DNS TXT -vyöhykkeen määrittäminen SPF:lle, DKIM:lle ja DMARC:lle ja kuinka estää Gmailin yrityssähköpostiviestien hylkääminen - Postin toimitus epäonnistui

Administratorii de vakava yksityinen sähköposti yrityksille se kohtaa usein monia ongelmia ja haasteita. Aalloista Roskapostista jotka on estettävä tietyillä suodattimilla, kirjeenvaihdon turvallisuus paikallisessa sähköpostipalvelimessa ja etäpalvelimissa, kokoonpano si SMTP-palvelujen seuranta, POP, IMAP, sekä paljon ja paljon muita yksityiskohtia SPF-, DKIM- ja DMARC-kokoonpano noudattaa parhaita käytäntöjä turvallisen sähköpostin lähettämiseksi.

Monta ongelmaa lähettää sähköpostiviestejä tai vastaanottaja palveluntarjoajillesi / palveluntarjoajiltasi, näkyvät alueen virheellisen määrityksen vuoksi DNS, entä sähköpostipalvelu.

Jotta sähköpostit voidaan lähettää verkkotunnuksen nimestä, sen on oltava isännöi sähköpostipalvelimella Oikein konfiguroitu ja verkkotunnuksen nimi, jolla on DNS-vyöhykkeet varten SPF, MX, DMARC SI DKIM asetettu oikein hallinnassa DNS TXT verkkotunnuksesta.

Tämän päivän artikkelissa keskitymme melko yleiseen ongelmaan yksityiset yrityssähköpostipalvelimet. Sähköpostin lähettäminen Gmailiin ei onnistu, Yahoo! tai iCloud.

@ Gmail.com -osoitteeseen lähetetyt viestit hylätään automaattisesti. "Postin toimitus epäonnistui: viesti palautetaan lähettäjälle"

Törmäsin äskettäin ongelmaan yrityksen sähköpostiverkkotunnus, josta lähetetään säännöllisesti sähköposteja muille yrityksille ja yksityishenkilöille, joista osalla on osoite @ gmail.com. Kaikki Gmail-tileille lähetetyt viestit palautettiin välittömästi lähettäjälle. "Postin toimitus epäonnistui: viesti palautetaan lähettäjälle".

Virheviesti palautettiin sähköpostipalvelimelle EXIM näyttää tältä:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

Tässä skenaariossa kyse ei ole jostain kovin vakavasta, kuten sisällytä lähettävän verkkotunnuksen nimi tai IP-osoite roskapostiluetteloon globaali tai o suuri konfigurointivirhe sähköpostipalveluista serverillä (EXIM).
Vaikka monet ihmiset näkevät tämän viestin heti, kun he ajattelevat roskapostia tai SMTP-määritysvirhettä, ongelman aiheuttaa alue. DNS TXT verkkotunnuksesta. Useimmiten DKIM:ää ei ole määritetty DNS-vyöhykkeellä tai sitä ei välitetä oikein toimialueen DNS-hallinnassa. Tätä ongelmaa käyttävät usein kohtaavat CloudFlare DNS Managerina ja unohda välittää DNS TXT: mail._domainkey (DKIM), DMARC si SPF.

Kuten Gmailin hylkäysviesti kertoo, lähettäjän verkkotunnuksen aitous ja todennus on epäonnistunut. "Tässä viestissä ei ole todennustietoja tai se ei \ n550-5.7.26 läpäise todennustarkistuksia. ” Tämä tarkoittaa, että toimialueella ei ole määritetty DNS TXT:tä varmistamaan vastaanottajan sähköpostipalvelimen uskottavuus. Gmail, käsikirjoituksessamme.

Kun lisäämme verkkotunnuksen, jossa on aktiivinen sähköpostipalvelu cPanelissa tai VestaCP:ssä, kyseisen toimialueen DNS-vyöhykkeen tiedostot luodaan automaattisesti. DNS-vyöhyke, joka sisältää sähköpostipalvelun määritykset: MX, SPF, DKIM, DMARC.
Tilanteessa, jossa valitsemme verkkotunnuksen johtajaksi DNS CloudFlare, verkkotunnuksen isännöintitilin DNS-alue on kopioitava CloudFlareen, jotta sähköpostin verkkotunnus toimii oikein. Tämä oli ongelma yllä olevassa skenaariossa. Kolmannen osapuolen DNS-hallinnassa DKIM-rekisteröintiä ei ole, vaikka se on olemassa paikallisen palvelimen DNS-hallinnassa.

