Kaip nustatyti DNS TXT zoną SPF, DKIM ir DMARC ir kaip neleisti, kad „Gmail“ atmestų verslo el. pašto žinutes – pašto pristatymas nepavyko

Administratorii de rimtas privatus el. paštas verslui ji dažnai susiduria su daugybe problemų ir iššūkių. Nuo bangų apie šlamštą kuriuos turi blokuoti specifiniai filtrai, korespondencijos apsauga vietiniame el. pašto serveryje ir nuotoliniuose serveriuose, konfigūracija si stebėti SMTP paslaugas, Pop, IMAP, plius daug daug kitų smulkmenų SPF, DKIM ir DMARC konfigūracija vadovautis geriausia saugaus el. pašto praktika.

Daug problemų siųsti el. pašto žinutes arba gavėjas į / iš jūsų teikėjų, atsiranda dėl neteisingos srities konfigūracijos DNS, o kaip el. pašto paslauga.

Kad el. laiškai būtų siunčiami iš domeno vardo, jis turi būti el. pašto serveryje Tinkamai sukonfigūruotas ir domeno vardą, kad būtų DNS zonosSPF, MX, DMARC SI DKIM teisingai nustatyti tvarkyklėje DNS TXT domeno.

Šiandienos straipsnyje mes sutelksime dėmesį į gana dažną problemą privatūs verslo el. pašto serveriai. Nepavyko išsiųsti el. pašto į Gmail, Yahoo! arba iCloud.

Į @ Gmail.com išsiųsti pranešimai automatiškai atmetami. "Pašto siunta nesėkminga: žinutė grąžinama siuntėjui"

Neseniai susidūriau su problema įmonės el. pašto domenas, iš kurios nuolat siunčiami el. laiškai kitoms įmonėms ir asmenims, kurių dalis turi adresus @ Gmail.com. Visos žinutės, išsiųstos į „Gmail“ paskyras, iškart grąžintos siuntėjui. "Pašto siunta nesėkminga: žinutė grąžinama siuntėjui".

Klaidos pranešimas grįžo į el. pašto serverį EXIM atrodo taip:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

Pagal šį scenarijų tai nėra kažkas labai rimto, pvz įtraukti siuntimo domeno pavadinimą arba siuntimo IP į SPAM sąrašą globalus arba o didelė konfigūracijos klaida pašto paslaugų serveryje (EXIM).
Net jei daugelis, pamatę šį pranešimą, iš karto pagalvoja apie SPAM arba SMTP konfigūracijos klaidą, problemą sukelia sritis. DNS TXT domeno. Dažniausiai DKIM nėra sukonfigūruotas DNS zonoje arba netinkamai perduodamas domeno DNS tvarkyklėje. Su šia problema dažnai susiduria tie, kurie ją naudoja CloudFlare kaip DNS valdytojas ir pamiršti perduoti DNS TXT: mail._domainkey (DKIM), DMARC si SPF.

Kaip nurodoma „Gmail“ atmetimo pranešime, nepavyko nustatyti siuntėjo domeno autentiškumo ir autentifikavimo. “Šiame pranešime nėra autentifikavimo informacijos arba \ n550-5.7.26 nepraeina autentifikavimo patikros. Tai reiškia, kad domene nėra sukonfigūruoto DNS TXT, kad būtų užtikrintas gavėjo el. pašto serverio patikimumas. Gmail, mūsų scenarijuje.

Kai „cPanel“ arba „VestaCP“ pridedame žiniatinklio domeną su aktyvia el. pašto paslauga, failai to domeno DNS zonoje sukuriami automatiškai. DNS zona, kurioje yra el. pašto paslaugos konfigūracija: MX, SPF, DKIM, DMARC.
Situacija, kai mes pasirenkame domeną būti valdytoju DNS „CloudFlare“, domeno prieglobos paskyros DNS sritis turi būti nukopijuota į „CloudFlare“, kad el. pašto domenas tinkamai veiktų. Tai buvo problema aukščiau pateiktame scenarijuje. Trečiosios šalies DNS tvarkyklėje DKIM registracijos nėra, nors ji yra vietinio serverio DNS tvarkyklėje.

