Як налаштувати зону DNS TXT для SPF, DKIM і DMARC і як запобігти відхиленню службових повідомлень електронної пошти Gmail - не вдалося доставити пошту

Administratorii de сувора приватна електронна пошта для бізнесу вона часто стикається з багатьма проблемами та викликами. Від хвиль с СПАМ які мають бути заблоковані певними фільтрами, охорона кореспонденції на локальному сервері електронної пошти та віддалених серверах, конфігурація si моніторинг послуг SMTP, POP, IMAP, а також багато-багато інших деталей Конфігурація SPF, DKIM і DMARC дотримуватися найкращих практик для безпечної електронної пошти.

Багато проблем надсилати повідомлення електронною поштою або вантажоодержувач до/від ваших провайдерів, з’являються через неправильну конфігурацію області DNS, а як щодо служби електронної пошти.

Для того, щоб електронні листи надсилалися з доменного імені, воно повинно бути таким розміщено на сервері електронної пошти Правильно налаштований і доменне ім’я, щоб мати зони DNS для SPF, MX, DMARC SI DKIM правильно встановити в менеджері DNS TXT домену.

У сьогоднішній статті ми зупинимося на досить поширеній проблемі приватні бізнес-сервери електронної пошти. Не вдається надіслати електронну пошту до Gmail, Yahoo! або iCloud.

Повідомлення, надіслані на @Gmail.com, автоматично відхиляються. "Відправлення листа не вдалося: повернення повідомлення відправнику"

Нещодавно я зіткнувся з проблемою на домен електронної пошти компанії, з якого електронні листи регулярно надсилаються іншим компаніям та фізичним особам, деякі з яких мають адреси @ Gmail.com. Усі повідомлення, надіслані на облікові записи Gmail, негайно повертаються відправнику. "Відправлення листа не вдалося: повернення повідомлення відправнику".

Повідомлення про помилку повернуто на сервер електронної пошти Ексім виглядає так:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

У цьому сценарії мова не йде про щось дуже серйозне, наприклад включити доменне ім’я відправника або IP-адресу відправника до списку СПАМу глобальний або о серйозна помилка конфігурації послуг електронної пошти на сервері (Ексім).
Навіть якщо багато хто, побачивши це повідомлення, одразу подумає про СПАМ або помилку конфігурації SMTP, проблема створюється в області. DNS TXT домену. У більшості випадків DKIM не налаштовано в зоні DNS або неправильно передається в диспетчері DNS домену. З цією проблемою часто стикаються ті, хто нею користується CloudFlare як менеджер DNS і забудьте передати DNS TXT: mail._domainkey (DKIM), DMARC si SPF.

Як повідомляє нам повідомлення про відхилення від Gmail, автентичність та автентифікація домену відправника не вдалося. “У цьому повідомленні немає інформації для автентифікації або він не може \ n550-5.7.26 пройти перевірки автентифікації.” Це означає, що в домені не налаштовано DNS TXT, щоб забезпечити довіру до сервера електронної пошти одержувача. Gmail, у нашому скрипті.

Коли ми додаємо веб-домен із активною службою електронної пошти на cPanel або VestaCP, файли в зоні DNS цього домену створюються автоматично. Зона DNS, яка включає конфігурацію служби електронної пошти: MX, SPF, DKIM, DMARC.
У ситуації, коли ми вибираємо домен в якості менеджера DNS CloudFlare, область DNS облікового запису хостингу домену має бути скопійована в CloudFlare, щоб домен електронної пошти працював належним чином. Це була проблема у наведеному вище сценарії. У сторонньому диспетчері DNS реєстрація DKIM не існує, хоча вона існує в диспетчері DNS локального сервера.

Що таке DKIM і чому електронні листи відхиляються, якщо у нас немає цієї функції в домені електронної пошти?

Ідентифікована пошта DomainKeys (DKIM) — це стандартне рішення для автентифікації домену електронної пошти, яке додає a цифрового підпису кожне надіслане повідомлення. Сервери призначення можуть перевірити через DKIM, чи надходить повідомлення із юридичної сфери відправника, а не з іншого домену, який використовує ідентичність відправника як маску. За всіма рахунками, якщо у вас є домен ABCDqwerty.com без DKIM електронні листи можуть надсилатися з інших серверів за допомогою вашого доменного імені. Це якщо ви хочете викрадення особистих даних, що в технічному плані називається підробка електронної пошти.
Поширений прийом під час надсилання повідомлень електронною поштою phishing si спам.

За допомогою DKIM можна також переконатися, що, зміст повідомлення не було змінено після його відправлення відправником.