Mikä on DKIM ja miksi sähköpostit hylätään, jos meillä ei ole tätä ominaisuutta sähköpostin verkkotunnuksessa?

DomainKeys-tunnistettu posti (DKIM) on tavallinen sähköpostin toimialueen todennusratkaisu, joka lisää a digitaaliset allekirjoitukset jokainen lähetetty viesti. Kohdepalvelimet voivat tarkistaa DKIM:n kautta, tuleeko viesti lähettäjän lain alueelta eikä toiselta toimialueelta, joka käyttää lähettäjän identiteettiä peitteenä. Kaikin puolin, jos sinulla on verkkotunnus abcdqwerty.com ilman DKIM:ää sähköposteja voidaan lähettää muilta palvelimilta käyttämällä verkkotunnustasi. Se on, jos haluat identiteettivarkauden, jota teknisesti kutsutaan sähköpostin huijausta.
Yleinen tekniikka sähköpostiviestien lähettämisessä Phishing si spam.

DKIM:n kautta voidaan myös varmistaa, että viestin sisältöä ei muutettu sen jälkeen, kun lähettäjä oli lähettänyt sen.

Kun DKIM on asetettu oikein sähköpostijärjestelmän tiukassa isännässä ja DNS-alueella, se eliminoi myös mahdollisuuden, että viestisi pääsevät roskapostiin vastaanottajalle tai eivät pääse ollenkaan.

Esimerkki DKIM:stä on:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Tietenkin DKIM-arvo, joka on saatu RSA-salausalgoritmi on yksilöllinen jokaiselle verkkotunnukselle ja se voidaan luoda uudelleen isännän sähköpostipalvelimelta.

Kun DKIM on asennettu ja asetettu oikein DNS TXT johtaja, on erittäin mahdollista ratkaista Gmail-tileille palautettujen viestien ongelma. Ainakin "Postin toimitus epäonnistui" -virheen osalta:

"SMTP error etäpostipalvelimelta tietojen liukuhihnan päätyttyä: 550-5.7.26 Tässä viestissä ei ole todennustietoja tai se ei \ n550-5.7.26 läpäise todennustarkistuksia. Käyttäjien suojaamiseksi roskapostilta \ n550-5.7.26 -viesti on estetty.

Lyhyesti yhteenvetona, DKIM lisää digitaalisen allekirjoituksen jokaiseen lähetettyyn viestiin, jonka avulla kohdepalvelimet voivat varmistaa lähettäjän aitouden. Jos viesti tuli yritykseltäsi ja kolmannen osapuolen osoitetta ei ole käytetty henkilöllisyytesi käyttämiseen.

gmail (Google) ehkä hylkää automaattisesti kaikki viestit tulevat toimialueilta, joilla ei ole tällaista DKIM-digitaalista semantiikkaa.

Mikä on SPF ja miksi se on tärkeää suojatun sähköpostin lähettämisen kannalta?

Aivan kuten DKIM ja SPF tavoitteena on estää phishing-viestejä si sähköpostin huijausta. Näin lähetettyjä viestejä ei enää merkitä roskapostiksi.

Lähettäjäkäytäntö (SPF) on standardimenetelmä sen toimialueen todentamiseksi, josta viestit lähetetään. SPF-merkinnät on asetettu arvoon TXT DNS-hallinta ja tämä merkintä määrittää verkkotunnuksen nimen, IP-osoitteen tai verkkotunnukset, jotka saavat lähettää sähköpostiviestejä käyttämällä sinun tai organisaatiosi toimialueen nimeä.

Verkkotunnus ilman SPF:ää voi antaa roskapostittajille mahdollisuuden lähettää sähköposteja muilta palvelimilta, käyttämällä verkkotunnustasi maskina. Tällä tavalla ne voivat levitä väärää tietoa tai arkaluonteisia tietoja voidaan pyytää organisaatiosi puolesta

Viestejä voidaan tietysti edelleen lähettää puolestasi muilta palvelimilta, mutta ne merkitään roskapostiksi tai hylätään, jos kyseistä palvelinta tai verkkotunnusta ei ole määritetty verkkotunnuksesi SPF TXT -merkinnässä.

SPF-arvo DNS-hallinnassa näyttää tältä:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Missä "ip4" on sähköpostipalvelimesi IPv4.

Kuinka asetan SPF:n useille verkkotunnuksille?

