Jak nastavit zónu DNS TXT pro SPF, DKIM a DMARC a jak zabránit odmítnutí firemních e-mailových zpráv Gmailem - Doručování pošty se nezdařilo

Administratorii z vážný soukromý e-mail pro podnikání často čelí mnoha problémům a výzvám. Z vln SPAM které musí být blokovány konkrétními filtry, korespondenční zabezpečení na místním e-mailovém serveru a vzdálených serverech, konfigurace si sledování služeb SMTP, POP, IMAP, plus spousta a spousta dalších detailů Konfigurace SPF, DKIM a DMARC dodržovat osvědčené postupy pro bezpečné zasílání e-mailů.

Mnoho problémů odesílat e-mailové zprávy nebo příjemce do / od vašich poskytovatelů, se objevují kvůli nesprávné konfiguraci oblasti DNS, jak je to s e-mailovou službou.

Aby bylo možné odesílat e-maily z názvu domény, musí tomu tak být hostované na e-mailovém serveru Správně nakonfigurovaný a název domény, aby měl zóny DNS pro SPF, MX, DMARC SI rozšíření dkim správně nastaveno ve správci TXT DNS domény.

V dnešním článku se zaměříme na docela častý problém soukromé firemní e-mailové servery. Nelze odeslat e-mail do Gmailu, Yahoo! nebo iCloud.

Zprávy odeslané na @ Gmail.com jsou automaticky odmítnuty. „Doručení pošty selhalo: zpráva se vrací odesílateli“

Nedávno jsem narazil na problém e-mailová doména společnosti, ze kterého jsou pravidelně odesílány e-maily dalším společnostem a jednotlivcům, z nichž někteří mají adresy @ Gmail.com. Všechny zprávy odeslané na účty Gmail se okamžitě vrátily odesílateli. "Doručení pošty selhalo: zpráva se vrací odesílateli".

Chybová zpráva se vrátila na e-mailový server dne EXIM vypadá takto:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

V tomto scénáři nejde o nic moc vážného, ​​jako např zahrnout název odesílající domény nebo odesílající IP do seznamu SPAMů globální nebo o velká chyba konfigurace e-mailových služeb na serveru server (EXIM).
I když mnoho lidí vidí tuto zprávu okamžitě, když pomyslí na SPAM nebo chybu konfigurace SMTP, problém je generován oblastí. TXT DNS domény. DKIM většinou není nakonfigurován v zóně DNS nebo není správně předán ve správci DNS domény. Tento problém se často vyskytuje u těch, kteří jej používají Cloudflare jako DNS Manager a zapomenout předat TXT DNS: mail._domainkey (rozšíření dkim), DMARC si SPF.

Jak nám říká zpráva o odmítnutí Gmailu, pravost a ověření domény odesílatele se nezdařilo. “Tato zpráva neobsahuje ověřovací informace nebo neprošla kontrolami ověřování \ n550-5.7.26.“ To znamená, že doména nemá nakonfigurovaný DNS TXT pro zajištění důvěryhodnosti pro e-mailový server příjemce. Gmail, v našem skriptu.

Když na její cPanel přidáme webovou doménu s aktivní e-mailovou službou VestaCP, automaticky se vytvoří i soubory v DNS zóně příslušné domény. DNS zóna, která zahrnuje konfiguraci e-mailové služby: MX, SPF, rozšíření dkim, DMARC.
V situaci, kdy zvolíme doménu za správce CloudFlare DNS, oblast DNS hostitelského účtu domény musí být zkopírována do CloudFlare, aby e-mailová doména správně fungovala. To byl problém ve výše uvedeném scénáři. Ve správci DNS třetí strany registrace DKIM neexistuje, ačkoli existuje ve správci DNS místního serveru.

Co je to DKIM a proč jsou e-maily odmítány, pokud tuto funkci nemáme v e-mailové doméně?

DomainKeys Identified Mail (DKIM) je standardní řešení ověřování e-mailové domény, které přidává a digitální podpis každou odeslanou zprávu. Cílové servery mohou prostřednictvím DKIM zkontrolovat, zda zpráva pochází z právní domény odesílatele a nikoli z jiné domény, která používá identitu odesílatele jako masku. Podle všeho, pokud máte doménu abcdqwerty.com bez DKIM mohou být e-maily odesílány z jiných serverů pomocí názvu vaší domény. Je to, chcete-li krádež identity, které se odborně říká e-mail spoofing.
Běžná technika při odesílání e-mailových zpráv Phishing si spam.

Prostřednictvím DKIM lze také zajistit, že obsah zprávy se po jejím odeslání odesílatelem nezměnil.

Správné nastavení DKIM na náročném hostiteli e-mailového systému a v oblasti DNS z velké části eliminuje možnost, že se vaše zprávy mohou dostat do SPAMu k příjemci nebo se nedostanou vůbec.

