Kā iestatīt DNS TXT zonu SPF, DKIM un DMARC un kā novērst biznesa e-pasta ziņojumu noraidīšanu pakalpojumā Gmail — pasta piegāde neizdevās

Administratorii de smags privāts e-pasts biznesam tā bieži saskaras ar daudzām problēmām un izaicinājumiem. No viļņiem SPAM kas ir jābloķē ar īpašiem filtriem, korespondences drošība lokālajā e-pasta serverī un attālajos serveros, konfigurācija si SMTP pakalpojumu uzraudzība, POP, IMAP, kā arī daudz, daudz citu detaļu SPF, DKIM un DMARC konfigurācija ievērot paraugpraksi drošai e-pasta sūtīšanai.

Daudzas problēmas sūtīt e-pasta ziņas vai saņēmējs uz / no jūsu pakalpojumu sniedzējiem, parādās nepareizas apgabala konfigurācijas dēļ DNS, kas par e-pasta pakalpojumu.

Lai e-pasta ziņojumi tiktu nosūtīti no domēna vārda, tam ir jābūt mitināts e-pasta serverī Pareizi konfigurēts un domēna nosaukumu, lai būtu DNS zonas par SPF, MX, dMarc SI DKIM pareizi iestatīts pārvaldniekā DNS TXT domēna.

Šodienas rakstā mēs pievērsīsimies diezgan izplatītai problēmai privāto uzņēmumu e-pasta serveri. Nevar nosūtīt e-pastu uz Gmail, Yahoo! vai iCloud.

Ziņojumi, kas nosūtīti uz @ Gmail.com, tiek automātiski noraidīti. "Vēstules nosūtīšana neizdevās: ziņa tiek atgriezta sūtītājam"

Nesen saskāros ar problēmu uzņēmuma e-pasta domēns, no kuras regulāri tiek sūtītas e-pasta vēstules citiem uzņēmumiem un privātpersonām, no kurām daļai ir adreses @ Gmail.com. Visas uz Gmail kontiem nosūtītās ziņas nekavējoties tika atgrieztas sūtītājam. "Vēstules nosūtīšana neizdevās: ziņa tiek atgriezta sūtītājam".

Kļūdas ziņojums tika atgriezts e-pasta serverī EXIM izskatās šādi:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

Šajā scenārijā tas nav kaut kas ļoti nopietns, piemēram iekļaut surogātpasta sarakstā sūtīšanas domēna nosaukumu vai sūtīšanas IP globāls vai o liela konfigurācijas kļūda e-pasta pakalpojumu serverī (EXIM).
Lai gan daudzi cilvēki uzreiz redz šo ziņojumu, domājot par SPAM vai SMTP konfigurācijas kļūdu, problēmu rada apgabals. DNS TXT domēna. Lielāko daļu laika DKIM nav konfigurēts DNS zonā vai netiek pareizi nodots domēna DNS pārvaldniekā. Ar šo problēmu bieži saskaras tie, kas to izmanto CloudFlare kā DNS pārvaldnieks un aizmirstiet nokārtot DNS TXT: mail._domainkey (DKIM), dMarc si SPF.

Kā norādīts Gmail noraidīšanas ziņojumā, sūtītāja domēna autentiskums un autentifikācija ir neizdevusies. "Šim ziņojumam nav autentifikācijas informācijas vai tas \ n550-5.7.26 neiztur autentifikācijas pārbaudes. ” Tas nozīmē, ka domēnā nav konfigurēts DNS TXT, lai nodrošinātu adresāta e-pasta servera uzticamību. Gmail, mūsu skriptā.

Kad mēs pievienojam tīmekļa domēnu ar aktīvu e-pasta pakalpojumu cPanel vai VestaCP, faili šī domēna DNS zonā tiek izveidoti automātiski. DNS zona, kas ietver e-pasta pakalpojuma konfigurāciju: MX, SPF, DKIM, dMarc.
Situācijā, kad par pārvaldnieku izvēlamies domēnu DNS CloudFlare, domēna mitināšanas konta DNS apgabals ir jāpārkopē uz CloudFlare, lai e-pasta domēns darbotos pareizi. Tā bija problēma iepriekš minētajā scenārijā. Trešās puses DNS pārvaldniekā DKIM reģistrācija nepastāv, lai gan tā pastāv vietējā servera DNS pārvaldniekā.

