Πώς να ρυθμίσετε τη ζώνη DNS TXT για SPF, DKIM και DMARC και πώς να αποτρέψετε την απόρριψη επαγγελματικών μηνυμάτων ηλεκτρονικού ταχυδρομείου από το Gmail - Η παράδοση αλληλογραφίας απέτυχε

Administratorii από αυστηρό ιδιωτικό email για επιχειρήσεις συχνά αντιμετωπίζει πολλά προβλήματα και προκλήσεις. Από τα κύματα του SPAM που πρέπει να μπλοκάρονται από συγκεκριμένα φίλτρα, ασφάλεια αλληλογραφίας στον τοπικό διακομιστή ηλεκτρονικού ταχυδρομείου και στους απομακρυσμένους διακομιστές, διαμόρφωση si παρακολούθηση υπηρεσιών SMTP, ΚΡΌΤΟΣ, IMAP, συν πολλές και πολλές άλλες λεπτομέρειες Διαμόρφωση SPF, DKIM και DMARC να ακολουθεί τις βέλτιστες πρακτικές για ασφαλή αποστολή e-mail.

Πολλά προβλήματα αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου ή παραλήπτης προς / από τους παρόχους σας, εμφανίζονται λόγω εσφαλμένης διαμόρφωσης της περιοχής DNS, τι γίνεται με την υπηρεσία ηλεκτρονικού ταχυδρομείου.

Για να σταλούν email από όνομα τομέα, πρέπει να είναι φιλοξενείται σε διακομιστή email Σωστά διαμορφωμένο και όνομα τομέα για να έχει ζώνες DNS για παράγοντας προστασίας, MX, dMarc SI επέκταση dkim ρυθμιστεί σωστά στον διαχειριστή TXT DNS του τομέα.

Στο σημερινό άρθρο θα εστιάσουμε σε ένα αρκετά κοινό πρόβλημα διακομιστές email ιδιωτικών επιχειρήσεων. Δεν είναι δυνατή η αποστολή email στο Gmail, Yahoo! ή iCloud.

Τα μηνύματα που αποστέλλονται στο @ Gmail.com απορρίπτονται αυτόματα. "Η παράδοση του μηνύματος απέτυχε: Το μήνυμα επιστρέφεται στον αποστολέα"

Πρόσφατα αντιμετώπισα ένα πρόβλημα στο έναν τομέα ηλεκτρονικού ταχυδρομείου μιας εταιρείας, από το οποίο αποστέλλονται τακτικά μηνύματα ηλεκτρονικού ταχυδρομείου σε άλλες εταιρείες και σε ιδιώτες, ορισμένοι από τους οποίους έχουν διευθύνσεις @ gmail.com. Όλα τα μηνύματα που στάλθηκαν σε λογαριασμούς Gmail επέστρεψαν αμέσως στον αποστολέα. "Η παράδοση του μηνύματος απέτυχε: Το μήνυμα επιστρέφεται στον αποστολέα".

Το μήνυμα σφάλματος επέστρεψε στον διακομιστή ηλεκτρονικού ταχυδρομείου ΕΞ μοιάζει με αυτό:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

Σε αυτό το σενάριο δεν είναι κάτι πολύ σοβαρό, όπως π.χ συμπεριλάβετε το όνομα τομέα αποστολής ή την IP αποστολής σε μια λίστα SPAM παγκόσμια ή ο σημαντικό σφάλμα διαμόρφωσης των υπηρεσιών e-mail στο sevrer (ΕΞ).
Παρόλο που πολλοί άνθρωποι βλέπουν αυτό το μήνυμα αμέσως όταν σκέφτονται SPAM ή ένα σφάλμα διαμόρφωσης SMTP, το πρόβλημα δημιουργείται από την περιοχή. TXT DNS του τομέα. Τις περισσότερες φορές, το DKIM δεν έχει ρυθμιστεί στη ζώνη DNS ή δεν μεταβιβάζεται σωστά στη διαχείριση DNS του τομέα. Αυτό το πρόβλημα αντιμετωπίζεται συχνά από όσους το χρησιμοποιούν Cloudflare ως Διαχειριστής DNS και ξεχάστε να περάσετε TXT DNS: mail._domainkey (επέκταση dkim), dMarc si παράγοντας προστασίας.

