Kako nastaviti območje DNS TXT za SPF, DKIM in DMARC in kako preprečiti, da bi Gmail zavrnil poslovna e-poštna sporočila - Dostava pošte ni uspela

Administratorii de resna zasebna e-pošta za podjetja pogosto se sooča s številnimi težavami in izzivi. Iz valov SPAM ki jih morajo blokirati posebni filtri, varovanje korespondence v lokalnem e-poštnem strežniku in oddaljenih strežnikih, konfiguracija si spremljanje storitev SMTP, POP, IMAP, plus veliko in veliko drugih podrobnosti Konfiguracija SPF, DKIM in DMARC da sledite najboljšim praksam za varno pošiljanje e-pošte.

Veliko težav pošiljanje e-poštnih sporočil ali prejemnik do/od vaših ponudnikov, se pojavijo zaradi nepravilne konfiguracije območja DNS, kaj pa storitev e-pošte.

Da se lahko e-poštna sporočila pošiljajo z imena domene, mora biti gostuje na e-poštnem strežniku Pravilno konfiguriran in ime domene, da ima območja DNS za SPF, MX, DMARC SI DKIM pravilno nastavljen v upravitelju DNS TXT domene.

V današnjem članku se bomo osredotočili na precej pogost problem zasebni poslovni e-poštni strežniki. Ne morem poslati e-pošte v Gmail, Yahoo! oz iCloud.

Sporočila, poslana na @ Gmail.com, so samodejno zavrnjena. »Dostava pošte ni uspela: sporočilo se vrne pošiljatelju«

Pred kratkim sem naletel na težavo na e-poštna domena podjetja, s katerega se redno pošiljajo elektronska sporočila drugim podjetjem in posameznikom, od katerih imajo nekateri naslove @ Gmail.com. Vsa sporočila, poslana na račune Gmail, so se takoj vrnila pošiljatelju. "Dostava pošte ni uspela: vračanje sporočila pošiljatelju".

Sporočilo o napaki je bilo vrnjeno na e-poštni strežnik vklopljeno EXIM izgleda takole:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

V tem scenariju ne gre za nekaj zelo resnega, kot npr vključite ime domene za pošiljanje ali naslov pošiljatelja na seznam SPAM globalno ali o velika konfiguracijska napaka e-poštnih storitev na serverju (EXIM).
Tudi če mnogi, ko vidijo to sporočilo, takoj pomislijo na neželeno pošto ali konfiguracijsko napako SMTP, težavo ustvari območje. DNS TXT domene. Večino časa DKIM ni konfiguriran v območju DNS ali pa ni pravilno posredovan v upravitelju DNS domene. Ta problem se pogosto pojavlja pri tistih, ki ga uporabljajo CloudFlare kot upravitelj DNS in pozabite prenesti DNS TXT: mail._domainkey (DKIM), DMARC si SPF.

Kot nam sporoča Gmailovo sporočilo o zavrnitvi, pristnost in preverjanje pristnosti domene pošiljatelja nista uspeli. “To sporočilo nima podatkov za preverjanje pristnosti ali pa \ n550-5.7.26 ne prestane preverjanj pristnosti.” To pomeni, da domena nima konfiguriranega DNS TXT, da bi zagotovila verodostojnost prejemnikovega e-poštnega strežnika. Gmail, v našem skriptu.

Ko na cPanel ali VestaCP dodamo spletno domeno z aktivno e-poštno storitev, se samodejno ustvarijo datoteke v območju DNS te domene. Območje DNS, ki vključuje konfiguracijo e-poštnih storitev: MX, SPF, DKIM, DMARC.
V situaciji, ko izberemo domeno za upravitelja DNS CloudFlare, je treba območje DNS računa za gostovanje domene kopirati v CloudFlare, da e-poštna domena deluje pravilno. To je bil problem v zgornjem scenariju. V upravitelju DNS drugega izdelovalca registracija DKIM ne obstaja, čeprav obstaja v upravitelju DNS lokalnega strežnika.