Kas ir DKIM un kāpēc e-pasta ziņojumi tiek noraidīti, ja e-pasta domēnā šīs funkcijas nav?

DomainKeys Identified Mail (DKIM) ir standarta e-pasta domēna autentifikācijas risinājums, kas pievieno a digitālais paraksts katra nosūtītā ziņa. Mērķa serveri var pārbaudīt, izmantojot DKIM, vai ziņojums nāk no sūtītāja tiesību domēna, nevis no cita domēna, kas izmanto sūtītāja identitāti kā masku. Pēc visa spriežot, ja jums ir domēns ABCDqwerty. Ar bez DKIM e-pasta ziņojumi var tikt nosūtīti no citiem serveriem, izmantojot jūsu domēna nosaukumu. Tas ir, ja vēlaties identitātes zādzību, ko tehniskā izteiksmē sauc e-pasta viltošana.
Izplatīta tehnika, sūtot e-pasta ziņas Phishing si spam.

Izmantojot DKIM, var arī nodrošināt, ka ziņojuma saturs pēc sūtītāja nosūtīšanas netika mainīts.

Ja DKIM ir pareizi iestatīts stingrajā e-pasta sistēmas resursdatorā un DNS apgabalā, tiek izslēgta arī iespēja, ka jūsu ziņojumi var nokļūt līdz adresātam SPAM vai nesasniegt vispār.

DKIM piemērs ir:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Protams, DKIM vērtība, kas iegūta ar RSA šifrēšanas algoritms ir unikāls katram domēna vārdam, un to var atjaunot no resursdatora e-pasta servera.

Ja DKIM ir instalēta un pareizi iestatīta DNS TXT pārvaldnieks, ļoti iespējams atrisināt Gmail kontos atgriezto ziņojumu problēmu. Vismaz kļūdas "Pasta piegāde neizdevās" gadījumā:

“SMTP error no attālā pasta servera pēc datu konveijera beigām: 550-5.7.26 Šim ziņojumam nav autentifikācijas informācijas vai tas neizdodas \ n550-5.7.26 autentifikācijas pārbaudes. Lai vislabāk aizsargātu mūsu lietotājus no surogātpasta, ziņojums \ n550-5.7.26 ir bloķēts.

Kā īss kopsavilkums, DKIM katram nosūtītajam ziņojumam pievieno ciparparakstu, kas ļauj galamērķa serveriem pārbaudīt sūtītāja autentiskumu. Ja ziņojums nāca no jūsu uzņēmuma un trešās puses adrese netika izmantota jūsu identitātes izmantošanai.

Gmail (Google) varbūt automātiski noraida visus ziņojumus nāk no domēniem, kuriem nav šādas DKIM digitālās semantikas.

Kas ir SPF un kāpēc tas ir svarīgi drošai e-pasta sūtīšanai?

Tāpat kā DKIM, un SPF mērķis ir novērst pikšķerēšanas ziņojumi si e-pasta viltošana. Tādā veidā nosūtītās ziņas vairs netiks atzīmētas kā mēstules.

Sūtītāja politikas ietvars (SPF) ir standarta metode, lai autentificētu domēnu, no kura tiek sūtīti ziņojumi. SPF ieraksti ir iestatīti uz TXT DNS pārvaldnieks jūsu domēna, un šajā ierakstā tiks norādīts domēna nosaukums, IP vai domēni, kuriem ir atļauts sūtīt e-pasta ziņojumus, izmantojot jūsu vai jūsu organizācijas domēna nosaukumu.

Domēns bez SPF var ļaut surogātpasta izplatītājiem sūtīt e-pastus no citiem serveriem, izmantojot savu domēna vārdu kā masku. Tādā veidā tie var izplatīties nepatiesa informācija vai var pieprasīt sensitīvus datus jūsu organizācijas vārdā

Protams, ziņojumus joprojām var nosūtīt jūsu vārdā no citiem serveriem, taču tie tiks atzīmēti kā mēstules vai noraidīti, ja jūsu domēna SPF TXT ierakstā nav norādīts šis servera vai domēna nosaukums.