Όπως μας λέει το μήνυμα απόρριψης του Gmail, η αυθεντικότητα και ο έλεγχος ταυτότητας του τομέα αποστολέα απέτυχε. "Αυτό το μήνυμα δεν έχει πληροφορίες ελέγχου ταυτότητας ή αποτυγχάνει \ n550-5.7.26 να περάσει τους ελέγχους ελέγχου ταυτότητας.» Αυτό σημαίνει ότι ο τομέας δεν έχει DNS TXT διαμορφωμένο ώστε να διασφαλίζει την αξιοπιστία του διακομιστή ηλεκτρονικού ταχυδρομείου του παραλήπτη. Gmail, στο σενάριο μας.

Όταν προσθέτουμε έναν τομέα web με μια ενεργή υπηρεσία ηλεκτρονικού ταχυδρομείου στο cPanel του VestaCP, τα αρχεία στη ζώνη DNS του αντίστοιχου τομέα δημιουργούνται επίσης αυτόματα. Ζώνη DNS που περιέχει τη διαμόρφωση της υπηρεσίας ηλεκτρονικού ταχυδρομείου: MX, παράγοντας προστασίας, επέκταση dkim, dMarc.
Στην περίπτωση που επιλέγουμε τον τομέα ως διαχειριστή CloudFlare DNS, η περιοχή DNS του λογαριασμού φιλοξενίας του τομέα πρέπει να αντιγραφεί στο CloudFlare για να λειτουργεί σωστά ο τομέας email. Αυτό ήταν το πρόβλημα στο παραπάνω σενάριο. Σε έναν διαχειριστή DNS τρίτου κατασκευαστή, η εγγραφή DKIM δεν υπάρχει, αν και υπάρχει στον διαχειριστή DNS του τοπικού διακομιστή.

Τι είναι το DKIM και γιατί τα email απορρίπτονται εάν δεν έχουμε αυτήν τη δυνατότητα σε έναν τομέα email;

DomainKeys αναγνωρισμένη αλληλογραφία (DKIM) είναι μια τυπική λύση ελέγχου ταυτότητας τομέα ηλεκτρονικού ταχυδρομείου που προσθέτει α ψηφιακή υπογραφή κάθε μήνυμα που αποστέλλεται. Οι διακομιστές προορισμού μπορούν να ελέγξουν μέσω του DKIM εάν το μήνυμα προέρχεται από τον νομικό τομέα του αποστολέα και όχι από άλλο τομέα που χρησιμοποιεί την ταυτότητα του αποστολέα ως μάσκα. Με όλους τους λογαριασμούς, εάν έχετε τον τομέα ABCDqwerty.com χωρίς DKIM, ενδέχεται να αποστέλλονται μηνύματα ηλεκτρονικού ταχυδρομείου από άλλους διακομιστές χρησιμοποιώντας το όνομα τομέα σας. Είναι αν θέλετε μια κλοπή ταυτότητας, που με τεχνικούς όρους ονομάζεται πλαστογράφηση email.
Μια κοινή τεχνική κατά την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου Phishing si το spam.

Μπορεί επίσης να διασφαλιστεί μέσω της DKIM ότι, το περιεχόμενο του μηνύματος δεν άλλαξε μετά την αποστολή του από τον αποστολέα.

Η σωστή ρύθμιση του DKIM στον αυστηρό κεντρικό υπολογιστή του συστήματος e-mail και στην περιοχή DNS εξαλείφει επίσης την πιθανότητα τα μηνύματά σας να φτάσουν SPAM στον παραλήπτη ή να μην φτάσουν καθόλου.

Ένα παράδειγμα DKIM είναι:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Φυσικά, η τιμή DKIM που λαμβάνεται από Αλγόριθμος κρυπτογράφησης RSA είναι μοναδικό για κάθε όνομα τομέα και μπορεί να αναδημιουργηθεί από τον διακομιστή ηλεκτρονικού ταχυδρομείου του κεντρικού υπολογιστή.

Έχοντας εγκαταστήσει και ρυθμιστεί σωστά το DKIM TXT DNS διαχειριστή, είναι πολύ πιθανό να επιλυθεί το ζήτημα των μηνυμάτων που επιστρέφονται στους λογαριασμούς Gmail. Τουλάχιστον για το σφάλμα "Αποτυχία παράδοσης αλληλογραφίας":

«SMTP error από απομακρυσμένο διακομιστή αλληλογραφίας μετά το τέλος των δεδομένων: 550-5.7.26 Αυτό το μήνυμα δεν έχει πληροφορίες ελέγχου ταυτότητας ή αποτυγχάνει \ n550-5.7.26 να περάσει τους ελέγχους ελέγχου ταυτότητας. Για την καλύτερη προστασία των χρηστών μας από ανεπιθύμητα μηνύματα, το μήνυμα \ n550-5.7.26 έχει αποκλειστεί.

