SPF, DKIM i DMARC wyjaśnione: jak je skonfigurować i zwalczać fałszywe e-maile
Opublikowany: 2021-11-13Starannie pracowałeś nad strategią e-mail marketingu, ale nadal napotykasz problem polegający na tym, że Twoje e-maile cały czas odbijają się lub trafiają do folderu ze spamem ?
To jest coś, z czym żaden przedstawiciel handlowy ani marketerzy nie chcą się zmierzyć. W końcu odrzucenia i wysoki wskaźnik skarg na spam mogą być szkodliwe dla reputacji nadawcy, dostarczalności wiadomości e-mail, a nawet mogą prowadzić do zablokowania nadawcy przez dostawców usług internetowych.
Ale nie martw się. Byłem tam, naprawiłem to.
Jednym z powodów, dla których Twoje e-maile mogą być oznaczane jako spam, jest nieprawidłowa konfiguracja rekordów DMARC, DKIM i SPF.
Aby rozwiązać problem, musisz znać kilka szczegółów technicznych. I po to tu jesteśmy!
Zarys:
- Co oznaczają SPF, DKIM i DMARC?
- Jak możesz sprawdzić, czy twoja konfiguracja techniczna jest w porządku?
- Jak skonfigurować SPF, DKIM i DMARC?
Co oznaczają SPF, DKIM i DMARC?
Zacznijmy od wyjaśnienia niektórych terminów.
Czytając definicje SPF, DKIM i DMARC, zauważysz, że często wspomina się o DNS. DNS (Domain Name System) to repozytorium nazw domen (example.com) i odpowiadających im adresów IP (111.222.333.444) . Każda domena może mieć więcej niż jeden adres IP, na przykład subdomena lub serwer poczty domeny będą miały różne adresy IP.
Aby skonfigurować SPF, DKIM i DMARC, potrzebujesz dostępu do DNS. Zwykle mogą Ci w tym pomóc administratorzy systemu Twojej firmy lub, w niektórych przypadkach, programiści.
SPF pomaga zapobiegać podszywaniu się poprzez weryfikację adresu IP nadawcy
SPF (Sender Policy Framework) to rekord DNS zawierający informacje o serwerach, które mogą wysyłać wiadomości e-mail z określonej domeny (na przykład snov.io ).
Dzięki niemu możesz sprawdzić, czy wiadomości przychodzące z Twojej domeny są wysyłane przez serwery pocztowe i autoryzowane przez Ciebie adresy IP. Mogą to być serwery poczty e-mail lub serwery innej firmy, których używasz do wysyłania wiadomości e-mail.
Jeśli SPF nie jest ustawiony, oszuści mogą to wykorzystać i wysyłać fałszywe wiadomości, które wyglądają, jakby pochodziły od Ciebie.
Należy pamiętać, że dla jednej domeny może istnieć tylko jeden rekord SPF . Jednak w jednym rekordzie SPF może być wymienionych kilka serwerów i adresów IP (na przykład, jeśli wiadomości e-mail są wysyłane z kilku platform pocztowych).
DKIM pokazuje, że e-mail należy do określonej organizacji
DKIM (DomainKeys Identified Mail) to kolejny standard techniczny, który pomaga identyfikować fałszywe adresy e-mail, zwalczać spam oraz zapobiegać podszywaniu się i kradzieży tożsamości.
DKIM dodaje podpis cyfrowy do nagłówka wiadomości e-mail, a serwery poczty e-mail sprawdzają, czy treść wiadomości e-mail nie uległa zmianie. Podobnie jak SPF, rekord DKIM istnieje w DNS.
DMARC wyrównuje mechanizmy SPF i DKIM
DMARC (Domain-based Message Authentication, Reporting & Conformance) określa, w jaki sposób serwer pocztowy odbiorcy powinien przetwarzać przychodzące wiadomości e-mail, jeśli nie przejdą one weryfikacji uwierzytelnienia (SPF, DKIM lub obu).
Zasadniczo, jeśli istnieje podpis DKIM, a serwer wysyłający zostanie znaleziony w rekordach SPF, wiadomość e-mail zostanie wysłana do skrzynki odbiorczej odbiorcy.
Jeśli wiadomość nie zostanie uwierzytelniona, jest przetwarzana zgodnie z wybraną zasadą DMARC: brak, odrzucenie lub poddanie kwarantannie.
- Zgodnie z zasadą „brak” serwer odbierający nie podejmuje żadnych działań, jeśli uwierzytelnianie wiadomości e-mail nie powiedzie się. Nie wpływa to na dostarczalność. Ale też nie chroni Cię przed oszustami, więc nie zalecamy jej ustawiania. Tylko wprowadzając bardziej restrykcyjne zasady możesz zablokować je już na samym początku i dać światu do zrozumienia, że dbasz o swoich klientów i markę.