Jos haluamme valtuuttaa muut verkkotunnukset lähettämään sähköpostiviestejä verkkotunnuksemme puolesta, määritämme ne arvolla "include"SPF TXT:ssä:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Tämä tarkoittaa, että sähköpostiviestejä voidaan lähettää myös verkkotunnuksestamme osoitteisiin example1.com ja example2.com.
Se on erittäin hyödyllinen levy, jos meillä on esimerkiksi sellainen Shop Online osoitteessa"esimerkki1.fi", Haluamme kuitenkin, että verkkokaupan viestit asiakkaille lähtevät yrityksen verkkotunnuksen osoite, tämä olento"example.com”. Sisään SPF TXT "example.com" -kohdassa tarpeen mukaan IP-osoitteen ja "include: example1.com" vieressä. Jotta viestejä voidaan lähettää organisaation puolesta.

Kuinka asetan SPF:n IPv4:lle ja IPv6:lle?

Meillä on sähköpostipalvelin molemmilla IPv4 ja IPv6, on erittäin tärkeää, että molemmat IP-osoitteet on määritetty SPF TXT:ssä.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Seuraavaksi "ip":n jälkeen direktiivi "include”Lisättääksesi toimitukseen valtuutetut verkkotunnukset.

Mitä se tarkoittaa "~all","-all"Ja"+allSPF:stä?

Kuten edellä mainittiin, palveluntarjoajat (ISP) voivat silti vastaanottaa sähköpostiviestejä organisaatiosi puolesta, vaikka ne lähetettäisiin verkkotunnuksesta tai IP-osoitteesta, jota ei ole määritetty SPF-käytännössä. "Kaikki"-tunniste kertoo kohdepalvelimille, kuinka näitä viestejä tulee käsitellä muista luvattomista verkkotunnuksista ja lähettää viestejä sinun tai organisaatiosi puolesta.

~all : Jos viesti on vastaanotettu toimialueelta, jota ei ole mainittu SPT TXT:ssä, viestit hyväksytään kohdepalvelimella, mutta ne merkitään roskapostiksi tai epäilyttäväksi. Niihin sovelletaan vastaanottajan tarjoajan hyvän käytännön mukaisia ​​roskapostisuodattimia.

-all : Tämä on tiukin SPF-merkintään lisätty tunniste. Jos verkkotunnusta ei ole luettelossa, viesti merkitään luvattomaksi ja palveluntarjoaja hylkää sen. Sitä ei myöskään toimiteta macroskapostissa.

+all : Erittäin harvoin käytetty eikä ollenkaan suositeltavaa. Tämä tunniste sallii muiden lähettää sähköpostiviestejä sinun tai organisaatiosi puolesta. Useimmat palveluntarjoajat hylkäävät automaattisesti kaikki sähköpostiviestit, jotka tulevat verkkotunnuksista, joissa on SPF TXT."+all". Juuri siksi, että lähettäjän aitoutta ei voida varmistaa, paitsi "sähköpostin otsikon" tarkistuksen jälkeen.

Yhteenveto: Mitä SPF (Sender Policy Framework) tarkoittaa?

Valtuuttaa TXT / SPF DNS-vyöhykkeen kautta IP-osoitteet ja verkkotunnukset, jotka voivat lähettää sähköpostiviestejä verkkotunnuksestasi tai yrityksestäsi. Se koskee myös seurauksia, jotka koskevat luvattomista verkkotunnuksista lähetettyjä viestejä.

Mitä DMARC tarkoittaa ja miksi se on tärkeä sähköpostipalvelimellesi?

DMARC (Verkkotunnuspohjainen viestien todennuksen raportointi ja vaatimustenmukaisuus) liittyy läheisesti politiikkastandardeihin SPF si DKIM.
DMARC on a validointijärjestelmä suunniteltu suojaamaan sinun tai yrityksesi sähköpostin verkkotunnus, käytännöt, kuten sähköpostin huijaus ja phishing-huijauksia.

Käyttämällä SPF (Sender Policy Framework) ja Domain Keys Identified Mail (DKIM) -hallintastandardeja DMARC lisää erittäin tärkeän ominaisuuden. raportteja.

Kun verkkotunnuksen omistaja julkaisee DMARC:n DNS TXT -alueella, hän saa tietoa siitä, kuka lähettää sähköpostiviestejä hänen tai SPF:llä ja DKIM:llä suojatun toimialueen omistavan yrityksen puolesta. Samalla viestien vastaanottajat tietävät, valvooko ja miten lähettävän verkkotunnuksen omistaja näitä hyviä käytäntöjä.