Ως σύντομη ανακεφαλαίωση, Το DKIM προσθέτει μια ψηφιακή υπογραφή σε κάθε μήνυμα που αποστέλλεται, το οποίο επιτρέπει στους διακομιστές προορισμού να επαληθεύουν την αυθεντικότητα του αποστολέα. Εάν το μήνυμα προήλθε από την εταιρεία σας και η διεύθυνση τρίτου μέρους δεν χρησιμοποιήθηκε για τη χρήση της ταυτότητάς σας.

Gmail (Google) ίσως απορρίπτει αυτόματα όλα τα μηνύματα που προέρχονται από τομείς που δεν έχουν τέτοια ψηφιακή σημασιολογία DKIM.

Τι είναι το SPF και γιατί είναι σημαντικό για την ασφαλή αποστολή email;

Ακριβώς όπως το DKIM, και παράγοντας προστασίας στοχεύει στην πρόληψη μηνύματα ηλεκτρονικού ψαρέματος (phishing). si πλαστογράφηση email. Με αυτόν τον τρόπο, τα απεσταλμένα μηνύματα δεν θα επισημαίνονται πλέον ως ανεπιθύμητα.

Πλαίσιο πολιτικής αποστολέα (SPF) είναι μια τυπική μέθοδος ελέγχου ταυτότητας του τομέα από τον οποίο αποστέλλονται τα μηνύματα. Οι καταχωρίσεις SPF έχουν οριστεί σε Διαχείριση DNS TXT του τομέα σας και αυτή η καταχώριση θα καθορίσει το όνομα τομέα, την IP ή τους τομείς που επιτρέπεται να στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας το όνομα τομέα σας ή του οργανισμού σας.

Ένας τομέας χωρίς SPF μπορεί να επιτρέψει στους spammers να στέλνουν email από άλλους διακομιστές, χρησιμοποιώντας το όνομα τομέα σας ως μάσκα. Με αυτόν τον τρόπο μπορούν να εξαπλωθούν ψευδείς πληροφορίες ή ενδέχεται να ζητηθούν ευαίσθητα δεδομένα εκ μέρους του οργανισμού σας

Φυσικά, εξακολουθούν να μπορούν να σταλούν μηνύματα εκ μέρους σας από άλλους διακομιστές, αλλά θα επισημανθούν ως ανεπιθύμητα ή θα απορριφθούν εάν αυτός ο διακομιστής ή το όνομα τομέα δεν καθορίζεται στην καταχώριση SPF TXT του τομέα σας.

Μια τιμή SPF στον διαχειριστή DNS μοιάζει με αυτό:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Όπου "ip4" είναι το IPv4 στον διακομιστή email σας.

Πώς μπορώ να ορίσω το SPF για πολλούς τομείς;

Εάν θέλουμε να εξουσιοδοτήσουμε άλλους τομείς να στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου εκ μέρους του τομέα μας, θα τους προσδιορίσουμε με την τιμή "include"Σε SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Αυτό σημαίνει ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορούν επίσης να σταλούν από το όνομα τομέα μας στο example1.com και στο example2.com.
Είναι πολύ χρήσιμος δίσκος αν έχουμε για παράδειγμα έναν ψωνίσετε στη διεύθυνση "example1.com», αλλά θέλουμε να φύγουν τα μηνύματα από το ηλεκτρονικό κατάστημα προς τους πελάτες διεύθυνση τομέα της εταιρείας, αυτό είναι "example.com«. Σε SPF TXT για "example.com", όπως απαιτείται για να καθορίσετε δίπλα στο IP και "include: example1.com". Για να μπορούν να σταλούν μηνύματα εκ μέρους του οργανισμού.

Πώς μπορώ να ορίσω το SPF για IPv4 και IPv6;

Έχουμε διακομιστή αλληλογραφίας και με τα δύο IPv4 και με IPv6, είναι πολύ σημαντικό και οι δύο IP να καθορίζονται στο SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Στη συνέχεια, μετά το "ip" η οδηγία "include"Για να προσθέσετε τομείς εξουσιοδοτημένους για αποστολή.

