Kako postaviti DNS TXT zonu za SPF, DKIM i DMARC i kako spriječiti da Gmail odbije poslovne e-poruke - dostava pošte nije uspjela

Administratorii od stroga privatna e-pošta za posao često se susreće s mnogim problemima i izazovima. Od valova od SPAM koji moraju biti blokirani posebnim filterima, sigurnost korespondencije na lokalnom poslužitelju e-pošte i udaljenim poslužiteljima, konfiguracija si praćenje SMTP usluga, POP, IMAP, plus puno i puno drugih detalja SPF, DKIM i DMARC konfiguracija slijediti najbolje prakse za sigurnu e-poštu.

Puno problema slati poruke e-pošte ili primatelja do/od vaših pružatelja usluga, pojavljuju se zbog netočne konfiguracije područja DNS, što je s uslugom e-pošte.

Da bi se emailovi mogli slati s naziva domene, to mora biti smješteno na poslužitelju e-pošte Ispravno konfiguriran, i naziv domene da ima DNS zone za SPF, MX, DMARC proširenje SI dkim nastavak ispravno postaviti u upravitelju TXT DNS domene.

U današnjem članku ćemo se usredotočiti na prilično čest problem privatni poslovni poslužitelji e-pošte. Nije moguće poslati e-poštu na Gmail, Yahoo! ili iCloud.

Poruke poslane na @ Gmail.com automatski se odbijaju. "Dostava pošte nije uspjela: vraćanje poruke pošiljatelju"

Nedavno sam naišao na problem na domena e-pošte tvrtke, s kojeg se redovito šalju e-mailovi drugim tvrtkama i pojedincima, od kojih neki imaju adrese @ Gmail.com. Sve poruke poslane na Gmail račune odmah se vraćaju pošiljatelju. "Dostava pošte nije uspjela: vraćanje poruke pošiljatelju".

Poruka o pogrešci vraćena na poslužitelj e-pošte na EXIM izgleda ovako:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

U ovom scenariju nije nešto jako ozbiljno, kao npr uključite naziv domene za slanje ili IP adresu za slanje u popis SPAM-a globalno ili o velika greška u konfiguraciji usluga e-pošte na serveru (EXIM).
Iako mnogi ljudi vide ovu poruku odmah kada pomisle na SPAM ili grešku u konfiguraciji SMTP-a, problem stvara područje. TXT DNS domene. Većinu vremena DKIM nije konfiguriran u DNS zoni ili se ne prosljeđuje ispravno u DNS upravitelju domene. Ovaj se problem često nalazi kod onih koji ga koriste CloudFlare kao DNS Manager i zaboraviti proći TXT DNS: mail._domainkey (dkim nastavak), DMARC proširenje si SPF.

Kao što nam govori Gmailova poruka o odbijanju, autentičnost i provjera autentičnosti domene pošiljatelja nije uspjela. “Ova poruka nema podatke o autentifikaciji ili ne prolazi \ n550-5.7.26 provjere provjere autentičnosti.” To znači da domena nema DNS TXT konfiguriran kako bi se osigurala vjerodostojnost poslužitelja e-pošte primatelja. Gmail, u našoj skripti.

Kada na cPanel dodamo web domenu s aktivnom uslugom e-pošte VestaCP, datoteke u DNS zoni dotične domene također se kreiraju automatski. DNS zona koja sadrži konfiguraciju e-mail servisa: MX, SPF, dkim nastavak, DMARC proširenje.
U situaciji kada biramo domenu za upravitelja CloudFlare DNS, DNS područje računa za hosting domene mora se kopirati u CloudFlare kako bi domena e-pošte ispravno radila. To je bio problem u gornjem scenariju. U DNS upravitelju treće strane, DKIM registracija ne postoji, iako postoji na DNS upravitelju lokalnog poslužitelja.

Što je DKIM i zašto se e-poruke odbijaju ako nemamo ovu značajku na domeni e-pošte?

DomainKeys Identified Mail (DKIM) je standardno rješenje za provjeru autentičnosti domene e-pošte koje dodaje a Digitalni potpis svaku poslanu poruku. Odredišni poslužitelji mogu putem DKIM-a provjeriti dolazi li poruka iz domene prava pošiljatelja, a ne iz druge domene koja koristi identitet pošiljatelja kao masku. Po svemu sudeći, ako imate domenu ABCDqwerty.com bez DKIM-a, e-poruke se mogu slati s drugih poslužitelja koristeći naziv vaše domene. To je ako želite krađu identiteta, što se u tehničkom smislu zove prevara putem e-pošte.
Uobičajena tehnika pri slanju e-mail poruka Phishing si spam.

Također se putem DKIM-a može osigurati da, sadržaj poruke nije promijenjen nakon što ju je pošiljatelj poslao.