- Tutaj wiadomości, które pochodzą z Twojej domeny, ale nie przejdą kontroli DMARC, trafiają do „kwarantanny”. W takim przypadku zaleca się, aby dostawca wysłał Twoją wiadomość e-mail do folderu ze spamem.
- Zgodnie z zasadą „odrzuć” , serwer odbierający odrzuca wszystkie wiadomości, które nie przechodzą uwierzytelnienia poczty e-mail. Oznacza to, że takie e-maile nie dotrą do adresata i spowodują odrzucenie.
Opcja „odrzuć” jest najskuteczniejsza, ale lepiej wybrać ją tylko wtedy, gdy masz pewność, że wszystko jest poprawnie skonfigurowane.
Teraz, gdy wyjaśniliśmy wszystkie warunki, zobaczmy, jak możesz sprawdzić, czy masz ustawiony istniejący rekord SPF, rekord DKIM i zasady DMARC.
Jak możesz sprawdzić, czy twoja konfiguracja techniczna jest w porządku?
Oto kilka prostych sposobów sprawdzenia konfiguracji technicznej, aby sprawdzić, czy wszystko działa poprawnie.
Kontrola DKIM, SPF i DMARC przez Gmaila
opcja 1
Wyślij testową wiadomość e-mail na swój adres, a następnie otwórz wiadomość. Kliknij „Pokaż szczegóły”. Jeśli zobaczysz nagłówek „mailed-by” z nazwą domeny i nagłówek „podpisane przez” z domeną wysyłającą, Twoje DKIM i SPF są w porządku.
Opcja 2
Jeśli przejdziesz do „Pokaż oryginał” , zobaczysz więcej informacji o SPF, DKIM i DMARC.
Gotowe!
Sprawdzanie DKIM, SPF i DMARC za pomocą wiersza poleceń
Przyjrzyjmy się teraz, jak sprawdzić rekordy SPF, DKIM i DMARC w systemie Windows za pomocą wiersza poleceń. W przypadku użytkowników komputerów Mac proces jest nieco inny; weryfikacja odbywa się za pośrednictwem terminala Mac OS. Szczegóły możesz przeczytać tutaj .
Sprawdzenie rekordu SPF
Możesz sprawdzić swój rekord SPF za pomocą nslookup — domyślnego narzędzia do zapytań, które zapewnia użytkownikowi interfejs wiersza poleceń umożliwiający dostęp do DNS.
- Otwórz wiersz poleceń (Start > Uruchom > cmd).
- Wpisz „nslookup -type=txt”, a następnie spację i nazwę domeny lub hosta, na przykład „nslookup -type=txt google.com”.
- Jeśli rekord SPF istnieje, wynik będzie wyglądał mniej więcej tak: „v=spf1 include:_spf.google.com ~all” .
- Jeśli nie ma wyników lub nie ma „v=spf1”, oznacza to, że występuje problem z pobraniem rekordu domeny lub nie istnieje.
Jak poprawnie czytać SPF
- Część „v=spf1” pokazuje, że rekord jest typu SPF (wersja 1).
- Część „include” zawiera listę serwerów, które mogą wysyłać wiadomości e-mail dla domeny.
- Część „~all” wskazuje, że jeśli jakakolwiek część wysłanej wiadomości nie pasuje do rekordu, serwer odbiorcy prawdopodobnie ją odrzuci.
Sprawdzanie rekordów DKIM
Aby sprawdzić DKIM za pomocą nslookup , wykonaj następujące kroki:
- Otwórz wiersz poleceń (Start > Uruchom > cmd).
- W oknie poleceń wpisz „nslookup” > Enter.
- Wpisz „set q=txt” > Enter.
- Wpisz „selector._domainkey.domain.com” > Enter. Zastąp selektor słów i domenę selektorem DKIM i domeną, którą chcesz wyszukać.
Selektor DKIM można znaleźć w nagłówku wiadomości e-mail DKIM-Signature, jeśli przejdziesz do dowolnego wysłanego e-maila, klikniesz „Pokaż oryginał” (tak jak to zrobiliśmy tutaj) i przewiń w dół. Jest określony jako tag „s=” .
Kontrola zasad DMARC
Możesz również wyszukać zasady DMARC z wiersza poleceń:
- Otwórz wiersz poleceń (Start > Uruchom > cmd).
- Wpisz „nslookup -type=txt _dmarc.domain.com” , na przykład „nslookup -type=txt _dmarc.google.com”, > Enter.
Kontrola DKIM, SPF i DMARC za pomocą MxToolbox
Ta jest prawdopodobnie najłatwiejszą opcją. Wszystko, co musisz zrobić, to przejść do strony MxToolbox i uruchomić trzy kontrole.
Pamiętaj, że do wyszukiwania rekordów DKIM będziesz potrzebować selektora, tak jak w przypadku wiersza poleceń, który opisaliśmy wcześniej.
Jak skonfigurować SPF, DKIM i DMARC?
