Jak skonfigurować strefę DNS TXT dla SPF, DKIM i DMARC oraz jak zapobiegać odrzucaniu firmowych wiadomości e-mail przez Gmaila — dostarczanie poczty nie powiodło się

AdministratorII de poważny prywatny e-mail dla biznesu często boryka się z wieloma problemami i wyzwaniami. Z fal SPAM które muszą być blokowane przez określone filtry, bezpieczeństwo korespondencji na lokalnym serwerze pocztowym i serwerach zdalnych, konfiguracja si monitorowanie usług SMTP, MUZYKA POP, IMAP, plus wiele, wiele innych szczegółów Konfiguracja SPF, DKIM i DMARC przestrzegać najlepszych praktyk dotyczących bezpiecznego wysyłania wiadomości e-mail.

Dużo problemów wysyłaj wiadomości e-mail lub konsygnatariusz do / od Twoich dostawców, pojawiają się z powodu nieprawidłowej konfiguracji obszaru DNS, a co z usługą e-mail.

Aby e-maile były wysyłane z nazwy domeny, musi ona być: hostowane na serwerze pocztowym Prawidłowo skonfigurowany i nazwa domeny, aby mieć strefy DNS dla SPF, MX, DMARC SI DKIM ustawione poprawnie w managerze TXT DNS domeny.

W dzisiejszym artykule skupimy się na dość powszechnym problemie prywatne serwery firmowej poczty e-mail. Nie można wysłać wiadomości e-mail do Gmaila, Yahoo! lub iCloud.

Wiadomości wysłane na adres @Gmail.com są automatycznie odrzucane. "Dostarczenie wiadomości nie powiodło się: wiadomość zostanie zwrócona nadawcy"

Ostatnio napotkałem problem na domena e-mail firmy, z którego regularnie wysyłane są e-maile do innych firm i osób fizycznych, z których część posiada adresy @ Gmail.com. Wszystkie wiadomości wysłane na konta Gmail natychmiast wróciły do ​​nadawcy. "Dostarczenie wiadomości nie powiodło się: wiadomość zostanie zwrócona nadawcy".

Wiadomość o błędzie zwrócona na serwer e-mail w dniu EXIM wygląda tak:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

W tym scenariuszu nie jest to coś bardzo poważnego, takiego jak dołącz nazwę domeny wysyłającej lub adres IP wysyłającego na liście SPAM globalny lub wyłączony poważny błąd konfiguracji usług pocztowych na serwerze (EXIM).
Mimo że wiele osób widzi ten komunikat natychmiast, gdy pomyślą o SPAM lub błędzie konfiguracji SMTP, problem jest generowany przez obszar. TXT DNS domeny. W większości przypadków DKIM nie jest skonfigurowany w strefie DNS lub nie jest prawidłowo przekazywany w menedżerze DNS domeny. Ten problem często występuje u tych, którzy go używają CloudFlare jako DNS Manager i zapomnij przejść TXT DNS: mail._domainkey (DKIM), DMARC si SPF.

Jak informuje nas wiadomość z Gmaila o odrzuceniu, autentyczność i uwierzytelnianie domeny nadawcy nie powiodło się. “Ta wiadomość nie zawiera informacji uwierzytelniających lub nie przechodzi \ n550-5.7.26 testów uwierzytelniających”. Oznacza to, że domena nie ma skonfigurowanego DNS TXT, aby zapewnić wiarygodność serwera e-mail odbiorcy. Gmail w naszym skrypcie.

Gdy dodamy domenę internetową z aktywną usługą e-mail na jej cPanel VestaCP, pliki w obszarze DNS odpowiedniej domeny są również tworzone automatycznie. Strefa DNS obejmująca konfigurację usługi e-mail: MX, SPF, DKIM, DMARC.
W sytuacji, gdy wybieramy domenę na zarządcę DNS CloudFlare, obszar DNS konta hostingowego domeny musi zostać skopiowany do CloudFlare, aby domena poczty e-mail działała poprawnie. To był problem w powyższym scenariuszu. W menedżerze DNS innej firmy rejestracja DKIM nie istnieje, chociaż istnieje w menedżerze DNS serwera lokalnego.