SPF vērtība DNS pārvaldniekā izskatās šādi:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Kur “ip4” ir IPv4 jūsu e-pasta serverī.

Kā iestatīt SPF vairākiem domēniem?

Ja vēlamies pilnvarot citus domēnus sūtīt e-pasta ziņojumus mūsu domēna vārdā, mēs tos norādīsim ar vērtību "includeSPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Tas nozīmē, ka e-pasta ziņas var nosūtīt arī no mūsu domēna nosaukuma uz example1.com un example2.com.
Tas ir ļoti noderīgs ieraksts, ja mums tāds ir Veikals Online Uz adreses"example1.com", Bet mēs vēlamies, lai ziņas no interneta veikala klientiem izietu uzņēmuma domēna adrese, šī būtne"example.com“. Iekšā SPF TXT "example.com", ja nepieciešams, lai norādītu kopā ar IP un "include: example1.com". Lai ziņas varētu nosūtīt organizācijas vārdā.

Kā iestatīt SPF IPv4 un IPv6?

Mums ir pasta serveris ar abiem IPv4 un ar IPv6, ir ļoti svarīgi, lai abi IP būtu norādīti SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Tālāk pēc "ip" direktīva "include”Lai pievienotu domēnus, kas ir atļauti piegādei.

Ko tas nozīmē "~all","-all"Un"+allNo SPF?

Kā minēts iepriekš, pakalpojumu sniedzēji (ISP) joprojām var saņemt e-pasta ziņojumus jūsu organizācijas vārdā, pat ja tie ir sūtīti no domēna vai IP, kas nav norādīts SPF politikā. Tags “visi” norāda galamērķa serveriem, kā apstrādāt šos ziņojumus no citiem neautorizētiem domēniem un sūtīt ziņojumus jūsu vai jūsu organizācijas vārdā.

~all : ja ziņojums tiek saņemts no domēna, kas nav norādīts SPT TXT, ziņojumi tiks pieņemti galamērķa serverī, taču tie tiks atzīmēti kā mēstules vai aizdomīgi. Uz tiem attieksies saņēmēja pakalpojumu sniedzēja labas prakses pretsurogātpasta filtri.

-all : šī ir visstingrākā atzīme, kas pievienota SPF ierakstam. Ja domēns nav norādīts sarakstā, ziņojums tiks atzīmēts kā nesankcionēts, un pakalpojumu sniedzējs to noraidīs. Tā arī netiks piegādāta macsurogātpasta sarakstā.

+all : Ļoti reti izmantots un vispār nav ieteicams, šis tags ļauj citiem sūtīt e-pastus jūsu vai jūsu organizācijas vārdā. Lielākā daļa pakalpojumu sniedzēju automātiski noraida visus e-pasta ziņojumus, kas nāk no domēniem ar SPF TXT.+all“. Tieši tāpēc, ka sūtītāja autentiskumu nevar pārbaudīt, izņemot pēc "e-pasta galvenes" pārbaudes.

Kopsavilkums: Ko nozīmē sūtītāja politikas ietvars (SPF)?

Autorizējas, izmantojot TXT/SPF DNS zonu, IP un domēna nosaukumus, kas var nosūtīt e-pasta ziņojumus no jūsu domēna vai uzņēmuma. Tas attiecas arī uz ziņojumiem, kas tiek sūtīti no neautorizētiem domēniem.

Ko nozīmē DMARC un kāpēc tas ir svarīgi jūsu e-pasta serverim?

dMarc (Uz domēnu balstīta ziņojumu autentifikācijas ziņošana un atbilstība) ir cieši saistīta ar politikas standartiem SPF si DKIM.
DMARC ir a validācijas sistēma paredzēts aizsardzībai jūsu vai jūsu uzņēmuma e-pasta domēna nosaukumu, tādas prakses kā e-pasta viltošana un pikšķerēšanas izkrāpšana.

Izmantojot sūtītāja politikas ietvaru (SPF) un domēna atslēgas identificētā pasta (DKIM) kontroles standartus, DMARC pievieno ļoti svarīgu līdzekli. ziņojumi.

