzień 3 do 4: przejdź na
p=quarantine. Niedostarczona poczta trafia teraz do spamu zamiast do skrzynki odbiorczej, co jest odwracalnym strzałem ostrzegawczym. Użyj tagupct, aby stopniowo zwiększać zasięg, jeśli chcesz, na przykładp=quarantine; pct=25, aby najpierw zastosować politykę do jednej czwartej niepowodzeń. - Tydzień 5 i dalej: przejdź na
p=reject, gdy raporty będą czyste. Niedostarczona poczta jest teraz odrzucana od razu, co jest jedyną polityką, która rzeczywiście powstrzymuje podszywanie się pod Twoją domenę.
Egzekwujący rekord wygląda tak:
_dmarc.yourdomain.com TXT "v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com; adkim=s; aspf=s"
Aby zobaczyć krok po kroku wersję tego wdrażania, zobacz how-to-move-dmarc-from-none-to-reject. Jeśli chcesz poznać uzasadnienie każdego poziomu polityki, dmarc-policy-none-quarantine-reject omawia kompromisy.
Zweryfikuj każdy rekord na żywo w narzędziu sprawdzającym
Zmiany w DNS łatwo wpisać z błędem i mogą potrzebować czasu na propagację, więc nie ufaj, że rekord jest poprawny tylko dlatego, że go wkleiłeś. Po każdym kroku potwierdź, że rekord faktycznie się rozwiązuje. Przepuść swoją domenę przez narzędzie sprawdzające u góry tej strony i szukaj trzech zielonych wyników: jednego rekordu SPF (nie dwóch), DKIM przechodzącego z poprawnym selektorem i prawidłowym kluczem publicznym oraz polityki DMARC na poziomie, którego oczekujesz.
Typowe rzeczy, które wychwyci narzędzie: drugi zabłąkany rekord SPF pozostały po poprzednim hoście, rekord DKIM, który opublikowałeś, ale nigdy nie kliknąłeś, aby włączyć go w Zoho, więc podpisywanie nigdy się nie rozpoczęło, albo rekord DMARC wciąż tkwiący na p=none tygodnie po tym, jak zamierzałeś go egzekwować. Spełnienie google-yahoo-sender-requirements dla nadawców masowych oznacza, że wszystkie trzy muszą przejść weryfikację, więc sprawdzenie na żywo to różnica między pocztą, która się uwierzytelnia, a pocztą, która po cichu trafia do spamu.
Najczęściej zadawane pytania
Jaki jest rekord SPF dla Zoho?
Dla domeny hostowanej w Zoho Mail rekord SPF to v=spf1 include:zohomail.com ~all, opublikowany jako rekord TXT w korzeniu domeny. Jeśli wysyłasz także przez inne usługi, połącz ich includy w ten jeden rekord, zamiast tworzyć drugi rekord SPF.
Jakiego selektora DKIM używa Zoho?
Zoho generuje dla Ciebie selektor w konsoli administracyjnej, zazwyczaj zoho lub zmail, a rekord znajduje się pod selector._domainkey.yourdomain.com. Zawsze kopiuj dokładny selektor i klucz publiczny z własnej konsoli, zamiast zgadywać, ponieważ wartości są unikalne dla Twojej domeny.
Czy muszę włączyć DKIM osobno dla każdej domeny?
Tak. Zoho włącza DKIM dla każdej domeny, więc jeśli hostujesz kilka domen, generujesz i publikujesz klucz oraz klikasz, aby włączyć podpisywanie dla każdej z nich z osobna. Nie ma jednego przełącznika obejmującego całe konto.
Jak długo trzeba czekać, zanim ustawię DMARC na p=reject?
Zaplanuj od czterech do sześciu tygodni. Uruchom p=none przez kilka tygodni, aby potwierdzić, że każdy prawidłowy nadawca się uwierzytelnia, przejdź na p=quarantine na kolejny tydzień lub dwa, a następnie przejdź na p=reject, gdy Twoje zbiorcze raporty będą czyste. Pośpiech z przejściem do reject grozi odrzucaniem poczty ze źródła, o którym zapomniałeś.