Τι σημαίνει "~all","-all"Και"+allΤου SPF;

Όπως αναφέρθηκε παραπάνω, οι πάροχοι (ISP) εξακολουθούν να μπορούν να λαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου για λογαριασμό του οργανισμού σας, ακόμη και αν αποστέλλονται από έναν τομέα ή IP που δεν καθορίζεται στην πολιτική SPF. Η ετικέτα "όλα" λέει στους διακομιστές προορισμού πώς να χειρίζονται αυτά τα μηνύματα από άλλους μη εξουσιοδοτημένους τομείς και να στέλνουν μηνύματα εκ μέρους σας ή του οργανισμού σας.

~all : Εάν το μήνυμα ληφθεί από έναν τομέα που δεν αναφέρεται στο SPT TXT, τα μηνύματα θα γίνονται δεκτά στον διακομιστή προορισμού, αλλά θα επισημαίνονται ως ανεπιθύμητα ή ύποπτα. Θα υπόκεινται στα φίλτρα κατά των ανεπιθύμητων μηνυμάτων ορθής πρακτικής του παρόχου του παραλήπτη.

-all : Αυτή είναι η πιο αυστηρή ετικέτα που προστίθεται σε μια καταχώριση SPF. Εάν ο τομέας δεν περιλαμβάνεται στη λίστα, το μήνυμα θα επισημανθεί ως μη εξουσιοδοτημένο και θα απορριφθεί από τον πάροχο. Ούτε θα παραδοθεί macσε ανεπιθύμητη αλληλογραφία.

+all : Πολύ σπάνια χρησιμοποιείται και δεν συνιστάται καθόλου, αυτή η ετικέτα επιτρέπει σε άλλους να στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου εκ μέρους σας ή του οργανισμού σας. Οι περισσότεροι πάροχοι απορρίπτουν αυτόματα όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου που προέρχονται από τομείς με SPF TXT.+all". Ακριβώς επειδή δεν μπορεί να επαληθευτεί η αυθεντικότητα του αποστολέα, παρά μόνο μετά από έλεγχο «κεφαλίδας email».

Περίληψη: Τι σημαίνει Πλαίσιο Πολιτικής Αποστολέα (SPF);

• Απενεργοποίηση & εκκαθάριση προσωρινής μνήμης DNS - Windows 7, Vista & XP
• Χρησιμοποιήστε εναλλακτική διακομιστές DNS για ταχύτερη φόρτωση των ιστοσελίδων
• Πώς μπορούμε να αλλάξουμε τη διεύθυνση DNS στο OS X
• Πώς μπορούμε να επαναφέρετε τη μνήμη cache DNS στο OS X
• Αυξήστε την ταχύτητα περιήγησης στο Internet χρησιμοποιώντας το Google Public DNS

Εξουσιοδοτεί μέσω της ζώνης TXT / SPF DNS, διευθύνσεων IP και ονομάτων τομέα που μπορούν να στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου από τον τομέα ή την εταιρεία σας. Εφαρμόζει επίσης τις συνέπειες που ισχύουν για μηνύματα που αποστέλλονται από μη εξουσιοδοτημένους τομείς.

Τι σημαίνει DMARC και γιατί είναι σημαντικό για τον διακομιστή email σας;

dMarc (Αναφορά και συμμόρφωση ελέγχου ταυτότητας μηνυμάτων βάσει τομέα) συνδέεται στενά με τα πρότυπα πολιτικής παράγοντας προστασίας si επέκταση dkim.
Το DMARC είναι α σύστημα επικύρωσης σχεδιασμένο να προστατεύει το όνομα τομέα ηλεκτρονικού ταχυδρομείου σας ή της εταιρείας σας, πρακτικές όπως η πλαστογράφηση email και απάτες ηλεκτρονικού ψαρέματος.

Χρησιμοποιώντας τα πρότυπα ελέγχου Πλαίσιο Πολιτικής Αποστολέα (SPF) και Domain Keys Identified Mail (DKIM), το DMARC προσθέτει ένα πολύ σημαντικό χαρακτηριστικό. Αναφορές.

Όταν ένας κάτοχος τομέα δημοσιεύει το DMARC στην περιοχή DNS TXT, θα λάβει πληροφορίες σχετικά με το ποιος στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου εκ μέρους του ή της εταιρείας που κατέχει τον τομέα που προστατεύεται από SPF και DKIM. Ταυτόχρονα, οι παραλήπτες των μηνυμάτων θα γνωρίζουν εάν και πώς αυτές οι πολιτικές ορθής πρακτικής παρακολουθούνται από τον κάτοχο του τομέα αποστολής.