Příkladem DKIM je:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Samozřejmě, že hodnota DKIM získaná tím Šifrovací algoritmus RSA je jedinečný pro každý název domény a lze jej obnovit z e-mailového serveru hostitele.

Mít nainstalovaný a správně nastavený DKIM TXT DNS správce, je velmi možné vyřešit problém se zprávami vracenými na účty Gmail. Alespoň pro chybu „Doručení pošty se nezdařilo“:

"SMTP error ze vzdáleného poštovního serveru po zřetězeném konci dat: 550-5.7.26 Tato zpráva neobsahuje ověřovací informace nebo \ n550-5.7.26 neprojde kontrolami ověření. Abychom co nejlépe chránili naše uživatele před spamem, byla zpráva \ n550-5.7.26 zablokována.

Jako stručnou rekapitulaci, DKIM přidá digitální podpis ke každé odeslané zprávě, který umožňuje cílovým serverům ověřit pravost odesílatele. Pokud zpráva přišla od vaší společnosti a adresa třetí strany nebyla použita k použití vaší identity.

Gmail (Google) možná automaticky odmítne všechny zprávy pocházející z domén, které nemají takovou digitální sémantiku DKIM.

Co je SPF a proč je důležité pro bezpečné odesílání e-mailů?

Stejně jako DKIM a SPF má za cíl zabránit phishingové zprávy si e-mail spoofing. Odeslané zprávy tak již nebudou označeny jako spam.

Rámec politiky odesílatele (SPF) je standardní metoda ověřování domény, ze které jsou zprávy odesílány. Záznamy SPF jsou nastaveny na Správce TXT DNS vaší domény a tato položka bude specifikovat název domény, IP adresu nebo domény, které mohou odesílat e-mailové zprávy pomocí názvu vaší domény nebo domény vaší organizace.

Doména bez SPF může umožnit spammerům odesílat e-maily z jiných serverů, pomocí názvu vaší domény jako masky. Tímto způsobem se mohou šířit nepravdivé informace nebo mohou být požadovány citlivé údaje jménem vaší organizace

Zprávy lze samozřejmě stále odesílat vaším jménem z jiných serverů, ale budou označeny jako spam nebo odmítnuty, pokud tento server nebo název domény není uveden v položce SPF TXT vaší domény.

Hodnota SPF ve správci DNS vypadá takto:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Kde „ip4“ je IPv4 na vašem e-mailovém serveru.

Jak nastavím SPF pro více domén?

Pokud chceme autorizovat jiné domény k zasílání e-mailových zpráv jménem naší domény, uvedeme je hodnotou "include“V SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

To znamená, že e-mailové zprávy lze také odesílat z názvu naší domény na example1.com a example2.com.
Je to velmi užitečný záznam, pokud máme například jeden nakupovat Na adrese"example1.com“, Ale chceme, aby zprávy z internetového obchodu zákazníkům odcházely adresa domény společnosti, tato bytost"example.com„. v SPF TXT pro „example.com“, podle potřeby zadejte vedle adresy IP a „zahrnout: example1.com“. Aby bylo možné zasílat zprávy jménem organizace.

Jak nastavím SPF pro IPv4 a IPv6?

Máme poštovní server s oběma IPv4 a s IPv6, je velmi důležité, aby v SPF TXT byly uvedeny obě IP adresy.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Dále za "ip" direktiva "include„Přidat domény autorizované pro odesílání.

Co to znamená "~all","-all"A"+allO SPF?

Jak je uvedeno výše, poskytovatelé (ISP) mohou stále přijímat e-maily jménem vaší organizace, i když jsou odesílány z domény nebo IP adresy, která není specifikována v zásadách SPF. Značka "all" říká cílovým serverům, jak zacházet s těmito zprávami z jiných neautorizovaných domén a jak odesílat zprávy jménem vás nebo vaší organizace.

~all : Pokud je zpráva přijata z domény, která není uvedena v SPT TXT, budou zprávy přijaty na cílovém serveru, ale budou označeny jako spam nebo podezřelé. Budou podléhat antispamovým filtrům osvědčených postupů poskytovatele příjemce.

-all : Toto je nejpřísnější značka přidaná k záznamu SPF. Pokud doména není uvedena, bude zpráva označena jako neautorizovaná a bude poskytovatelem odmítnuta. Také nebude doručeno macve spamu.

+all : Tato značka se používá velmi zřídka a vůbec se nedoporučuje. Tato značka umožňuje ostatním posílat e-maily jménem vás nebo vaší organizace. Většina poskytovatelů automaticky odmítá všechny e-mailové zprávy, které přicházejí z domén s SPF TXT."+all“. Právě proto, že pravost odesílatele nelze ověřit, leda po kontrole „hlavičky emailu“.

Souhrn: Co znamená Sender Policy Framework (SPF)?