DNS TXT:n DMARC-tietue voi olla:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

DMARCissa voit asettaa enemmän ehtoja tapahtumien raportoinnille ja sähköpostiosoitteita analysointia ja raportteja varten. DMARC:lle on suositeltavaa käyttää erityisiä sähköpostiosoitteita, koska vastaanotettujen viestien määrä voi olla huomattava.

DMARC-tunnisteet voidaan asettaa sinun tai organisaatiosi asettamien käytäntöjen mukaisesti:

v - versio olemassa olevasta DMARC-protokollasta.
p - Käytä tätä käytäntöä, kun DMARCia ei voida vahvistaa sähköpostiviesteille. Sillä voi olla arvo: "none","quarantine"Tai"reject". Käytetään "none”Saada raportteja viestien kulusta ja niiden tilasta.
rua - Se on luettelo URL-osoitteista, joista Internet-palveluntarjoajat voivat lähettää palautetta XML-muodossa. Jos lisäämme tähän sähköpostiosoitteen, linkki tulee olemaan:rua=mailto:feedback@example.com".
ruf - Luettelo URL-osoitteista, joille Internet-palveluntarjoajat voivat lähettää raportteja organisaatiosi puolesta tehdyistä tietoverkkotapauksista ja rikoksista. Osoite on:ruf=mailto:account-email@for.example.com".
rf - Tietoverkkorikosten raportointimuoto. Sitä voidaan muotoilla"afrf"Tai"iodef".
pct - Kehottaa Internet-palveluntarjoajaa soveltamaan DMARC-käytäntöä vain tietylle prosenttiosuudelle epäonnistuneista viesteistä. Meillä voi olla esimerkiksi:pct=50%"Tai käytännöt"quarantine"Ja"reject". Sitä ei koskaan hyväksytä."none".
adkim - Määrittää "Alignment Mode" DKIM-digitaalisille allekirjoituksille. Tämä tarkoittaa, että DKIM-merkinnän digitaalisen allekirjoituksen ja toimialueen vastaavuus tarkistetaan. adkim voi olla arvoja: r (Relaxed) Tai s (Strict).
aspf - Samalla tavalla kuin tapauksessa adkim "Alignment Mode" on määritetty SPF:lle ja tukee samoja arvoja. r (Relaxed) Tai s (Strict).
sp - Tämä käytäntö koskee organisaation toimialueesta johdettujen aliverkkotunnusten sallimista käyttää toimialueen DMARC-arvoa. Näin vältetään erillisten käytäntöjen käyttäminen kullekin alueelle. Se on käytännössä "jokerimerkki" kaikille aliverkkotunnuksille.
ri - Tämä arvo määrittää aikavälin, jolla XML-raportit vastaanotetaan DMARC:lle. Useimmissa tapauksissa päivittäinen raportointi on parempi.
fo - Vaihtoehdot petosilmoitusten tekemiseen. "oikeusopillinen options". Niillä voi olla arvot "0" raportoimaan tapauksista, joissa sekä SPF- että DKIM-vahvistus epäonnistuvat, tai arvo "1" skenaariolle, jossa SPF:ää tai DKIM:ää ei ole olemassa tai se ei läpäise vahvistusta.

Siksi, jotta voit varmistaa, että sinun tai yrityksesi sähköpostit saapuvat postilaatikkoosi, sinun on otettava huomioon nämä kolme standardia."parhaita käytäntöjä sähköpostien lähettämiseen". DKIM, SPF si DMARC. Kaikki kolme näistä standardeista ovat DNS TXT -standardeja ja voivat olla adminverkkotunnuksen DNS-hallinnasta.

Intohimoisesti tekniikan suhteen, haluan testata ja kirjoittaa opetusohjelmia käyttöjärjestelmistä macOS, Linux, Windows, noin WordPress, WooCommerce ja määritä LEMP-verkkopalvelimet (Linux, NGINX, MySQL ja PHP). kirjoitan eteenpäin StealthSettings.com vuodesta 2006 lähtien, ja muutama vuosi myöhemmin aloin kirjoittaa iHowTo.Tips-oppaita ja uutisia ekosysteemin laitteista Apple: iPhone, iPad, Apple Katso, HomePod, iMac, MacBook, AirPodit ja lisävarusteet.

Jätä kommentti