Tento článek detailně popisuje nastavení ověření e-mailů prostřednictvím SPF záznamu. Další informace k ověření e-mailů prostřednictvím DNS najdete v článku E-maily – SPF, DKIM a DMARC.
V tomto článku se dočtete:
- Co je a k čemu slouží SPF záznam
- Jak nastavit základní SPF záznam
- Jak nastavit podrobný SPF záznam
- Běžné problémy
- Často kladené dotazy
SPF záznam
SPF záznam je speciální DNS záznam, který chrání e-maily před zneužitím doménového jména spamovou poštou.
Odesílatel nevyžádané pošty může adresu odesílatele nastavit prakticky libovolně. Domény s SPF záznamem ale přesně definují, které servery smějí poštu s jejich adresou posílat. E-maily z jiných serverů potom systém příjemce vyhodnotí jako spam.
Mnoho poskytovatelů e-mailových služeb zprávy z domén bez SPF záznamu automaticky řadí mezi spam, nebo zcela odmítá.
Základní nastavení SPF záznamu
Základní SPF záznam funguje pouze pro e-maily posílané z našeho systému. Máte-li nastavenou ochranu domény u WEDOS Protection ⧉, nebo využíváte-li i jiného poskytovatele ochranných a e-mailových služeb, postupujte podle kapitoly Podrobné nastavení SPF záznamu.
SPF záznam je DNS záznam typu TXT. Používá-li Vaše doména DNS servery WEDOS, nastavte jej podle návodu DNS – Záznamy domény. Pamatujte, že změny v DNS se projeví do 1 hodiny.
Základní podoba SPF záznamu pro mailservery VEDOS je:
Název TTL Typ Data
(prázdný) 300 TXT v=spf1 mx a include:_spf.we.wedos.net -all
Tento záznam funguje za těchto podmínek:
- Maily odesíláte z webu, například prostřednictvím formuláře, pouze přes naše mailové služby.
- Maily z poštovního klienta posíláte pouze přes naše mailové služby, případně máte na schránce nastavené přesměrování (více informací v článku E-maily – Přesměrování schránky).
- Doména nepoužívá AAAA záznamy.
- Nepoužíváte WEDOS Global Protection ⧉ ani jiného poskytovatele ochrany webu přes proxy.
Pokud některý z bodů nesplňujete, pokračujte návodem v kapitole Podrobné nastavení SPF záznamu.
Podrobné nastavení SPF záznamu
Pokud potřebujete zadat více serverů a (nebo) pravidel, zkombinujte jejich SPF záznamy do jednoho. K tomu stačí jednotlivá pravidla vypsat mezi úvodní text v=spf1 a koncové -all. Pravidla oddělujte mezerami.
Platný TXT záznam pro SPF může být v DNS nejvýš jeden. Máte-li jich více, nefunguje žádný.
Pravidla pro individuální IP adresy
Potřebujete-li do záznamu zahrnout konkrétní IP adresu, vložte ji s předponou ip4: nebo ip6:. Mezi předponu a samotnou adresu nevkládejte mezeru.
Máte-li web server za WEDOS Protection ⧉ proxy, přidejte k základnímu záznamu IPv4 a IPv6 (pokud existuje) adresy Webhostingu, které zjistíte v tabulce Adresy služeb v jeho detailu (podrobný návod najdete v článku DNS – Záznamy typu A a AAAA).
v=spf1 mx a ip4:(závorku nahraďte IPv4 adresou webhostingu) include:_spf.we.wedos.net -all
Máte-li u domény nastavený AAAA záznam, ale jinak používáte pouze Webhosting a e-maily VEDOS, přidejte IPv6 adresu k základnímu záznamu.
v=spf1 mx a ip6:(závorku nahraďte IPv6 adresou webhostingu) include:_spf.we.wedos.net -all
Pravidla pro jiné poskytovatele
Posíláte-li e-maily přes jiné poskytovatele, než je VEDOS, zjistěte podobu jeho SPF záznamu z dokumentace, nebo jiných zdrojů tohoto poskytovatele.
Běžné problémy
Mezi běžné problémy s SPF záznamem platí:
- SPF záznamy pro více poskytovatelů nefungují
- Po přidání domény na WEDOS Protection se přestaly doručovat e-maily
- WEDOS vrací e-maily s hláškou o SPF
Nefunkční SPF záznamy více poskytovatelů
Problém: Zadal jsme SPF záznamy všech svých poskytovatelů e-mailů a ony nefungují.
Příčina: U dané (sub)domény musíte mít pouze jeden SPF záznam.
Řešení: Máte-li u (sub)domény víc než jeden SPF záznam, slučte je do jednoho podle návodu v kapitole Podrobné nastavení SPF záznamu.
Nefunkční SPF záznam u domény na WEDOS Protection
Problém: Po přidání domény na WEDOS Protection SPF záznam přestal fungovat.
Příčina: IP adresa odesílajícího serveru se liší od IP adresy uvedené v záznamech typu A/AAAA domény.
Řešení: Přidejte do záznamu podle návodu v kapitole Podrobné nastavení SPF záznamu IP adresu Webhostingu. Zjistíte ji v tabulce Adresy služeb v detailu Webhostingu.
Vrácené e-maily z WEDOS kvůli SPF
Problém: Pošta odeslaná na e-mail u WEDOS se vrací s chybovou hláškou Recipient address rejected: Please see
http://www.openspf.net/Why?s=helo;id=domena-odesilatele.tld;ip=XX.XX.XX.XX;r=wes1-mx.
Příčina: Jde o problém s SPF na straně odesílatele: buď jej má nastavené nesprávně, nebo vůbec.
Řešení: Dokud správce domény (DNS) problém s SPF neodstraní, mailservery VEDOS budou zprávy od něj odmítat.
Často kladené dotazy
Kde mám provést nastavení SPF?
Jde o DNS záznam, SPF tedy nastavte v administraci DNS záznamů poskytovatele DNS pro Vaši doménu.
Proč nenastavujete SPF záznam automaticky?
Přestože většinou postačí základní SPF záznam, nemáme dostatek informací o Vašich mailových službách k tomu, abychom jej nastavili správně za každých okolností. Protože nesprávné nastavení SPF záznamu může poštu zcela zablokovat, necháváme jeho nastavení na Vás, protože jen Vy máte kompletní informace o provozu e-mailů na Vaší doméně.
Jak poznám, že za nedoručování pošty může chybějící SPF záznam?
Vaše maily končí ve spamu příjemce, nebo se Vám vrací e-mailová hláška o nedoručitelnosti zmiňující zamítnutí na základě nesprávného nebo chybějícího SPF záznamu. Posíláte-li e-maily z webu přes funkci mail(), může nedoručitelnost spočívat buď v SPF záznamu, případně v chybějícím či nesprávném parametru return path.
Pokud posílám e-maily ze subdomény, stačí mít SPF záznam na hlavní doméně?
Ne, založte SPF záznamy i pro každou subdoménu, ze které chcete posílat e-maily.
Co znamená část záznamu -all?
-all znamená, že všechny maily, které neodpovídají pravidlům, má server zahodit. Jde o nejpřísnější variantu ověření.
Google dokumentace ⧉ uvádí ~all, vy máte -all. Je to jedno?
Čím přísnější je varianta ověření (a -all je přísnější než ~all), tím menší je pravděpodobnost, že se za Vás bude úspěšně vydávat někdo cizí. Nevýhodou je, že pokud u varianty -all opravdu z nějakého důvodu pošlete e-mail z neověřeného zdroje, příjemce jej bez dalších otázek zahodí. U varianty ~all je pořád šance, že zpráva projde.