Как настроить зону DNS TXT для SPF, DKIM и DMARC и как предотвратить отклонение служебных сообщений электронной почты Gmail — ошибка доставки почты

AdministratorII де серьезная частная электронная почта для бизнеса он часто сталкивается со многими проблемами и вызовами. Из волн СПАМ которые должны быть заблокированы специальными фильтрами, безопасность корреспонденции на локальном почтовом сервере и удаленных серверах, конфигурация si мониторинг SMTP-сервисов, POP, IMAP, а также много-много других деталей Конфигурация SPF, DKIM и DMARC чтобы следовать рекомендациям по безопасной электронной почте.

Много проблем отправлять сообщения электронной почты или грузополучатель к/от ваших провайдеров, появляются из-за неправильной настройки области DNS, что насчет службы электронной почты.

Чтобы электронные письма отправлялись с доменного имени, оно должно быть размещен на почтовом сервере Правильно настроенный и доменное имя с зонами DNS для SPF, MX, DMARC SI DKIM правильно настроить в диспетчере DNS TXT домена.

В сегодняшней статье речь пойдет о довольно распространенной проблеме частные корпоративные почтовые серверы. Не удается отправить электронное письмо в Gmail, Yahoo! или iCloud.

Сообщения, отправленные на @ Gmail.com, автоматически отклоняются. «Ошибка доставки почты: возврат сообщения отправителю»

Недавно я столкнулся с проблемой на почтовый домен компании, с которого регулярно отправляются электронные письма другим компаниям и частным лицам, некоторые из которых имеют адреса @ Gmail.com. Все сообщения, отправленные на учетные записи Gmail, немедленно возвращаются отправителю. "Ошибка доставки почты: возврат сообщения отправителю".

Сообщение об ошибке возвращено на сервер электронной почты Эксим выглядит так:

1nSeUV-0005zz-De ** [email protected] R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

В этом сценарии это не что-то очень серьезное, например включить отправляющее доменное имя или отправляющий IP-адрес в список спама глобальный или о основная ошибка конфигурации почтовых сервисов на сервере (Эксим).
Несмотря на то, что многие люди сразу же видят это сообщение, когда думают о СПАМе или ошибке конфигурации SMTP, проблема возникает в этой области. DNS TXT домена. В большинстве случаев DKIM не настроен в зоне DNS или неправильно передается в диспетчере DNS домена. С этой проблемой часто сталкиваются те, кто его использует. CloudFlare как DNS-менеджер и забудьте пройти DNS TXT: mail._domainkey (DKIM), DMARC si SPF.

Как сообщает нам сообщение об отказе Gmail, подлинность и аутентификация домена отправителя не удалась. “Это сообщение не содержит информации об аутентификации или \ n550-5.7.26 не проходит проверки аутентификации. ” Это означает, что в домене не настроен DNS TXT для обеспечения достоверности почтового сервера получателя. Gmail, в нашем скрипте.

Когда мы добавляем веб-домен с активной службой электронной почты на его cPanel VestaCP, файлы в зоне DNS соответствующего домена также создаются автоматически. Зона DNS, содержащая конфигурацию службы электронной почты: MX, SPF, DKIM, DMARC.
В ситуации, когда мы выбираем домен, чтобы быть менеджером CloudFlare DNS, область DNS учетной записи хостинга домена должна быть скопирована в CloudFlare, чтобы домен электронной почты работал правильно. Это была проблема в приведенном выше сценарии. В стороннем диспетчере DNS регистрации DKIM не существует, хотя она существует в диспетчере DNS локального сервера.

Что такое DKIM и почему электронные письма отклоняются, если у нас нет этой функции в почтовом домене?

DomainKeys Идентифицированная Почта (DKIM) — это стандартное решение для проверки подлинности домена электронной почты, которое добавляет цифровой подписи каждое отправленное сообщение. Целевые серверы могут проверить с помощью DKIM, исходит ли сообщение из правового домена отправителя, а не из другого домена, который использует личность отправителя в качестве маски. Судя по всему, если у вас есть домен ABCDqwerty.com без DKIM электронные письма могут отправляться с других серверов с использованием вашего доменного имени. Это если вы хотите кражу личных данных, что технически называется подделка электронной почты.
Распространенный прием при отправке сообщений электронной почты фишинг si спам.

С помощью DKIM также можно убедиться, что содержание сообщения не изменилось после его отправки отправителем.