Autorizuje prostřednictvím zóny DNS TXT / SPF, IP adres a doménových jmen, které mohou odesílat e-mailové zprávy z vaší domény nebo společnosti. Platí také důsledky, které se vztahují na zprávy odeslané z neautorizovaných domén.

Co znamená DMARC a proč je důležitý pro váš e-mailový server?

DMARC (Hlášení a dodržování ověřování zpráv na základě domény) úzce souvisí s politickými normami SPF si rozšíření dkim.
DMARC je a validační systém určené k ochraně název vaší e-mailové domény nebo vaší společnosti, praktiky, jako je e-mail spoofing a phishingové podvody.

Pomocí standardů Sender Policy Framework (SPF) a Domain Keys Identified Mail (DKIM) přidává DMARC velmi důležitou funkci. zprávy.

Když vlastník domény publikuje DMARC v oblasti DNS TXT, získá informace o tom, kdo jeho jménem nebo společnosti, která vlastní doménu chráněnou SPF a DKIM, posílá e-mailové zprávy. Příjemci zpráv zároveň budou vědět, zda a jak tyto zásady dobré praxe sleduje vlastník odesílající domény.

Záznam DMARC v DNS TXT může být:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

V DMARC můžete nastavit více podmínek pro hlášení incidentů a e-mailové adresy pro analýzu a hlášení. Je vhodné používat vyhrazené e-mailové adresy pro DMARC, protože objem přijatých zpráv může být značný.

Značky DMARC lze nastavit podle zásad stanovených vámi nebo vaší organizací:

v - verze stávajícího protokolu DMARC.
p - použít tuto zásadu, když DMARC nelze ověřit pro e-mailové zprávy. Může mít hodnotu: „none","quarantine"Nebo"reject“. Se používá "none“, abyste získali zprávy o toku zpráv a stavu PINsora.
rua - Jedná se o seznam adres URL, na které mohou poskytovatelé internetových služeb zasílat zpětnou vazbu ve formátu XML. Pokud sem přidáme e-mailovou adresu, odkaz bude:rua=mailto:feedback@example.com".
ruf – Seznam adres URL, na které mohou poskytovatelé internetových služeb zasílat zprávy o kybernetických incidentech a zločinech spáchaných jménem vaší organizace. Adresa bude:ruf=mailto:account-email@for.example.com".
rf - Formát hlášení kybernetické kriminality. Dá se tvarovat"afrf"Nebo"iodef".
pct - Instruuje ISP, aby aplikoval politiku DMARC pouze pro určité procento neúspěšných zpráv. Můžeme mít například:pct=50%"Nebo zásady"quarantine"A"reject“. Nikdy to nebude přijato."none".
adkim – Zadejte „Zarovnání Mode” pro digitální podpisy DKIM. To znamená, že se kontroluje shoda digitálního podpisu položky DKIM s doménou. adkim může mít hodnoty: r (Relaxed) Nebo s (Strict).
aspf - Stejným způsobem jako v případě adkim Je zadáno "Zarovnání". Mode” pro SPF a podporuje stejné hodnoty. r (Relaxed) Nebo s (Strict).
sp – Tato zásada umožňuje subdoménám odvozeným od domény organizace používat hodnotu DMARC domény. Tím se vyhnete použití samostatných zásad pro každou oblast. Je to prakticky „divoká karta“ pro všechny subdomény.
ri - Tato hodnota nastavuje interval, ve kterém budou přijímány zprávy XML pro DMARC. Ve většině případů je vhodnější podávat zprávy denně.
fo - Možnosti pro zprávy o podvodech. “Forenzní options“. Mohou mít hodnoty „0“ pro hlášení incidentů, když ověření SPF i DKIM selže, nebo hodnotu „1“ pro scénář, kdy SPF nebo DKIM neexistuje nebo neprojde ověřením.

Proto, abyste zajistili, že vaše e-maily nebo e-maily vaší společnosti dorazí do vaší schránky, musíte zvážit tyto tři standardy.“osvědčené postupy pro odesílání e-mailů". rozšíření dkim, SPF si DMARC. Všechny tři standardy souvisí s DNS TXT a lze je spravovat ze správce DNS domény.

Věnovaný technologiím, s radostí píši na StealthSettings.com od roku 2006. Mám bohaté zkušenosti s operačními systémy: macOS, Windows a Linux, stejně jako s programovacími jazyky a platformami pro blogování (WordPress) a pro online obchody (WooCommerce, Magento, PrestaShop).

jak na to » Pozoruhodný » Jak nastavit zónu DNS TXT pro SPF, DKIM a DMARC a jak zabránit odmítnutí firemních e-mailových zpráv Gmailem - Doručování pošty se nezdařilo

1 myšlenka na „Jak nakonfigurovat zónu TXT DNS pro SPF, DKIM a DMARC a jak zabránit odmítnutí firemních e-mailových zpráv Gmailem – doručování pošty selhalo“

Zanechat komentář