Правильне налаштування DKIM на суворому хості системи електронної пошти та в області DNS також виключає можливість того, що ваші повідомлення можуть потрапляти у СПАМ до одержувача або не досягати взагалі.

Прикладом DKIM є:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Звичайно, значення DKIM, отримане шляхом Алгоритм шифрування RSA є унікальним для кожного доменного імені і може бути відновлено з сервера електронної пошти хоста.

Якщо DKIM встановлено та правильно встановлено DNS TXT менеджера, дуже можливо вирішити проблему повернення повідомлень в облікові записи Gmail. Принаймні для помилки "Помилка доставки пошти":

«SMTP error з віддаленого поштового сервера після закінчення конвеєра даних: 550-5.7.26 У цьому повідомленні немає інформації для автентифікації або він не проходить \ n550-5.7.26 перевірки автентифікації. Щоб найкращим чином захистити наших користувачів від спаму, повідомлення \ n550-5.7.26 було заблоковано».

Як короткий підсумок, DKIM додає цифровий підпис до кожного надісланого повідомлення, що дозволяє серверам призначення перевіряти справжність відправника. Якщо повідомлення надійшло від вашої компанії, а адреса третьої сторони не використовувалася для використання вашої особи.

Gmail (Google) можливо автоматично відхиляє всі повідомлення що надходять із доменів, які не мають такої цифрової семантики DKIM.

Що таке SPF і чому він важливий для безпечного надсилання електронної пошти?

Так само, як DKIM, і SPF спрямований на запобігання фішингові повідомлення si підробка електронної пошти. Таким чином, надіслані повідомлення більше не позначатимуться як спам.

Рамка політики щодо відправника (SPF) є стандартним методом аутентифікації домену, з якого надсилаються повідомлення. Для записів SPF встановлено значення TXT DNS менеджер вашого домену, і цей запис визначатиме доменне ім’я, IP або домени, яким дозволено надсилати повідомлення електронної пошти, використовуючи доменне ім’я вашого або вашої організації.

Домен без SPF може дозволити спамерам надсилати електронні листи з інших серверів, використання вашого доменного імені як маски. Таким чином вони можуть поширюватися неправдива інформація або можуть бути запитані конфіденційні дані від імені вашої організації

Звичайно, повідомлення все ще можна надсилати від вашого імені з інших серверів, але вони будуть позначені як спам або відхилені, якщо цей сервер або ім’я домену не вказано в записі SPF TXT вашого домену.

Значення SPF в диспетчері DNS виглядає так:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Де "ip4" - це IPv4 на вашому сервері електронної пошти.

Як встановити SPF для кількох доменів?

Якщо ми хочемо дозволити іншим доменам надсилати повідомлення електронної пошти від імені нашого домену, ми вказуємо їх значенням "include”У SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Це означає, що повідомлення електронної пошти також можна надсилати з нашого доменного імені на example1.com і example2.com.
Це дуже корисний запис, якщо ми маємо, наприклад, такий Інтернет-магазин За адресою"example1.com", Але ми хочемо, щоб повідомлення з інтернет-магазину клієнтам залишали адреса домену компанії, це істота "example.com". В SPF TXT для "example.com", якщо потрібно, вказати поруч із IP і "включати: example1.com". Щоб повідомлення можна було надсилати від імені організації.

Як встановити SPF для IPv4 та IPv6?

У нас є поштовий сервер з обома IPv4 і з IPv6, дуже важливо, щоб обидва IP-адреси були вказані в SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Далі, після "ip" директива "include”Щоб додати домени, авторизовані для доставки.

Що це означає "~all»,«-all"І"+allЗ SPF?

Як зазначено вище, постачальники послуг (ISP) все ще можуть отримувати електронні листи від імені вашої організації, навіть якщо вони надсилаються з домену або IP-адреси, які не вказані в політиці SPF. Тег "all" повідомляє цільовим серверам, як обробляти ці повідомлення з інших неавторизованих доменів і надсилати повідомлення від імені вас або вашої організації.

~all : Якщо повідомлення отримано з домену, який не вказано в SPT TXT, повідомлення будуть прийняті на сервері призначення, але вони будуть позначені як спам або підозрілі. На них поширюватимуться антиспамові фільтри належної практики постачальника-одержувача.

-all : це найсуворіший тег, доданий до запису SPF. Якщо домену немає в списку, повідомлення буде позначено як неавторизоване і буде відхилено постачальником. Його теж не доставлять macу спамі.

+all : дуже рідко використовується і взагалі не рекомендується, цей тег дозволяє іншим надсилати електронні листи від імені вас або вашої організації. Більшість провайдерів автоматично відхиляють усі повідомлення електронної пошти, які надходять із доменів із SPF TXT».+all“. Саме тому, що автентичність відправника не може бути перевірена, окрім як після перевірки "заголовка електронної пошти".