Ako je DKIM ispravno postavljen na strogom hostu sustava e-pošte iu području DNS-a, također se eliminira mogućnost da vaše poruke dođu do SPAM-a do primatelja ili da uopće ne dođu.

Primjer DKIM-a je:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Naravno, DKIM vrijednost dobivena od RSA algoritam šifriranja je jedinstven za svaki naziv domene i može se regenerirati s poslužitelja e-pošte domaćina.

Nakon što je DKIM instaliran i ispravno postavljen TXT DNS upravitelja, vrlo je moguće riješiti problem poruka vraćenih na Gmail račune. Barem za pogrešku "Dostava pošte nije uspjela":

"SMTP error s udaljenog poslužitelja e-pošte nakon završetka dovoda podataka: 550-5.7.26 Ova poruka nema podatke za provjeru autentičnosti ili ne uspijeva \ n550-5.7.26 proći provjere provjere autentičnosti. Kako bismo najbolje zaštitili naše korisnike od neželjene pošte, poruka \ n550-5.7.26 je blokirana.”

Kao kratak rezime, DKIM svakoj poslanoj poruci dodaje digitalni potpis, što omogućuje odredišnim poslužiteljima da provjere autentičnost pošiljatelja. Ako je poruka došla od vaše tvrtke, a adresa treće strane nije korištena za korištenje vašeg identiteta.

gmail (Google) možda automatski odbija sve poruke dolaze iz domena koje nemaju takvu DKIM digitalnu semantiku.

Što je SPF i zašto je važan za sigurno slanje e-pošte?

Baš kao i DKIM, i SPF ima za cilj spriječiti phishing poruke si prevara putem e-pošte. Na ovaj način poslane poruke više neće biti označene kao neželjena pošta.

Okvir politike pošiljatelja (SPF) je standardna metoda provjere autentičnosti domene s koje se šalju poruke. SPF unosi su postavljeni na TXT DNS upravitelj vaše domene i ovaj unos će odrediti naziv domene, IP ili domene koje imaju pravo slati poruke e-pošte koristeći naziv vaše ili vaše organizacije domene.

Domena bez SPF-a može omogućiti pošiljateljima neželjene pošte slanje e-pošte s drugih poslužitelja. koristeći naziv vaše domene kao masku. Na taj način se mogu širiti lažne informacije ili mogu se tražiti osjetljivi podaci u ime vaše organizacije

Naravno, poruke se i dalje mogu slati u vaše ime s drugih poslužitelja, ali će biti označene kao neželjena pošta ili odbijene ako taj poslužitelj ili naziv domene nisu navedeni u SPF TXT unosu vaše domene.

SPF vrijednost u DNS upravitelju izgleda ovako:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Gdje je "ip4" IPv4 na vašem poslužitelju e-pošte.

Kako mogu postaviti SPF za više domena?

Ako želimo ovlastiti druge domene da šalju poruke e-pošte u ime naše domene, navest ćemo ih s vrijednošću "include”U SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

To znači da se poruke e-pošte također mogu slati s naziva naše domene na example1.com i example2.com.
Vrlo je koristan zapis ako ga imamo na primjer Shop Online Na adresi"primjer1.com“, Ali želimo da poruke iz internet trgovine kupcima odlaze adresa domene tvrtke, ovo biće "example.com“. U SPF TXT za "example.com", prema potrebi za navođenje pored IP-a i "include: example1.com". Tako da se poruke mogu slati u ime organizacije.

Kako mogu postaviti SPF za IPv4 i IPv6?

Imamo mail server s oba IPv4 i uz IPv6, vrlo je važno da su oba IP-a navedena u SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Zatim, nakon "ip" direktiva "include”Za dodavanje domena ovlaštenih za dostavu.

Što to znači "~all","-all"A"+allOd SPF-a?

Kao što je gore navedeno, davatelji usluga (ISP) i dalje mogu primati e-poruke u ime vaše organizacije čak i ako su poslane s domene ili IP-a koji nisu navedeni u SPF politici. Oznaka "sve" govori odredišnim poslužiteljima kako postupati s tim porukama s drugih neovlaštenih domena i slati poruke u vaše ili vaše ime.

~all : Ako je poruka primljena s domene koja nije navedena u SPT TXT-u, poruke će biti prihvaćene na odredišnom poslužitelju, ali će biti označene kao neželjena pošta ili sumnjive. Oni će biti podvrgnuti anti-spam filterima dobre prakse davatelja primatelja.

-all : Ovo je najstroža oznaka dodana SPF unosu. Ako domena nije navedena, poruka će biti označena kao neovlaštena i davatelj će je odbiti. Neće biti ni isporučen macu neželjenoj pošti.

+all : Vrlo rijetko se koristi i uopće se ne preporučuje, ova oznaka omogućuje drugima da šalju e-poštu u ime vas ili vaše organizacije. Većina davatelja usluga automatski odbija sve poruke e-pošte koje dolaze s domena sa SPF TXT."+all“. Upravo zato što se autentičnost pošiljatelja ne može provjeriti, osim nakon provjere "zaglavlja e-pošte".