Co to jest DKIM i dlaczego e-maile są odrzucane, jeśli nie mamy tej funkcji w domenie poczty e-mail?

Zidentyfikowana poczta DomainKeys (DKIM) to standardowe rozwiązanie do uwierzytelniania domeny poczty e-mail, które dodaje podpisy cyfrowe każdą wysłaną wiadomość. Serwery docelowe mogą sprawdzać za pośrednictwem DKIM, czy wiadomość pochodzi z domeny prawnej nadawcy, a nie z innej domeny, która używa tożsamości nadawcy jako maski. Na wszystkich kontach, jeśli masz domenę abcdqwerty.com bez DKIM e-maile mogą być wysyłane z innych serwerów przy użyciu Twojej nazwy domeny. To jest, jeśli chcesz kradzieży tożsamości, co w terminologii technicznej nazywa się podszywanie się pod e-maile.
Powszechna technika wysyłania wiadomości e-mail phishing si spam.

DKIM może również zapewnić, że: treść wiadomości nie uległa zmianie po jej wysłaniu przez nadawcę.

Prawidłowe ustawienie DKIM na ścisłym hoście systemu pocztowego oraz w obszarze DNS eliminuje również możliwość, że Twoje wiadomości dotrą do odbiorcy jako SPAM lub w ogóle nie dotrą.

Przykładem DKIM jest:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Oczywiście wartość DKIM uzyskana przez Algorytm szyfrowania RSA jest unikalny dla każdej nazwy domeny i może zostać wygenerowany z serwera poczty e-mail hosta.

Posiadanie DKIM zainstalowanego i poprawnie ustawionego w TXT DNS menedżera, bardzo możliwe jest rozwiązanie problemu wiadomości zwracanych na konta Gmail. Przynajmniej w przypadku błędu „Dostarczanie poczty nie powiodło się”:

„SMTP error ze zdalnego serwera pocztowego po zakończeniu przesyłania danych w potoku: 550-5.7.26 Ta wiadomość nie zawiera informacji uwierzytelniających lub nie przechodzi testów uwierzytelniania \ n550-5.7.26. Aby jak najlepiej chronić naszych użytkowników przed spamem, wiadomość \ n550-5.7.26 została zablokowana.”

W skrócie, DKIM dodaje podpis cyfrowy do każdej wysłanej wiadomości, który umożliwia serwerom docelowym weryfikację autentyczności nadawcy. Jeśli wiadomość pochodziła z Twojej firmy, a adres strony trzeciej nie został użyty w celu wykorzystania Twojej tożsamości.

gmail (Google) może automatycznie odrzuca wszystkie wiadomości pochodzących z domen, które nie mają takiej cyfrowej semantyki DKIM.

Co to jest SPF i dlaczego jest ważny dla bezpiecznego wysyłania e-maili?

Podobnie jak DKIM i SPF ma na celu zapobieganie wiadomości phishingowe si podszywanie się pod e-maile. W ten sposób wysłane wiadomości nie będą już oznaczane jako spam.

Zasady dotyczące nadawców (SPF) to standardowa metoda uwierzytelniania domeny, z której wysyłane są wiadomości. Wpisy SPF są ustawione na Menedżer DNS TXT Twojej domeny, a ten wpis określi nazwę domeny, adres IP lub domeny, które mogą wysyłać wiadomości e-mail przy użyciu nazwy domeny Twojej lub Twojej organizacji.

Domena bez SPF może umożliwić spamerom wysyłanie wiadomości e-mail z innych serwerów, używanie nazwy domeny jako maski. W ten sposób mogą się rozprzestrzeniać nieprawdziwa informacja lub dane wrażliwe mogą być wymagane w imieniu Twojej organizacji

Oczywiście wiadomości nadal mogą być wysyłane w Twoim imieniu z innych serwerów, ale zostaną one oznaczone jako spam lub odrzucone, jeśli ten serwer lub nazwa domeny nie zostanie określona we wpisie SPF TXT Twojej domeny.

Wartość SPF w menedżerze DNS wygląda tak:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Gdzie „ip4” to IPv4 na twoim serwerze pocztowym.