Резюме: Що означає Sender Policy Framework (SPF)?

Авторизує через зону DNS TXT / SPF, IP-адреси та доменні імена, які можуть надсилати повідомлення електронної пошти з вашого домену або компанії. Це також стосується наслідків, які стосуються повідомлень, надісланих із неавторизованих доменів.

Що означає DMARC і чому він важливий для вашого сервера електронної пошти?

DMARC (Звіти про автентифікацію повідомлень на основі домену та відповідність) тісно пов'язаний зі стандартами політики SPF si DKIM.
DMARC - це a система перевірки призначений для захисту ваше доменне ім’я електронної пошти чи вашої компанії, такі практики, як підробка електронної пошти та шахрайство з фішингом.

Використовуючи стандарти керування Sender Policy Framework (SPF) і Domain Keys Identified Mail (DKIM), DMARC додає дуже важливу функцію. звіти.

Коли власник домену публікує DMARC в області TXT DNS, він чи вона отримає інформацію про те, хто надсилає повідомлення електронної пошти від його імені чи компанії, яка володіє доменом, захищеним SPF та DKIM. У той же час одержувачі повідомлень будуть знати, чи контролюються ці правила належної практики власником домену-відправника.

Запис DMARC у DNS TXT може бути:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

У DMARC ви можете поставити більше умов для повідомлення про інциденти та адреси електронної пошти для аналізу та звітів. Рекомендується використовувати спеціальні адреси електронної пошти для DMARC, оскільки обсяг отриманих повідомлень може бути значним.

Теги DMARC можна встановити відповідно до політики, встановленої вами або вашою організацією:

v - версія існуючого протоколу DMARC.
p - застосовувати цю політику, коли DMARC неможливо перевірити для повідомлень електронної пошти. Він може мати значення: «none»,«quarantine"Або"reject“. Використовується "none”Для отримання звітів про потік повідомлень та їх статус.
rua - Це список URL-адрес, на які провайдери можуть надсилати відгуки у форматі XML. Якщо ми додамо сюди адресу електронної пошти, посилання буде:rua=mailto:feedback@example.com".
ruf - Список URL-адрес, за якими провайдери можуть надсилати звіти про кіберінциденти та злочини, скоєні від імені вашої організації. Адреса буде:ruf=mailto:account-email@for.example.com».
rf - Формат звітності про кіберзлочинність. Його можна сформувати "afrf"Або"iodef».
pct - Доручає провайдеру застосовувати політику DMARC лише для певного відсотка невдалих повідомлень. Наприклад, ми можемо мати:pct=50%"Або політика"quarantine"І"reject“. Це ніколи не буде прийнято».none».
adkim - Визначає «Режим вирівнювання» для цифрових підписів DKIM. Це означає, що перевіряється відповідність цифрового підпису запису DKIM із доменом. adkim може мати значення: r (Relaxed) або s (Strict).
aspf — Так само, як у справі adkim «Режим вирівнювання» вказано для SPF і підтримує ті самі значення. r (Relaxed) або s (Strict).
sp – Ця політика застосовується, щоб дозволити субдоменам, похідним від домену організації, використовувати значення DMARC цього домену. Це дозволяє уникнути використання окремих політик для кожної області. Це практично «підстановка» для всіх субдоменів.
ri - Це значення встановлює інтервал, через який звіти XML будуть отримані для DMARC. У більшості випадків краще звітувати щодня.
fo - Опції звітів про шахрайство. “Криміналістика options“. Вони можуть мати значення "0", щоб повідомляти про випадки, коли перевірка SPF і DKIM не вдається, або значення "1" для сценарію, коли SPF або DKIM не існує або не проходить перевірку.

Тому для того, щоб електронні листи вашої або вашої компанії потрапляли до вашої скриньки, вам потрібно враховувати ці три стандарти».найкращі методи надсилання електронних листів». DKIM, SPF si DMARC. Усі три ці стандарти є DNS TXT і можуть бути такими adminз диспетчера DNS домену.

Захоплюючись технологіями, я люблю тестувати та писати підручники про операційні системи macOS, Linux Windows, про WordPress, WooCommerce і налаштувати веб-сервери LEMP (Linux, NGINX, MySQL і PHP). я пишу далі StealthSettings.com з 2006 року, а через кілька років я почав писати на iHowTo.Tips підручники та новини про пристрої в екосистемі Apple: iPhone, iPad, Apple Годинник, HomePod, iMac, MacBook, AirPods та аксесуари.

Залишити коментар