Правильная установка DKIM на серьезном хосте системы электронной почты и в области DNS устраняет большую часть вероятности того, что ваши сообщения могут попасть в СПАМ к получателю или вообще не дойти.

Пример DKIM:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Конечно, значение DKIM, полученное Алгоритм шифрования RSA уникален для каждого доменного имени и может быть восстановлен с почтового сервера хоста.

Если DKIM установлен и правильно настроен в DNS TXT менеджер, вполне возможно решить проблему с сообщениями, возвращаемыми в учетные записи Gmail. По крайней мере, для ошибки «Ошибка доставки почты»:

«SMTP error с удаленного почтового сервера после конвейерного завершения данных: 550-5.7.26 Это сообщение не содержит информации для проверки подлинности или \ n550-5.7.26 не проходит проверку подлинности. Чтобы максимально защитить наших пользователей от спама, сообщение \n550-5.7.26 было заблокировано».

В качестве краткого резюме, DKIM добавляет цифровую подпись к каждому отправленному сообщению, что позволяет серверам назначения проверять подлинность отправителя. Если сообщение пришло от вашей компании и сторонний адрес не использовался для использования вашей личности.

Gmail (гугл) возможно автоматически отклоняет все сообщения поступающие с доменов, не имеющих такой цифровой семантики DKIM.

Что такое SPF и почему он важен для безопасной отправки электронной почты?

Так же, как DKIM, и SPF направлен на предотвращение фишинговые сообщения si подделка электронной почты. Таким образом, отправленные сообщения больше не будут помечаться как спам.

Структура политики отправителя (SPF) — это стандартный метод аутентификации домена, с которого отправляются сообщения. Записи SPF настроены на TXT DNS-менеджер вашего домена, и эта запись будет указывать доменное имя, IP-адрес или домены, которым разрешено отправлять сообщения электронной почты с использованием вашего доменного имени или имени вашей организации.

Домен без SPF может позволить спамерам отправлять электронные письма с других серверов, использование вашего доменного имени в качестве маски. Таким образом они могут распространяться ложная информация или могут быть запрошены конфиденциальные данные от имени вашей организации

Конечно, сообщения по-прежнему могут отправляться от вашего имени с других серверов, но они будут помечены как спам или отклонены, если имя этого сервера или домена не указано в записи SPF TXT вашего домена.

Значение SPF в диспетчере DNS выглядит следующим образом:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Где «ip4» — это IPv4 на вашем почтовом сервере.

Как установить SPF для нескольких доменов?

Если мы хотим разрешить другим доменам отправлять сообщения электронной почты от имени нашего домена, мы укажем их со значением "include«В SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Это означает, что сообщения электронной почты также можно отправлять с нашего доменного имени на адреса example1.com и example2.com.
Это очень полезная запись, если у нас есть, например, одна магазин По адресу "example1.com", но мы хотим, чтобы сообщения от интернет-магазина покупателям оставляли доменный адрес компании, это существо "example.com«. В СПФ ТХТ для «example.com» при необходимости указать рядом с IP и «include: example1.com». Чтобы сообщения можно было отправлять от имени организации.

Как установить SPF для IPv4 и IPv6?

У нас есть почтовый сервер с обоими IPv4 и с IPv6, очень важно, чтобы оба IP-адреса были указаны в SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Далее после "ip" директива "include”Чтобы добавить домены, авторизованные для доставки.

Что это значит "~all»,«-all"А"+allИз СПФ?

Как упоминалось выше, провайдеры (ISP) по-прежнему могут получать электронные письма от имени вашей организации, даже если они отправляются с домена или IP-адреса, не указанного в политике SPF. Тег «все» сообщает целевым серверам, как обрабатывать эти сообщения от других неавторизованных доменов и отправлять сообщения от вашего имени или от имени вашей организации.

~all : если сообщение получено с домена, который не указан в SPT TXT, сообщения будут приняты на целевом сервере, но будут помечены как спам или подозрительные. На них будут распространяться передовые методы антиспамовых фильтров поставщика-получателя.

-all : это самый строгий тег, добавляемый к записи SPF. Если домен отсутствует в списке, сообщение будет помечено как неавторизованное и будет отклонено провайдером. Его тоже не доставят macв спаме.

+all : Очень редко используется и вообще не рекомендуется. Этот тег позволяет другим отправлять электронные письма от вашего имени или имени вашей организации. Большинство провайдеров автоматически отклоняют все сообщения электронной почты, приходящие с доменов с SPF TXT».+all“. Именно потому, что подлинность отправителя невозможно проверить, кроме как после проверки «заголовка письма».