Konfigurując rekordy SPF, DKIM i DMARC, musisz zachować właściwą kolejność, którą można znaleźć w Pomocy administratora Google Workspace .
Oto instrukcje, których możesz przestrzegać:
- Skonfiguruj SPF dla domeny.
- Skonfiguruj DKIM dla domeny.
- Skonfiguruj skrzynkę pocztową na raporty.
- Uzyskaj informacje logowania do usługodawcy hostingowego domeny.
- Sprawdź istniejący rekord DMARC (tutaj możesz użyć MxToolbox).
- Zmień zasady DMARC.
Pamiętaj, że zarówno początkowe ustawienia DKIM, SPF, MX, DMARC jak i późniejsze zmiany muszą być we właściwej kolejności.
Poniżej znajdziesz ogólne ustawienia dla wszystkich dostawców domen ( na przykładzie Google ). Ale pamiętaj, ponieważ masz własne domeny, wszystkie można skonfigurować inaczej.
Ogólna konfiguracja SPF
1. Musisz przejść do ustawień DNS (np. Namecheap, Cloudflare, Bluehost itp.) i utworzyć nowy rekord.
2. Wybierz rekord TXT i wpisz „@” w polu „Nazwa”.
3. Wklej „v=spf1 include: _spf.google.com ~all” w „Value” i zapisz.
Ogólna konfiguracja DKIM
Te czynności są przeznaczone dla administratorów zarządzających kontami Google w Twojej firmie:
1. Zaloguj się do konsoli administracyjnej Google .
2. Kliknij menu w lewym górnym rogu i wybierz Aplikacje > G Suite > Ustawienia Gmaila > Uwierzytelnij pocztę e-mail .
3. Wybierz swoją domenę z listy rozwijanej, kliknij „Generuj nowy rekord”, a następnie skopiuj nazwę hosta i wartość rekordu TXT.
4. Zaloguj się do swojego DNS (np. Namecheap, Cloudflare, Bluehost itp.), przejdź do listy domen, wybierz swoją domenę i wybierz „Dodaj nowy rekord” w ustawieniach zaawansowanych.
5. Wybierz rekord TXT i wpisz nazwę hosta, którą właśnie skopiowałeś z Google w polu „Nazwa” i wartość rekordu TXT w polu „Wartość”.
6. Zapisz zmiany.
7. Wróć do Google i po prostu kliknij „Rozpocznij uwierzytelnianie”.
8. Poczekaj na aktualizację DNS
Oto instrukcja wideo, jeśli chcesz uzyskać bardziej szczegółowe wyjaśnienie:
Ogólne ustawienie DMARC
Podobnie jak SPF i DKIM, DMARC to prosty jednowierszowy wpis w rekordach DNS (np. Namecheap, Cloudflare, Bluehost itp.).
Przed ustawieniem upewnij się, że masz skonfigurowane rekordy SPF i DKIM dla wymaganej domeny.
Następnie wykonaj następujące kroki:
1. Przejdź do ustawień DNS i utwórz nowy rekord.
2. Wybierz rekord „TXT”.
3. Dodaj nazwę hosta (na przykład _dmarc).
4. Dodaj wartość. Poniżej znajdziesz przykładowy wpis DMARC, którego możesz użyć do stworzenia własnego:
v=DMARC1; p=kwarantanna; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=s |
Gdzie:
- v — Obowiązkowa wartość tagu (nie zmieniaj jej!).
- p — Zasady przetwarzania poczty. Określono jedną z możliwych opcji — brak, poddaj kwarantannie lub odrzuć .
- rua – adres e-mail do otrzymywania raportów statystycznych. Adres musi należeć do tej samej domeny, dla której skonfigurowano rekord DMARC.
- ruf — adres e-mail do otrzymywania raportów o nieudanych testach uwierzytelnienia. Ponieważ każdy błąd podczas weryfikacji adresu nadawcy generuje osobny raport, lepiej mieć do tego osobną skrzynkę pocztową.
- fo — Określa, w jakich przypadkach raporty będą wysyłane do właściciela domeny. Możliwe wartości to:
- 0 — raport jest wysyłany w przypadku niepowodzenia kontroli SPF i DKIM. Ustaw domyślnie.
- 1 — raport jest wysyłany, jeśli jedna z kontroli się nie powiedzie — SPF lub DKIM.
- d — raport jest wysyłany z każdej przeprowadzonej weryfikacji DKIM.
- s — raport jest wysyłany z każdej wykonanej kontroli SPF.
Zawijanie
Teraz, gdy Twój rekord SPF, rekord DKIM i zasady DMARC są ustawione poprawnie, wystarczy, że zaczniesz wysyłać zimne e-maile !
I pamiętaj, narzędzie Snov.io Email Drip Campaigns jest zawsze gotowe, aby pomóc Ci w zasięgu e-mail.
Miłego wysyłania!