Kas yra DKIM ir kodėl el. laiškai atmetami, jei el. pašto domene šios funkcijos neturime?

DomainKeys Identified Mail (DKIM) yra standartinis el. pašto domeno autentifikavimo sprendimas, kuris prideda a Skaitmeninis parašas kiekviena išsiųsta žinutė. Paskirties serveriai per DKIM gali patikrinti, ar pranešimas ateina iš siuntėjo teisės srities, o ne iš kito domeno, kuris naudoja siuntėjo tapatybę kaip kaukę. Pagal visas sąskaitas, jei turite domeną abcdqwerty.com be DKIM, el. laiškai gali būti siunčiami iš kitų serverių naudojant jūsų domeno pavadinimą. Tai yra, jei norite tapatybės vagystės, kuri technine prasme vadinama pašto klastojimas.
Įprasta technika siunčiant el. pašto žinutes phishing si apie šlamštą.

Taip pat per DKIM galima užtikrinti, kad žinutės turinys nebuvo pakeistas po to, kai jį išsiuntė siuntėjas.

Teisingai nustačius DKIM griežtame el. pašto sistemos pagrindiniame kompiuteryje ir DNS srityje, taip pat pašalinama galimybė, kad jūsų žinutės gali pasiekti gavėją SPAM arba nepasiekti iš viso.

DKIM pavyzdys yra:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Žinoma, DKIM vertė, gauta pagal RSA šifravimo algoritmas yra unikalus kiekvienam domeno vardui ir gali būti generuojamas iš pagrindinio kompiuterio el. pašto serverio.

Įdiegę ir tinkamai nustatę DKIM DNS TXT vadybininkas, labai įmanoma išspręsti į Gmail paskyras grąžinamų žinučių problemą. Bent jau klaidos „Pašto pristatymas nepavyko“ atveju:

„SMTP error iš nuotolinio pašto serverio pasibaigus duomenims: 550-5.7.26 Šiame pranešime nėra autentifikavimo informacijos arba \ n550-5.7.26 nepraeina autentifikavimo patikros. Siekiant geriausiai apsaugoti vartotojus nuo šlamšto, pranešimas \ n550-5.7.26 buvo užblokuotas.

Trumpai apibendrinant, DKIM prie kiekvieno išsiųsto pranešimo prideda skaitmeninį parašą, kuri leidžia paskirties serveriams patikrinti siuntėjo autentiškumą. Jei pranešimas atėjo iš jūsų įmonės ir trečiosios šalies adresas nebuvo naudojamas jūsų tapatybei naudoti.

"Gmail" (Google) galbūt automatiškai atmeta visus pranešimus ateina iš domenų, kurie neturi tokios DKIM skaitmeninės semantikos.

Kas yra SPF ir kodėl jis svarbus saugiam el. laiškų siuntimui?

Kaip ir DKIM, ir SPF siekiama užkirsti kelią sukčiavimo pranešimai si pašto klastojimas. Tokiu būdu išsiųsti pranešimai nebebus žymimi kaip šlamštas.

Siuntėjo politikos sistema (SPF) yra standartinis domeno, iš kurio siunčiami pranešimai, autentifikavimo metodas. SPF įrašai nustatyti į TXT DNS tvarkyklė jūsų domeno, ir šis įrašas nurodys domeno pavadinimą, IP arba domenus, kuriems leidžiama siųsti el. laiškus naudojant jūsų ar jūsų organizacijos domeno pavadinimą.

Domenas be SPF gali leisti šiukšlių siuntėjams siųsti el. laiškus iš kitų serverių, naudojant savo domeno vardą kaip kaukę. Tokiu būdu jie gali plisti melaginga informacija arba gali būti paprašyta jautrių duomenų jūsų organizacijos vardu

Žinoma, pranešimai vis tiek gali būti siunčiami jūsų vardu iš kitų serverių, tačiau jie bus pažymėti kaip šlamštas arba atmesti, jei to serverio arba domeno pavadinimas nenurodytas jūsų domeno SPF TXT įraše.