Kaj je DKIM in zakaj so e-poštna sporočila zavrnjena, če te funkcije nimamo na e-poštni domeni?

Identificirana pošta DomainKeys (DKIM) je standardna rešitev za preverjanje pristnosti domene e-pošte, ki dodaja a Digitalni podpisi vsako poslano sporočilo. Ciljni strežniki lahko prek DKIM preverijo, ali sporočilo prihaja iz pošiljateljevega pravnega področja in ne iz druge domene, ki uporablja identiteto pošiljatelja kot masko. Po vseh računih, če imate domeno abcdqwerty.com brez DKIM-a se lahko e-poštna sporočila pošiljajo z drugih strežnikov z uporabo vašega imena domene. Je, če želite krajo identitete, kar se v tehničnem smislu imenuje ponarejanje elektronske pošte.
Pogosta tehnika pri pošiljanju e-poštnih sporočil Ribarjenje si spam.

Prek DKIM je mogoče zagotoviti tudi, da vsebina sporočila ni bila spremenjena, potem ko ga je poslal pošiljatelj.

Če je DKIM pravilno nastavljen na strogem gostitelju e-poštnega sistema in v območju DNS, prav tako odpravlja možnost, da vaša sporočila pridejo do SPAM do prejemnika ali sploh ne dosežejo.

Primer DKIM-a je:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Seveda je vrednost DKIM pridobljena z Algoritem za šifriranje RSA je edinstven za vsako ime domene in ga je mogoče ponovno ustvariti iz gostiteljevega e-poštnega strežnika.

Če je DKIM nameščen in pravilno nastavljen DNS TXT upravitelja, je zelo mogoče rešiti težavo s sporočili, vrnjenimi na Gmail račune. Vsaj za napako »Dostava pošte ni uspela«:

“SMTP error iz oddaljenega poštnega strežnika po cevovodnem koncu podatkov: 550-5.7.26 To sporočilo nima podatkov za preverjanje pristnosti ali pa ne prestane \ n550-5.7.26 preverjanj pristnosti. Za najboljšo zaščito naših uporabnikov pred vsiljeno pošto je bilo sporočilo \ n550-5.7.26 blokirano. "

Kot kratek povzetek, DKIM vsakemu poslanemu sporočilu doda digitalni podpis, ki omogoča ciljnim strežnikom, da preverijo pristnost pošiljatelja. Če je sporočilo prišlo iz vašega podjetja in naslov tretje osebe ni bil uporabljen za uporabo vaše identitete.

Gmail (Google) morda samodejno zavrne vsa sporočila prihajajo iz domen, ki nimajo takšne digitalne semantike DKIM.

Kaj je SPF in zakaj je pomemben za varno pošiljanje e-pošte?

Tako kot DKIM in SPF je namenjen preprečevanju lažna sporočila si ponarejanje elektronske pošte. Tako poslana sporočila ne bodo več označena kot vsiljena pošta.

Okvir pošiljateljske politike (SPF) je standardna metoda preverjanja pristnosti domene, iz katere se pošiljajo sporočila. Vnosi SPF so nastavljeni na TXT DNS upravitelj vaše domene, ta vnos pa bo določal ime domene, IP ali domene, ki jim je dovoljeno pošiljanje e-poštnih sporočil z vašim imenom ali imenom domene vaše organizacije.

Domena brez SPF lahko pošiljateljem neželene pošte omogoči pošiljanje e-pošte z drugih strežnikov, uporabite svoje ime domene kot masko. Na ta način se lahko širijo lažne informacije ali lahko zahtevajo občutljive podatke v imenu vaše organizacije

Seveda lahko v vašem imenu še vedno pošiljate sporočila iz drugih strežnikov, vendar bodo označena kot vsiljena pošta ali zavrnjena, če ta strežnik ali ime domene ni navedeno v vnosu SPF TXT vaše domene.