Jak ustawić SPF dla wielu domen?

Jeśli chcemy upoważnić inne domeny do wysyłania wiadomości e-mail w imieniu naszej domeny, określimy je wartością "include”W TXT SPF:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Oznacza to, że wiadomości e-mail mogą być również wysyłane z naszej domeny do example1.com i example2.com.
Jest to bardzo przydatny zapis, jeśli mamy na przykład taki sklep Na adres "example1.com„Ale chcemy, aby wiadomości ze sklepu internetowego do klientów wychodziły adres domeny firmy, to jest "example.com„. W SPF TXT dla „example.com”, w razie potrzeby określ obok adresu IP i „include: example1.com”. Aby wiadomości mogły być wysyłane w imieniu organizacji.

Jak ustawić SPF dla IPv4 i IPv6?

Mamy serwer pocztowy z obydwoma IPv4 oraz IPv6, bardzo ważne jest, aby oba adresy IP zostały określone w SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Następnie po "ip" dyrektywa "include„Aby dodać domeny autoryzowane do wysyłki.

Co to znaczy "~all","-all"A"+allSPF?

Jak wspomniano powyżej, dostawcy usług internetowych (ISP) mogą nadal odbierać wiadomości e-mail w imieniu Twojej organizacji, nawet jeśli są one wysyłane z domeny lub adresu IP, które nie są określone w zasadach SPF. Tag „all” informuje serwery docelowe, jak obsługiwać te wiadomości z innych nieautoryzowanych domen i wysyłać wiadomości w imieniu Ciebie lub Twojej organizacji.

~all : Jeśli wiadomość zostanie odebrana z domeny, która nie jest wymieniona w SPF TXT, wiadomości zostaną zaakceptowane na serwerze docelowym, ale zostaną oznaczone jako spam lub podejrzane. Będą one podlegać najlepszym praktykom filtrów antyspamowych dostawcy odbiorcy.

-all : To jest najbardziej rygorystyczny tag dodany do wpisu SPF. Jeśli domeny nie ma na liście, wiadomość zostanie oznaczona jako nieautoryzowana i zostanie odrzucona przez dostawcę. To również nie zostanie dostarczone macw spamie.

+all : Bardzo rzadko używany i wcale nie zalecany, ten tag umożliwia innym wysyłanie wiadomości e-mail w imieniu Ciebie lub Twojej organizacji. Większość dostawców automatycznie odrzuca wszystkie wiadomości e-mail, które pochodzą z domen z SPF TXT.”+all“. Właśnie dlatego, że nie można zweryfikować autentyczności nadawcy, z wyjątkiem sprawdzenia „nagłówka wiadomości e-mail”.

Streszczenie: Co oznacza struktura zasad nadawcy (SPF)?

Autoryzuje poprzez strefę DNS TXT/SPF, adresy IP i nazwy domen, które mogą wysyłać wiadomości e-mail z Twojej domeny lub firmy. Dotyczy to również konsekwencji, które dotyczą wiadomości wysyłanych z nieautoryzowanych domen.

Co oznacza DMARC i dlaczego jest ważne dla Twojego serwera pocztowego?

DMARC (Raportowanie i zgodność uwierzytelniania wiadomości w domenie) jest ściśle powiązany ze standardami polityki SPF si DKIM.
DMARC to system walidacji przeznaczony do ochrony nazwa domeny e-mail Twojej lub Twojej firmy, praktyki takie jak podszywanie się pod e-maile i oszustwa phishingowe.

Korzystając ze standardów kontroli Sender Policy Framework (SPF) i Domain Keys Identified Mail (DKIM), DMARC dodaje bardzo ważną funkcję. raporty.

Gdy właściciel domeny opublikuje DMARC w obszarze DNS TXT, uzyska informacje o tym, kto wysyła wiadomości e-mail w jego imieniu lub firmie będącej właścicielem domeny chronionej przez SPF i DKIM. Jednocześnie odbiorcy wiadomości będą wiedzieć, czy i jak te zasady najlepszych praktyk są monitorowane przez właściciela domeny wysyłającej.