SPF reikšmė DNS tvarkyklėje atrodo taip:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Kur „ip4“ yra IPv4 jūsų el. pašto serveryje.

Kaip nustatyti SPF keliems domenams?

Jei norime įgalioti kitus domenus siųsti el. laiškus mūsų domeno vardu, nurodysime juos reikšme "includeSPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Tai reiškia, kad el. laiškai taip pat gali būti siunčiami iš mūsų domeno vardo į example1.com ir example2.com.
Tai labai naudingas įrašas, jei tokį turime Parduotuvė internete adresu"example1.com“, Tačiau norime, kad pranešimai iš internetinės parduotuvės klientams išeitų įmonės domeno adresą, ši būtybė"example.com“. Į SPF TXT „example.com“, kaip reikia nurodyti šalia IP ir „include: example1.com“. Kad būtų galima siųsti žinutes organizacijos vardu.

Kaip nustatyti IPv4 ir IPv6 SPF?

Mes turime pašto serverį su abiem IPv4 ir su IPv6, labai svarbu, kad abu IP būtų nurodyti SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Toliau po "ip" direktyva "include"Norėdami pridėti domenus, įgaliotus pristatyti.

Ką tai reiškia "~all","-all"Ir"+allIš SPF?

Kaip minėta pirmiau, paslaugų teikėjai (IPT) vis tiek gali gauti el. laiškus jūsų organizacijos vardu, net jei jie siunčiami iš domeno arba IP, kuris nenurodytas SPF politikoje. Žyma „visi“ nurodo paskirties serveriams, kaip tvarkyti šiuos pranešimus iš kitų neleistinų domenų ir siųsti pranešimus jūsų arba jūsų organizacijos vardu.

~all : Jei pranešimas gautas iš domeno, kuris nėra įtrauktas į SPT TXT, pranešimai bus priimti paskirties serveryje, tačiau jie bus pažymėti kaip šlamštas arba įtartini. Jiems bus taikomi gavėjo teikėjo geros praktikos anti-spam filtrai.

-all : Tai griežčiausia žyma, pridėta prie SPF įrašo. Jei domenas sąraše nėra, pranešimas bus pažymėtas kaip neteisėtas ir teikėjas jį atmes. Jis taip pat nebus pristatytas macšlamšte.

+all : Labai retai naudojama ir visai nerekomenduojama, ši žyma leidžia kitiems siųsti el. laiškus jūsų ar jūsų organizacijos vardu. Dauguma paslaugų teikėjų automatiškai atmeta visus el. pašto pranešimus, kurie ateina iš domenų su SPF TXT.+all“. Būtent todėl, kad siuntėjo autentiškumas negali būti patikrintas, nebent patikrinus el. pašto antraštę.

Santrauka: Ką reiškia siuntėjo politikos sistema (SPF)?

Įgalioja per TXT / SPF DNS zoną, IP ir domenų pavadinimus, kurie gali siųsti el. pašto pranešimus iš jūsų domeno ar įmonės. Taip pat taikomos pasekmės, kurios taikomos pranešimams, siunčiamiems iš neleistinų domenų.

Ką reiškia DMARC ir kodėl jis svarbus jūsų el. pašto serveriui?

DMARC (Domeno pranešimų autentifikavimo ataskaitos ir atitiktis) yra glaudžiai susijęs su politikos standartais SPF si DKIM.
DMARC yra a patvirtinimo sistema skirtas apsaugoti jūsų arba jūsų įmonės el. pašto domeno pavadinimas, tokia praktika kaip el. laiškų klastojimas ir sukčiavimo sukčiai.

Naudodamas siuntėjo politikos sistemą (SPF) ir domeno raktų identifikuotą paštą (DKIM) valdymo standartus, DMARC prideda labai svarbią funkciją. pranešimus.

Kai domeno savininkas paskelbia DMARC DNS TXT srityje, jis gaus informaciją apie tai, kas siunčia el. laiškus jo arba įmonės, kuriai priklauso SPF ir DKIM apsaugotas domenas, vardu. Tuo pačiu metu pranešimų gavėjai žinos, ar ir kaip šias geros praktikos taisykles stebi siuntimo domeno savininkas.