Vrednost SPF v upravitelju DNS izgleda takole:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Kjer je "ip4" IPv4 na vašem e-poštnem strežniku.

Kako nastavim SPF za več domen?

Če želimo pooblastiti druge domene za pošiljanje e-poštnih sporočil v imenu naše domene, jih bomo navedli z vrednostjo "include”V SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

To pomeni, da se e-poštna sporočila lahko pošiljajo tudi z našega imena domene na example1.com in example2.com.
To je zelo uporaben zapis, če ga imamo na primer Spletna trgovina Na naslovu"example1.com«, Želimo pa, da sporočila iz spletne trgovine strankam odidejo naslov domene podjetja, to je "example.com“. V SPF TXT za "example.com", kot je potrebno, da določite poleg IP in "vključi: example1.com". Tako se lahko pošiljajo sporočila v imenu organizacije.

Kako nastavim SPF za IPv4 in IPv6?

Z obema imamo poštni strežnik IPv4 in IPv6, zelo pomembno je, da sta oba IP-ja navedena v SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Nato za "ip" direktiva "include”Za dodajanje domen, pooblaščenih za pošiljanje.

Kaj to pomeni "~all""-all"In"+allIz SPF?

Kot je navedeno zgoraj, lahko ponudniki (ISP) še vedno prejemajo e-pošto v imenu vaše organizacije, tudi če so poslana z domene ali IP-ja, ki ni določen v pravilniku SPF. Oznaka »vse« pove ciljnim strežnikom, kako ravnati s temi sporočili iz drugih nepooblaščenih domen in pošiljati sporočila v vašem imenu ali v imenu vaše organizacije.

~all : Če je sporočilo prejeto z domene, ki ni navedena v SPT TXT, bodo sporočila sprejeta na ciljnem strežniku, vendar bodo označena kot vsiljena ali sumljiva. Zanje bodo veljale najboljše prakse prejemnikovih filtrov za preprečevanje neželene pošte.

-all : To je najstrožja oznaka, dodana vnosu SPF. Če domena ni navedena, bo sporočilo označeno kot nepooblaščeno in ga bo ponudnik zavrnil. Prav tako ne bo dostavljeno macv neželeni pošti.

+all : Zelo redko uporabljena in sploh ni priporočljiva, ta oznaka omogoča drugim pošiljanje e-pošte v imenu vas ali vaše organizacije. Večina ponudnikov samodejno zavrne vsa e-poštna sporočila, ki prihajajo iz domen s SPF TXT."+all“. Prav zato, ker pristnosti pošiljatelja ni mogoče preveriti, razen po preverjanju »glave e-pošte«.

povzetek: Kaj pomeni okvir politike pošiljatelja (SPF)?

Pooblašča prek območja TXT / SPF DNS, IP-je in imena domen, ki lahko pošiljajo e-poštna sporočila iz vaše domene ali podjetja. Velja tudi za posledice, ki veljajo za sporočila, poslana iz nepooblaščenih domen.

Kaj pomeni DMARC in zakaj je pomemben za vaš e-poštni strežnik?

DMARC (Poročanje o preverjanju pristnosti sporočil na podlagi domene in skladnost) je tesno povezan s standardi politike SPF si DKIM.
DMARC je a sistem potrjevanja zasnovan za zaščito vaše ime ali ime e-poštne domene vašega podjetja, prakse, kot je lažna e-poštna sporočila in lažne prevare.

Z uporabo ogrodja politike pošiljatelja (SPF) in nadzornih standardov za identifikacijo domenskih ključev (DKIM) DMARC dodaja zelo pomembno funkcijo. poročila.

