Zestaw – Przewodnik po konfiguracji DKIM, DMARC i SPF

Ostatnia aktualizacja:
6 czas czytania: 2 minuty
Zestaw – Przewodnik po konfiguracji DKIM, DMARC i SPF

Jeśli korzystasz z serwisu Kit (dawniej ConvertKit) do wysyłania wiadomości e-mail do swoich subskrybentów i nie skonfigurowałeś jeszcze uwierzytelniania domeny, ten przewodnik przeprowadzi Cię przez cały proces.

Wprowadzenie odpowiedniego uwierzytelniania poczty elektronicznej (SPF, DKIM i DMARC) ma kluczowe znaczenie dla użytkowników platformy Kit. Te trzy rekordy współdziałają ze sobą, chroniąc Twoją domenę przed fałszowaniem, poprawiając dostarczalność wiadomości e-mail oraz gwarantując, że Twoje wiadomości bezpiecznie trafią do skrzynek odbiorczych subskrybentów, spełniając jednocześnie surowe wymagania głównych dostawców usług pocztowych, takich jak Gmail i Yahoo.

Kluczowe wnioski

  • Skonfigurowanie DKIM stanowi najważniejszy element tej konfiguracji.
  • Kit korzysta z własnej domeny Return-Path podczas wysyłania wiadomości w Twoim imieniu, co oznacza, że SPF wykaże niezgodność. Jest to całkowicie normalne w przypadku Kit; to zgodność DKIM decyduje o zgodności z DMARC.
  • Zacznij od prostej polityki monitorowania DMARC (p=none), aby otrzymywać zbiorcze raporty i analizować ruch w sieci, zanim przejdziesz do polityki egzekwowania DMARC.
  • Skorzystaj z narzędzia do sprawdzania zgodności z DMARC innej firmy, takiego jak PowerDMARC, aby natychmiast upewnić się, że Twoje ustawienia są aktywne i poprawne.

Dlaczego warto uwierzytelnić swoją domenę w serwisie Kit?

Kit (wcześniej ConvertKit) to kompleksowa platforma do marketingu e-mailowego i budowania grona odbiorców, stworzona specjalnie z myślą o twórcach, takich jak autorzy, podcasterzy, trenerzy i wydawcy newsletterów. Umożliwia ona użytkownikom projektowanie ukierunkowanych kampanii, tworzenie niestandardowych stron docelowych, automatyzację lejków marketingowych oraz monetyzację treści bezpośrednio za pośrednictwem platformy.

Po prawidłowym skonfigurowaniu niezbędnych protokołów dla Kit od razu zauważysz korzyści:

  • Skuteczniejsza ochrona: Chroni Twoją markę przed atakami phishingowymi i spoofingowymi, a także przed nieuprawnionym wykorzystaniem domeny.
  • Lepsza dostarczalność: gwarantuje, że dostawcy skrzynek pocztowych będą ufać Twoim wiadomościom e-mail, dzięki czemu nie trafią one do folderu ze spamem.
  • Lepsza reputacja: poprawia wynik nadawcy i buduje zaufanie w globalnych sieciach ekosystemów poczty elektronicznej.
  • Praktyczna przejrzystość: Zapewnia przydatne i przejrzyste informacje na temat tego, kto wysyła wiadomości e-mail w imieniu Twojej domeny.

Kroki konfiguracji rekordów SPF i DKIM w pakiecie

Na początek będziesz potrzebować dostępu do dwóch rzeczy: pulpitu nawigacyjnego Kit oraz konsoli zarządzania DNS swojej domeny.

Krok 1: Skonfiguruj uwierzytelnianie domenowe w Kit

1. Zaloguj się na swoje konto w serwisie Kit.

Konto zestawu. 1

2. Kliknij ikonę swojego profilu w prawym górnym rogu i przejdź do sek cji „Ustawienia”.

Ustawienia 2

3. W menu po lewej stronie kliknij opcję „E-mail”.

4. Przewiń w dół, aby znaleźć przycisk „Skonfiguruj zweryfikowaną domenę nadawczą”, a następnie kliknij go.

4. Skonfiguruj zweryfikowaną domenę nadawczą

5. Wpisz nazwę domeny, z której chcesz wysyłać wiadomości e-mail. Uwaga: Powinna ona odpowiadać adresowi „Od”, który widzą Twoi subskrybenci.