Rekord DMARC w DNS TXT może mieć postać:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

W DMARC możesz umieścić więcej warunków zgłaszania incydentów oraz adresy e-mail do analiz i raportów. Wskazane jest korzystanie z dedykowanych adresów e-mail dla DMARC, ponieważ ilość otrzymywanych wiadomości może być znaczna.

Tagi DMARC można ustawić zgodnie z polityką narzuconą przez Ciebie lub Twoją organizację:

v - wersja istniejącego protokołu DMARC.
p - zastosuj tę zasadę, gdy nie można zweryfikować DMARC dla wiadomości e-mail. Może mieć wartość: „none","quarantine"Lub"reject“. Jest używany "none„Aby uzyskać raporty dotyczące przepływu i statusu wiadomości.
rua - Jest to lista adresów URL, na które dostawcy usług internetowych mogą przesyłać informacje zwrotne w formacie XML. Jeśli dodamy tutaj adres e-mail, link będzie wyglądał następująco:rua=mailto:feedback@example.com".
ruf - Lista adresów URL, na które dostawcy usług internetowych mogą wysyłać raporty o incydentach cybernetycznych i przestępstwach popełnionych w imieniu Twojej organizacji. Adres będzie następujący:ruf=mailto:account-email@for.example.com".
rf - Format zgłaszania cyberprzestępczości. Można go kształtować”afrf"Lub"iodef".
pct — Instruuje dostawcę usług internetowych, aby zastosował zasady DMARC tylko do określonego procentu nieudanych wiadomości. Na przykład możemy mieć:pct=50%„Lub zasady”quarantine"A"reject“. To nigdy nie zostanie zaakceptowane ”.none".
adkim - Określa „Tryb wyrównania” dla podpisów cyfrowych DKIM. Oznacza to, że sprawdzany jest podpis cyfrowy wpisu DKIM z domeną. adkim może mieć wartości: r (Relaxed) lub s (Strict).
aspf - Tak samo jak w przypadku adkim „Tryb wyrównania” jest określony dla SPF i obsługuje te same wartości. r (Relaxed) lub s (Strict).
sp — Ta zasada ma zastosowanie do zezwalania subdomeniom pochodzącym z domeny organizacji na używanie wartości DMARC domeny. Pozwala to uniknąć stosowania oddzielnych zasad dla każdego obszaru. Jest to praktycznie „wildcard” dla wszystkich subdomen.
ri — Ta wartość określa interwał, w jakim będą odbierane raporty XML dla DMARC. W większości przypadków preferowane jest codzienne raportowanie.
fo - Opcje raportów o oszustwach. “Kryminalistyka options“. Mogą mieć wartości „0”, aby zgłaszać incydenty, gdy weryfikacja zarówno SPF, jak i DKIM nie powiedzie się, lub wartość „1” dla scenariusza, w którym SPF lub DKIM nie istnieje lub nie przejdzie weryfikacji.

Dlatego, aby mieć pewność, że e-maile Twoje lub Twojej firmy dotrą do Twojej skrzynki odbiorczej, musisz wziąć pod uwagę te trzy standardy.”najlepsze praktyki dotyczące wysyłania e-maili". DKIM, SPF si DMARC. Wszystkie trzy z tych standardów to DNS TXT i mogą być adminz menedżera DNS domeny.

jak » godny uwagi » Jak skonfigurować strefę DNS TXT dla SPF, DKIM i DMARC oraz jak zapobiegać odrzucaniu firmowych wiadomości e-mail przez Gmaila — dostarczanie poczty nie powiodło się

Pasjonat technologii, lubię testować i pisać tutoriale o systemach operacyjnych macOS, Linux, Windows, o WordPress, WooCommerce i konfigurowanie serwerów WWW LEMP (Linux, NGINX, MySQL i PHP). piszę dalej StealthSettings.com od 2006 roku, a kilka lat później zacząłem pisać na iHowTo.Tips tutoriale i newsy o urządzeniach w ekosystemie Apple: iPhoneiPad, Apple Oglądaj, HomePod, iMac, MacBook, AirPods i akcesoria.

Zostaw komentarz