Резюме: Что означает структура политики отправителей (SPF)?

• Отключить и очистить кеш DNS - Windows 7, Виста и XP
• Использование альтернативных серверов DNS для ускорения загрузки веб-страниц
• Как мы можем изменить адрес DNS в OS X
• Как мы можем сбросить кэш DNS в OS X
• Увеличение скорости доступа к Интернет с помощью Google Public DNS

Авторизует через DNS-зону TXT/SPF, IP-адреса и доменные имена, которые могут отправлять сообщения электронной почты с вашего домена или компании. Он также применяет последствия, применимые к сообщениям, отправленным с неавторизованных доменов.

Что означает DMARC и почему это важно для вашего почтового сервера?

DMARC (Отчетность и соответствие аутентификации сообщений на основе домена) тесно связана со стандартами политики SPF si DKIM.
DMARC — это система проверки предназначен для защиты доменное имя вашей электронной почты или вашей компании, такие методы, как подделка электронной почты и фишинг.

Используя стандарты управления Sender Policy Framework (SPF) и Domain Keys Identified Mail (DKIM), DMARC добавляет очень важную функцию. отчеты.

Когда владелец домена публикует DMARC в области DNS TXT, он или она получает информацию о том, кто отправляет сообщения электронной почты от его имени или от имени компании, владеющей доменом, защищенным SPF и DKIM. В то же время получатели сообщений будут знать, отслеживаются ли эти передовые политики владельцем домена-отправителя и каким образом.

Запись DMARC в DNS TXT может быть:

V=DMARC1; rua=mailto:[email protected]; ruf=mailto:[email protected]; p=none; sp=none; fo=0;

В DMARC вы можете указать дополнительные условия для сообщения об инцидентах и ​​адреса электронной почты для анализа и отчетов. Рекомендуется использовать выделенные адреса электронной почты для DMARC, поскольку объем получаемых сообщений может быть значительным.

Теги DMARC могут быть установлены в соответствии с политикой, установленной вами или вашей организацией:

v - версия существующего протокола DMARC.
p - применять эту политику, когда DMARC не может быть проверен для сообщений электронной почты. Может иметь значение: «none»,«quarantine"Или"reject“. Используется "none», чтобы получать отчеты о потоке сообщений и статусе закрепленияsora.
rua - Это список URL-адресов, по которым интернет-провайдеры могут отправлять отзывы в формате XML. Если мы добавим адрес электронной почты здесь, ссылка будет:rua=mailto:[email protected]".
ruf - Список URL-адресов, по которым интернет-провайдеры могут отправлять отчеты о киберинцидентах и ​​преступлениях, совершенных от имени вашей организации. Адрес будет следующим:ruf=mailto:[email protected]».
rf - Формат сообщения о киберпреступности. Его можно формировать»afrf"Или"iodef».
pct - Инструктирует интернет-провайдера применять политику DMARC только для определенного процента ошибочных сообщений. Например, у нас может быть:pct=50%«Или политики»quarantine"А"reject“. Это никогда не будет принято».none».
adkim – Указать «Выравнивание Mode” для цифровых подписей DKIM. Это означает, что проверяется соответствие цифровой подписи DKIM-записи домену. adkim может иметь значения: r (Relaxed) или s (Strict).
aspf - Так же, как и в случае adkim "Выравнивание" указано Mode” для SPF и поддерживает те же значения. r (Relaxed) или s (Strict).
sp - Эта политика применяется, чтобы позволить поддоменам, производным от домена организации, использовать значение DMARC домена. Это позволяет избежать использования отдельных политик для каждой области. Это практически «шаблон» для всех поддоменов.
ri - Это значение задает интервал, с которым XML-отчеты будут получены для DMARC. В большинстве случаев предпочтительна ежедневная отчетность.
fo - Варианты отчетов о мошенничестве. “судебный options“. Они могут иметь значение «0» для сообщения об инцидентах, когда и проверка SPF, и DKIM не проходят проверку, или значение «1» для сценария, в котором SPF или DKIM не существует или не проходит проверку.

Поэтому, чтобы убедиться, что электронные письма вашей компании или вашей компании доходят до вашего почтового ящика, вам необходимо учитывать эти три стандарта».лучшие практики для отправки электронных писем». DKIM, SPF si DMARC. Все три стандарта связаны с DNS TXT и могут управляться из диспетчера DNS домена.