Μια εγγραφή DMARC στο DNS TXT μπορεί να είναι:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

Στο DMARC μπορείτε να θέσετε περισσότερες προϋποθέσεις για την αναφορά περιστατικών και διευθύνσεις ηλεκτρονικού ταχυδρομείου για ανάλυση και αναφορές. Συνιστάται να χρησιμοποιείτε αποκλειστικές διευθύνσεις ηλεκτρονικού ταχυδρομείου για το DMARC, καθώς ο όγκος των μηνυμάτων που λαμβάνονται μπορεί να είναι σημαντικός.

Οι ετικέτες DMARC μπορούν να οριστούν σύμφωνα με την πολιτική που επιβάλλεται από εσάς ή τον οργανισμό σας:

v - έκδοση του υπάρχοντος πρωτοκόλλου DMARC.
p - εφαρμόστε αυτήν την πολιτική όταν το DMARC δεν μπορεί να επαληθευτεί για μηνύματα ηλεκτρονικού ταχυδρομείου. Μπορεί να έχει την αξία: "none","quarantine"Sau"reject". Χρησιμοποιείται "none” για να λαμβάνετε αναφορές σχετικά με τη ροή μηνυμάτων και την κατάσταση καρφιτσώματοςsora.
rua - Είναι μια λίστα διευθύνσεων URL στις οποίες οι ISP μπορούν να στείλουν σχόλια σε μορφή XML. Εάν προσθέσουμε τη διεύθυνση ηλεκτρονικού ταχυδρομείου εδώ, ο σύνδεσμος θα είναι:rua=mailto:feedback@example.com".
ruf - Η λίστα των διευθύνσεων URL στις οποίες οι πάροχοι υπηρεσιών Διαδικτύου μπορούν να στέλνουν αναφορές περιστατικών στον κυβερνοχώρο και εγκλημάτων που διαπράχθηκαν για λογαριασμό του οργανισμού σας. Η διεύθυνση θα είναι:ruf=mailto:account-email@for.example.com".
rf - Μορφή αναφοράς εγκλήματος στον κυβερνοχώρο. Μπορεί να διαμορφωθεί"afrf"Sau"iodef".
pct - Υποδεικνύει στον ISP να εφαρμόσει την πολιτική DMARC μόνο για ένα ορισμένο ποσοστό αποτυχημένων μηνυμάτων. Για παράδειγμα, μπορεί να έχουμε:pct=50%"Ή πολιτικές"quarantine"Και"reject". Δεν θα γίνει ποτέ αποδεκτό».none".
adkim – Καθορίστε «Ευθυγράμμιση Mode” για ψηφιακές υπογραφές DKIM. Αυτό σημαίνει ότι ελέγχεται η αντιστοίχιση της ψηφιακής υπογραφής μιας καταχώρισης DKIM με τον τομέα. adkim μπορεί να έχει τις τιμές: r (Relaxed) ή s (Strict).
aspf - Με τον ίδιο τρόπο όπως στην περίπτωση adkim Καθορίζεται η "Στοίχιση". Mode” για SPF και υποστηρίζει τις ίδιες τιμές. r (Relaxed) ή s (Strict).
sp - Αυτή η πολιτική ισχύει για να επιτρέπεται στους υποτομείς που προέρχονται από τον τομέα οργανισμού να χρησιμοποιούν την τιμή DMARC του τομέα. Αυτό αποφεύγει τη χρήση ξεχωριστών πολιτικών για κάθε περιοχή. Είναι πρακτικά ένας «μπαλαντέρ» για όλους τους υποτομείς.
ri - Αυτή η τιμή ορίζει το διάστημα στο οποίο θα λαμβάνονται οι αναφορές XML για το DMARC. Τις περισσότερες φορές, η αναφορά είναι προτιμότερη σε καθημερινή βάση.
fo - Επιλογές για αναφορές απάτης. "Δικανικός options". Μπορεί να έχουν τιμές "0" για να αναφέρουν περιστατικά όταν αποτυγχάνουν τόσο η επαλήθευση SPF όσο και η επαλήθευση DKIM ή την τιμή "1" για το σενάριο όπου το SPF ή το DKIM δεν υπάρχει ή δεν περνά την επαλήθευση.

Επομένως, για να διασφαλίσετε ότι τα e-mail σας ή της εταιρείας σας φτάνουν στα εισερχόμενά σας, πρέπει να λάβετε υπόψη αυτά τα τρία πρότυπα.βέλτιστες πρακτικές για την αποστολή email". επέκταση dkim, παράγοντας προστασίας si dMarc. Και τα τρία αυτά πρότυπα ανήκουν στο DNS TXT και μπορούν να διαχειρίζονται από τον διαχειριστή DNS του τομέα.