Poradniki o uwierzytelnianiu poczty
Praktyczne i konkretne poradniki o SPF, DKIM i DMARC. Napraw to, co nie działa, i trzymaj swoją pocztę z dala od spamu.
Uwierzytelnianie e-maili w HubSpot: podłączenie domeny z SPF, DKIM i DMARC
HubSpot wysyła Twoje wiadomości z własnych serwerów, więc Twój DNS musi mu na to zezwolić. Ten przewodnik prowadzi przez proces podłączenia domeny wysyłkowej rekord po rekordzie: dwa rekordy CNAME dla DKIM, return-path, dzięki któremu SPF jest zgodny z Twoją domeną, powód, dla którego zwykle nie ruszasz głównego rekordu SPF, oraz politykę DMARC spełniającą wymagania Google i Yahoo dla masowych wysyłek. Zanim klikniesz Weryfikuj w HubSpot, upewnij się, że każdy rekord się propaguje.
Klaviyo: konfiguracja SPF i DKIM oraz poprawne uwierzytelnianie domeny wysyłkowej
Klaviyo nie chce, abyś dodawał jego serwery do głównego rekordu SPF. Zamiast tego kierujesz markową subdomenę wysyłkową do Klaviyo za pomocą rekordów CNAME, a Klaviyo hostuje SPF i DKIM za Ciebie. Ten przewodnik podaje dokładne rekordy dla markowej domeny wysyłkowej Klaviyo, wyjaśnia, dlaczego surowe include w SPF to błąd, i pokazuje, jak dodać oraz zweryfikować jeden rekord, którego Klaviyo za Ciebie nie utworzy: Twoją politykę DMARC.
Zoho Mail: konfiguracja SPF, DKIM i DMARC krok po kroku
Zoho Mail wymaga trzech rekordów DNS, aby przejść uwierzytelnianie: jednego rekordu SPF z include:zohomail.com, rekordu TXT DKIM włączonego dla każdej domeny w konsoli administracyjnej z selektorem Zoho oraz polityki DMARC, którą w ciągu kilku tygodni przenosisz z none do reject. Ten przewodnik podaje dokładne rekordy, zasadę jednego rekordu SPF, poprawny selektor DKIM oraz etapowe wdrożenie, które weryfikujesz na żywo.
SPF a DKIM: czym się różnią i czy potrzebujesz obu?
SPF weryfikuje serwer wysyłający, DKIM podpisuje samą wiadomość. Ten przewodnik rozstrzyga najważniejsze pytanie za pomocą porównania punkt po punkcie: potrzebujesz obu, ponieważ przekazywanie wiadomości psuje SPF, a DKIM je przetrwa, a Gmail, Yahoo i Microsoft wymagają teraz obu mechanizmów oraz DMARC. Zawiera przykłady rekordów i sposób na wykrycie, którego z nich brakuje w Twojej domenie.
Czy subdomeny potrzebują własnego rekordu SPF?
SPF nie przenosi się z subdomeny na domenę główną, więc subdomena bez rekordu zwraca wynik "none" i łatwo ją podszyć. Ten przewodnik pokazuje, dlaczego dziedziczenie SPF to mit, jak tworzyć rekordy dla poszczególnych subdomen, jak zabezpieczyć subdomeny, które nigdy nie wysyłają poczty, oraz jak tag sp= w DMARC wypełnia lukę pozostawioną przez SPF.
SPF PermError a TempError: co oznacza każdy z nich i jak go naprawić
SPF PermError i TempError to dwa różne wyniki, a nie odmiany zwykłego "fail". PermError oznacza trwały błąd konfiguracji, który musisz naprawić od razu - zwykle jest to ponad 10 zapytań DNS albo dwa rekordy v=spf1. TempError to przejściowy problem DNS, który sam ustępuje, ale sygnalizuje kłopoty, jeśli się powtarza. Ten przewodnik daje porównawczą tabelę decyzyjną, listę przyczyn dla każdego przypadku i pokazuje, jak odczytać dokładną przyczynę.