DMARC įrašas DNS TXT gali būti:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

DMARC galite nustatyti daugiau sąlygų pranešti apie incidentus ir el. pašto adresus analizei ir ataskaitoms. Patartina DMARC naudoti skirtus el. pašto adresus, nes gautų pranešimų kiekis gali būti didelis.

DMARC žymas galima nustatyti pagal jūsų arba jūsų organizacijos nustatytą politiką:

v - esamo DMARC protokolo versija.
p – taikyti šią politiką, kai DMARC negalima patvirtinti el. pašto žinutėms. Jis gali turėti tokią vertę: „none","quarantineArba "reject“. Yra naudojamas "none„Gauti ataskaitas apie pranešimų srautą ir jų būseną.
rua - Tai URL, apie kuriuos IPT gali siųsti atsiliepimus XML formatu, sąrašas. Jei čia pridėsime el. pašto adresą, nuoroda bus tokia:rua=mailto:feedback@example.com".
ruf – URL, kuriais interneto paslaugų teikėjai gali siųsti pranešimus apie jūsų organizacijos vardu įvykdytus kibernetinius incidentus ir nusikaltimus, sąrašas. Adresas bus toks:ruf=mailto:account-email@for.example.com".
rf - Pranešimo apie elektroninius nusikaltimus formatas. Jį galima formuoti"afrfArba "iodef".
pct - Nurodo IPT taikyti DMARC politiką tik tam tikram nepavykusių pranešimų procentui. Pavyzdžiui, galime turėti:pct=50%„Arba politika“quarantine"Ir"reject“. Tai niekada nebus priimta“.none".
adkim – Nurodomas DKIM skaitmeninių parašų lygiavimo režimas. Tai reiškia, kad tikrinamas DKIM įrašo su domenu skaitmeninis parašas. adkim gali turėti vertes: r (Relaxed) arba s (Strict).
aspf – Lygiai taip pat, kaip ir byloje adkim „Išlygiavimo režimas“ yra nurodytas SPF ir palaiko tas pačias reikšmes. r (Relaxed) arba s (Strict).
sp – Ši politika taikoma leidžiant iš organizacijos domeno išvestiems padomeniams naudoti domeno DMARC reikšmę. Taip išvengiama atskirų strategijų kiekvienai sričiai. Tai praktiškai visų subdomenų „pakaitalas“.
ri – Ši reikšmė nustato intervalą, per kurį bus gautos DMARC XML ataskaitos. Daugeliu atvejų pageidautina teikti ataskaitas kasdien.
fo - Sukčiavimo pranešimų parinktys. “Kriminalistika options“. Jie gali turėti reikšmes „0“, kad praneštų apie incidentus, kai nepavyksta SPF ir DKIM patvirtinimo, arba reikšmė „1“ scenarijui, kai SPF arba DKIM nėra arba jis nepraeina.

Todėl norėdami užtikrinti, kad jūsų ar jūsų įmonės el. laiškai pasiektų jūsų pašto dėžutę, turite atsižvelgti į šiuos tris standartus.el. laiškų siuntimo geriausia praktika". DKIM, SPF si DMARC. Visi trys šie standartai yra DNS TXT ir gali būti adminiš domeno DNS tvarkyklės.

Aistringai žiūri į technologijas, man patinka išbandyti ir rašyti pamokas apie operacines sistemas macOS, „Linux“, Windows, apie WordPress, WooCommerce ir sukonfigūruoti LEMP žiniatinklio serverius (Linux, NGINX, MySQL ir PHP). Rašau toliau StealthSettings.com nuo 2006 m., o po kelerių metų pradėjau rašyti „iHowTo.Tips“ mokymo programose ir naujienose apie įrenginius ekosistemoje. Apple: iPhone, „iPad“, Apple Žiūrėti, „HomePod“, iMac, MacBook, „AirPod“ ir priedai.

Palikite komentarą