6. Kit wyświetli teraz ekran „Zweryfikuj swoją domenę nadawczą”, na którym widoczne są cztery rekordy DNS, które należy dodać: jeden rekord CNAME dla SPF, dwa rekordy CNAME dla DKIM oraz jeden rekord TXT dla DMARC.

Krok 2: Dodaj rekordy CNAME do swojej strefy DNS

Wejdź na stronę swojego dostawcy usług DNS (np. Cloudflare, GoDaddy, Namecheap, Route 53), gdzie zarządzasz swoją domeną, i przejdź do ustawień DNS. Musisz utworzyć trzy nowe wpisy:

  • Pierwszy wpis (SPF CNAME):
  • Typ: CNAME
  • Host/Nazwa: [Wklej nazwę skopiowaną z zestawu]
  • Cel/Wartość: [Wklej wartość skopiowaną z zestawu]

  • Drugi wpis (DKIM 1 CNAME):
  • Typ: CNAME
  • Host/Nazwa: [Wklej nazwę skopiowaną z zestawu]
  • Cel/Wartość: [Wklej wartość skopiowaną z zestawu]

  • Trzeci wpis (DKIM 2 CNAME):
  • Typ: CNAME
  • Host/Nazwa: [Wklej nazwę skopiowaną z zestawu]
  • Cel/Wartość: [Wklej wartość skopiowaną z zestawu]

9 DKIM 2 CNAME

Skrót Cloudflare: Jeśli Twoja domena jest zarządzana przez Cloudflare, Kit oferuje opcję automatycznej konfiguracji. Wystarczy kliknąć „Skonfiguruj to za mnie” na ekranie Kit, a aplikacja automatycznie wprowadzi te rekordy do Twojego systemu DNS, oszczędzając Ci ręcznego wprowadzania danych.

Kroki niezbędne do włączenia rekordu DMARC w pakiecie

Zanim przejdziemy do omówienia nowych tagów, warto zaznaczyć, że Kit udostępnia wprawdzie podstawowy rekord DMARC, ale nie jest do niego przypisany żaden adres e-mail do zgłaszania problemów. Oznacza to, że działasz na ślepo – nie będziesz wiedzieć, czy Twoja domena jest wykorzystywana w nieuprawniony sposób, ani czy któreś z Twoich legalnych wiadomości e-mail nie przechodzą procesu uwierzytelniania.

Zamiast korzystać z tej podstawowej konfiguracji, wygenerujemy prawidłowy, kompleksowy rekord za pomocą bezpłatnego generatora rekordów DMARC firmy PowerDMARC.

1. Przejdź do bezpłatnego narzędzia PowerDMARC do generowania rekordów DMARC:

10. Narzędzie do generowania rekordów DMARC

Na powyższym zrzucie ekranu widać tagi, z którymi prawdopodobnie jeszcze się nie spotkałeś. Oto, co one oznaczają:

np (polityka dotycząca nieistniejących subdomen)

Istniejący tag `sp` określa zasady dla wszystkich subdomen, natomiast tag `np` dotyczy konkretnie subdomen, które nie istnieją (tych, które zwracają odpowiedź DNS typu NXDOMAIN).

t (tryb testowy)

Tag „t” ma na celu zastąpienie starszego tagu „pct” (procentowego), zapewniając bardziej precyzyjny sposób testowania rygorystycznych zasad. Co najważniejsze, ustawienie wartości „t=y” nie wyłącza zasad DMARC.

psd (domena z publicznym sufiksem)

Ten tag służy do identyfikacji domeny organizacyjnej podczas oceny zgodności z protokołem DMARC i ma znaczenie głównie w przypadku domen z publicznym sufiksem oraz niestandardowych hierarchii domen.

2. W przypadku tej polityki wybierz opcję p=none (tryb wyłącznie monitorowania). Dzięki temu na początku nic nie zostanie zablokowane, co da Ci czas na bezpieczne przejrzenie ruchu pocztowego przed przejściem do etapu egzekwowania.