Sažetak: Što znači okvir politike pošiljatelja (SPF)?

• Onemogući i očisti DNS predmemoriju - Windows 7, Vista i XP
• Koristite alternativne DNS servera za učitavanje web stranice brže
• Kako možemo promijeniti DNS adresu u OS X
• Kako možemo resetirati DNS cache na OS X
• Povećanje pregledavanje internet brzine sa Google javni DNS

Autorizira kroz TXT / SPF DNS zonu, IP-ove i nazive domena koji mogu slati poruke e-pošte s vaše domene ili tvrtke. Također primjenjuje posljedice koje se odnose na poruke koje se šalju s neovlaštenih domena.

Što DMARC znači i zašto je važan za vaš poslužitelj e-pošte?

DMARC proširenje (Izvještavanje o autentifikaciji poruka na temelju domene i usklađenost) usko je povezan sa standardima politike SPF si dkim nastavak.
DMARC je a sustav validacije dizajniran za zaštitu ime vaše ili vaše tvrtke e-mail domene, prakse kao što su lažiranje e-pošte i phishing prijevare.

Koristeći kontrolne standarde Sender Policy Framework (SPF) i domenski ključevi identificirane pošte (DKIM), DMARC dodaje vrlo važnu značajku. izvještaji.

Kada vlasnik domene objavi DMARC u području DNS TXT, on ili ona će dobiti informacije o tome tko šalje poruke e-pošte u njegovo ili njezino ili u ime tvrtke koja posjeduje domenu zaštićenu SPF-om i DKIM-om. Istodobno, primatelji poruka će znati prati li i kako te politike najbolje prakse vlasnik domene za slanje.

DMARC zapis u DNS TXT može biti:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

U DMARC-u možete postaviti više uvjeta za prijavu incidenata i e-mail adrese za analizu i izvješća. Preporučljivo je koristiti namjenske adrese e-pošte za DMARC jer količina primljenih poruka može biti značajna.

DMARC oznake mogu se postaviti u skladu s pravilima koju ste nametnuli vi ili vaša organizacija:

v - verzija postojećeg DMARC protokola.
p - primijenite ovo pravilo kada se DMARC ne može potvrditi za poruke e-pošte. Može imati vrijednost: "none","quarantine"Ili"reject“. Koristi se "none” za dobivanje izvješća o protoku poruka i statusu pribadačesora.
rua - To je popis URL-ova na koje ISP-ovi mogu slati povratne informacije u XML formatu. Ako ovdje dodamo e-mail adresu, poveznica će biti:rua=mailto:feedback@example.com".
ruf - Popis URL-ova na koje ISP-ovi mogu slati izvješća o cyber incidentima i zločinima počinjenim u ime vaše organizacije. Adresa će biti:ruf=mailto:account-email@for.example.com".
rf - Format izvješćivanja o kibernetičkom kriminalu. Može se oblikovati"afrf"Ili"iodef".
pct - Naređuje ISP-u da primijeni DMARC politiku samo za određeni postotak neuspjelih poruka. Na primjer, mogli bismo imati:pct=50%"ili politike"quarantine"A"reject“. To nikada neće biti prihvaćeno."none".
adkim – Odredite „Poravnanje Mode” za DKIM digitalne potpise. To znači da se provjerava podudaranje digitalnog potpisa DKIM unosa s domenom. adkim može imati vrijednosti: r (Relaxed) ili s (Strict).
aspf - Na isti način kao u slučaju adkim Navedeno je "usklađivanje". Mode” za SPF i podržava iste vrijednosti. r (Relaxed) ili s (Strict).
sp - Ovo se pravilo primjenjuje kako bi se poddomenama izvedenim iz domene organizacije omogućilo korištenje DMARC vrijednosti domene. Time se izbjegava korištenje zasebnih politika za svako područje. To je praktički "wildcard" za sve poddomene.
ri - Ova vrijednost postavlja interval u kojem će se XML izvješća primati za DMARC. U većini slučajeva poželjno je izvještavanje na dnevnoj bazi.
fo - Opcije za prijave prijevara. “sudski options“. Mogu imati vrijednosti "0" za prijavu incidenata kada i SPF i DKIM provjera ne uspiju, ili vrijednost "1" za scenarij u kojem SPF ili DKIM ne postoje ili ne prolaze provjeru.

Stoga, kako biste osigurali da e-pošta vaše ili vaše tvrtke stigne u vašu pristiglu poštu, morate uzeti u obzir ova tri standarda."najbolje prakse za slanje e-pošte". dkim nastavak, SPF si DMARC proširenje. Sva tri standarda se odnose na DNS TXT i njima se može upravljati iz DNS upravitelja domene.