Kad domēna īpašnieks publicē DMARC DNS TXT apgabalā, viņš vai viņa iegūs informāciju par to, kas sūta e-pasta ziņojumus viņa vai uzņēmuma vārdā, kuram pieder domēns, kuru aizsargā SPF un DKIM. Tajā pašā laikā ziņojumu saņēmēji zinās, vai un kā šīs labās prakses politikas uzrauga sūtīšanas domēna īpašnieks.

DMARC ieraksts DNS TXT var būt:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

DMARC varat ievietot vairāk nosacījumu ziņošanai par incidentiem un e-pasta adreses analīzei un ziņojumiem. Ieteicams DMARC izmantot īpašas e-pasta adreses, jo saņemto ziņojumu skaits var būt ievērojams.

DMARC tagus var iestatīt saskaņā ar jūsu vai jūsu organizācijas noteikto politiku:

v - esošā DMARC protokola versija.
p - izmantojiet šo politiku, ja DMARC nevar pārbaudīt e-pasta ziņojumiem. Tam var būt šāda vērtība: "none","quarantine"Vai"reject“. Tiek izmantots "none”Lai saņemtu atskaites par ziņojumu plūsmu un to statusu.
rua - Tas ir URL saraksts, par kuriem interneta pakalpojumu sniedzēji var nosūtīt atsauksmes XML formātā. Ja mēs šeit pievienosim e-pasta adresi, saite būs:rua=mailto:feedback@example.com".
ruf - URL saraksts, uz kuriem interneta pakalpojumu sniedzēji var nosūtīt ziņojumus par kiberincidentiem un noziegumiem, kas izdarīti jūsu organizācijas vārdā. Adrese būs šāda:ruf=mailto:account-email@for.example.com".
rf - Kibernoziegumu ziņošanas formāts. To var veidot"afrf"Vai"iodef".
pct - Uzdod interneta pakalpojumu sniedzējam piemērot DMARC politiku tikai noteiktai daļai neveiksmīgo ziņojumu. Piemēram, mums varētu būt:pct=50%"Vai politikas"quarantine"Un"reject“. Tas nekad netiks pieņemts."none".
adkim - Norāda “Izlīdzināšanas režīmu” DKIM ciparparakstiem. Tas nozīmē, ka tiek pārbaudīta DKIM ieraksta ciparparaksta atbilstība domēnam. adkim var būt vērtības: r (Relaxed) Vai s (Strict).
aspf – Tādā pašā veidā kā lietā adkim "Izlīdzināšanas režīms" ir norādīts SPF un atbalsta tās pašas vērtības. r (Relaxed) Vai s (Strict).
sp - Šī politika attiecas uz atļauju apakšdomēniem, kas atvasināti no organizācijas domēna, izmantot domēna DMARC vērtību. Tas ļauj izvairīties no atsevišķu politiku izmantošanas katrai jomai. Tas praktiski ir "aizstājējzīme" visiem apakšdomēniem.
ri - Šī vērtība nosaka intervālu, pēc kura tiks saņemti XML ziņojumi par DMARC. Lielāko daļu laika atskaites ir vēlamas katru dienu.
fo - Iespējas ziņot par krāpšanu. "Kriminālistika options“. Tiem var būt vērtības “0”, lai ziņotu par incidentiem, kad SPF un DKIM verifikācija neizdodas, vai vērtība “1” scenārijam, kurā SPF vai DKIM nepastāv vai neiztur verifikāciju.

Tāpēc, lai nodrošinātu, ka jūsu vai jūsu uzņēmuma e-pasti sasniedz jūsu iesūtni, jums ir jāņem vērā šie trīs standarti.paraugprakse e-pasta sūtīšanai". DKIM, SPF si dMarc. Visi trīs šie standarti ir DNS TXT un var būt adminno domēna DNS pārvaldnieka.

Aizraujos ar tehnoloģijām, man patīk testēt un rakstīt pamācības par operētājsistēmām macOSLinux, Windows, apmēram WordPress, WooCommerce un konfigurēt LEMP tīmekļa serverus (Linux, NGINX, MySQL un PHP). Es rakstu tālāk StealthSettings.com kopš 2006. gada, un dažus gadus vēlāk es sāku rakstīt vietnē iHowTo.Tips apmācības un ziņas par ierīcēm ekosistēmā Apple: iPhone, iPad, Apple Skatīties, HomePod, iMac, MacBook, AirPods un piederumi.

Leave a Comment