Ko lastnik domene objavi DMARC v območju DNS TXT, bo pridobil informacije o tem, kdo pošilja e-poštna sporočila v njegovem imenu ali v imenu podjetja, ki je lastnik domene, zaščitene s SPF in DKIM. Hkrati bodo prejemniki sporočil vedeli, ali in kako te pravilnike najboljše prakse spremlja lastnik domene pošiljatelja.

Zapis DMARC v DNS TXT je lahko:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

V DMARC lahko postavite več pogojev za prijavo incidentov in e-poštne naslove za analize in poročila. Priporočljivo je, da uporabite namenske e-poštne naslove za DMARC, saj je lahko obseg prejetih sporočil velik.

Oznake DMARC lahko nastavite v skladu s pravilnikom, ki ste ga uvedli vi ali vaša organizacija:

v - različica obstoječega protokola DMARC.
p - uporabite ta pravilnik, ko DMARC ni mogoče preveriti za e-poštna sporočila. Lahko ima vrednost: "none""quarantine"Ali"reject“. Se uporablja "none”Za pridobitev poročil o toku sporočil in njihovem statusu.
rua - To je seznam URL-jev, o katerih lahko ponudniki internetnih storitev pošljejo povratne informacije v obliki XML. Če tukaj dodamo e-poštni naslov, bo povezava:rua=mailto:feedback@example.com".
ruf – Seznam URL-jev, na katere lahko ponudniki internetnih storitev pošiljajo poročila o kibernetskih incidentih in zločinih, storjenih v imenu vaše organizacije. Naslov bo:ruf=mailto:account-email@for.example.com".
rf - Oblika poročanja o kibernetskih zločinih. Lahko se oblikuje"afrf"Ali"iodef".
pct - Naroči ponudniku internetnih storitev, naj uporabi politiko DMARC samo za določen odstotek neuspešnih sporočil. Na primer, lahko imamo:pct=50%"ali politike"quarantine"In"reject“. Nikoli ne bo sprejeto."none".
adkim - Določa "Način poravnave" za digitalne podpise DKIM. To pomeni, da je preverjen digitalni podpis vnosa DKIM z domeno. adkim ima lahko vrednosti: r (Relaxed) ali s (Strict).
aspf - Na enak način kot v primeru adkim "Način poravnave" je določen za SPF in podpira enake vrednosti. r (Relaxed) ali s (Strict).
sp – Ta pravilnik se uporablja za omogočanje poddomenam, ki izhajajo iz domene organizacije, da uporabljajo vrednost DMARC domene. S tem se izognemo uporabi ločenih politik za vsako področje. To je praktično "nadomestni znak" za vse poddomene.
ri - Ta vrednost nastavi interval, v katerem bodo poročila XML prejeta za DMARC. V večini primerov je zaželeno poročanje vsakodnevno.
fo - Možnosti za poročila o goljufijah. “Forenzik options“. Imajo lahko vrednosti "0" za poročanje o incidentih, ko preverjanje SPF in DKIM ne uspeta, ali vrednost "1" za scenarij, ko SPF ali DKIM ne obstaja ali ne prestane preverjanja.

Zato morate upoštevati te tri standarde, da zagotovite, da vaša e-pošta ali e-poštna sporočila vašega podjetja dosežejo vaš nabiralnik."najboljše prakse za pošiljanje e-pošte". DKIM, SPF si DMARC. Vsi trije ti standardi so DNS TXT in so lahko adminiz upravitelja DNS domene.

Navdušen sem nad tehnologijo, rad preizkušam in pišem vaje o operacijskih sistemih macOSlinux, Windows, približno WordPress, WooCommerce in konfigurirajte spletne strežnike LEMP (Linux, NGINX, MySQL in PHP). pišem naprej StealthSettings.com od leta 2006, nekaj let kasneje pa sem začel pisati na iHowTo.Tips vadnice in novice o napravah v ekosistemu Apple: iPhone, iPad, Apple Ura, HomePod, iMac, MacBook, AirPods in dodatki.

Pustite komentar