DKIM CNAME czy rekord TXT: który wybrać (i dlaczego to ma znaczenie)
Klucz publiczny DKIM zawsze znajduje się w rekordzie TXT. CNAME przy selektorze to jedynie wskaźnik, który deleguje ten rekord TXT do Twojego dostawcy poczty, aby mógł rotować klucze za Ciebie. Ten przewodnik wyjaśnia rzeczywistą różnicę, zestawia ręczną kontrolę nad TXT z automatyczną rotacją przez CNAME, omawia pułapki rozwijania zagnieżdżonych rekordów CNAME i pokazuje, jak sprawdzić, co faktycznie rozwiązuje się pod selector._domainkey.
Niezgodność hasha treści DKIM (bh=): dlaczego zawodzi i jak to naprawić
Niezgodność hasha treści DKIM oznacza, że treść wiadomości zmieniła się po podpisaniu, więc wartość bh= przestała pasować do tej, którą wylicza odbiorca. Ten przewodnik wyjaśnia różnicę między hashem treści a podpisem nagłówków, omawia typowych winowajców (dodawanie stopek, przepisywanie linków, ponowne kodowanie MIME, kanonikalizacja) oraz podaje metodę porównania surowej treści i złotą zasadę: podpisuj na ostatnim etapie zmieniającym treść.
DMARC alignment relaxed kontra strict (i który wybrać)
Alignment w DMARC decyduje o tym, czy domena w widocznym adresie From zgadza się z domeną uwierzytelnioną przez SPF lub DKIM. Tryb relaxed pozwala na zgodność subdomen tej samej domeny organizacyjnej i jest ustawieniem domyślnym. Tryb strict wymaga dokładnego dopasowania. Ten przewodnik pokazuje różnicę na przykładzie mail.brand.com, podaje dokładną składnię aspf i adkim oraz prowadzi przez przejście na strict dopiero po tym, jak raporty będą czyste.
Jak bezpiecznie przejść z DMARC p=none na p=reject: etapowa mapa wdrożenia egzekwowania
Przejście DMARC z p=none na p=reject chroni Twoją domenę przed podszywaniem, ale pośpiech blokuje prawdziwą pocztę. Ta mapa daje Ci warunki wyjścia dla każdego etapu, realistyczny wielotygodniowy harmonogram, rampę pct, obsługę sp dla subdomen oraz listę kontrolną, którą sprawdzasz na własnych zbiorczych raportach DMARC, zanim zrobisz choćby jeden krok naprzód.
Znacznik pct w DMARC: jak stopniowo wdrażać egzekwowanie bez blokowania prawdziwej poczty
Znacznik pct w DMARC decyduje o tym, do jakiej części Twojej niepoprawnej poczty zostanie zastosowana polityka, dzięki czemu możesz egzekwować ją stopniowo. Haczyk, który pomija większość poradników: niewybrana poczta nie jest pomijana, lecz spada o jeden poziom polityki niżej, więc p=reject z pct=50 odrzuca połowę, a resztę poddaje kwarantannie. Ten przewodnik podaje harmonogram wdrażania 10/25/50/100 powiązany z analizą raportów oraz zwraca uwagę, że DMARCbis wycofuje pct.
Jak skonfigurować MTA-STS: przewodnik krok po kroku z plikiem polityki i rekordami DNS
Gotowy do skopiowania przewodnik po wszystkich trzech elementach MTA-STS: rekordzie TXT _mta-sts, pliku polityki mta-sts.txt serwowanym przez HTTPS pod standardową ścieżką well-known oraz dyrektywach mx, mode i max_age. Zawiera kroki weryfikacji za pomocą dig i curl, które potwierdzają, że każdy element działa, zanim przełączysz się z trybu testowego na tryb wymuszania, a także wyjaśnia, jak MTA-STS łączy się z TLS-RPT, DANE i DMARC.