Polityka

Jeśli nie do końca rozumiesz, czym jest opcja „p=none” i na czym polegają pozostałe zasady, oto zwięzłe wyjaśnienie:

  • p=none (Monitor): Dostarcza wszystkie wiadomości e-mail w normalny sposób, ale generuje raporty pokazujące, kto wysyła wiadomości e-mail w imieniu Twojej domeny.
  • p = kwarantanna (miękkie egzekwowanie): Przekierowuje nieautoryzowane wiadomości e-mail bezpośrednio do folderu spam/śmieci odbiorcy.
  • p=odrzucenie (ścisłe egzekwowanie): Całkowicie blokuje nieautoryzowane wiadomości e-mail, uniemożliwiając ich dostarczenie.

⚠️ Ważne: Przejście od razu do trybu egzekucyjnego grozi zablokowaniem Twoich własnych, legalnych wiadomości służbowych (takich jak faktury czy materiały marketingowe).

Ustawienie wartości p=none na początku jest niezbędne do prześledzenia przepływu wiadomości e-mail i bezpiecznego rozwiązania ewentualnych problemów z uwierzytelnianiem. Po upewnieniu się, że wszyscy wiarygodni nadawcy są poprawnie skonfigurowani, można stopniowo przechodzić do kwarantanny i odrzucania wiadomości, aby w pełni zabezpieczyć swoją domenę przed spoofingiem.

3. Wpisz swój dedykowany adres e-mail w polu „Reporting”, aby otrzymywać zbiorcze raporty DMARC (rua).

12 Pole sprawozdawcze

4. Oto jak powinien wyglądać wynik:

5. Należy skopiować i wkleić rekord DNS typu TXT do konsoli zarządzania DNS:

14 Rekord TXT w systemie DNS

6. Zaloguj się do konsoli zarządzania DNS i dodaj nowy wpis:

  • Typ: TXT
  • Host/Nazwa: _dmarc (lub _dmarc.twojadomena.com)
  • Wartość: [Wklej wygenerowaną wartość DMARC TXT]

7. Zapisz rekord.

Weryfikacja konfiguracji

Krok 1: Sprawdź w zestawie

Wróć do swojego konta w serwisie Kit, znajdź właśnie skonfigurowaną domenę i kliknij przycisk „Sprawdź”.

Jeśli za pierwszym razem się nie uda, nie panikuj! Propagacja DNS może potrwać od kilku minut do 24 godzin. Odśwież stronę lub sprawdź ponownie nieco później, a status powinien zmienić się na „Zweryfikowany”.

Krok 2: Przeprowadź końcową kontrolę za pomocą PowerDMARC

Aby upewnić się, że konfiguracja jest całkowicie poprawna i aktywna, wykonaj poniższe czynności weryfikacyjne:

Zarejestruj się lub zaloguj do serwisu PowerDMARC, a następnie w menu po lewej stronie przejdź do sekcji Pulpit nawigacyjny > Narzędzia analityczne > PowerToolbox > Narzędzia wyszukiwania. W sekcji Narzędzia wyszukiwania wybierz opcję Sprawdzanie rekordów DMARC (lub Analizator domen).

Czego można się spodziewać w wynikach oceny kondycji domeny:

  • DKIM: Zgodność / Zgodność z wymaganiami
  • DMARC: Wykryto politykę
  • SPF: Wykryto niezgodność. Jak wspomniano wcześniej, jest to całkowicie normalne w przypadku Kit i nie wymaga naprawy. Ponieważ protokół DMARC wymaga, aby albo SPF, albo DKIM były zgodne, aby test zakończył się powodzeniem, Twój zgodny rekord DKIM zapewnia zgodność Twojej domeny z protokołem DMARC.

Uwaga: Jeśli ogólny wynik oceny stanu domeny wydaje się niższy od oczekiwanego, prawdopodobnie wynika to z faktu, że nie wdrożyłeś jeszcze innych dodatkowych protokołów bezpieczeństwa, takich jak BIMI, MTA-STS czy DNSSEC.

Słowa końcowe

Jeśli chcesz jeszcze bardziej zwiększyć bezpieczeństwo swojej poczty elektronicznej – płynnie przejść od poziomu p=none do egzekwowania standardu DMARC, skonfigurować BIMI tak, aby Twoje logo wyświetlało się w skrzynkach odbiorczych subskrybentów, oraz płynnie monitorować automatyczne raporty – zespół PowerDMARC chętnie Ci w tym pomoże.

Skontaktuj się z nami lub umów się na prezentację PowerDMARC, aby na własnej skórze przekonać się o zaletach bezpieczniejszej komunikacji e-mailowej!