Správci vážný soukromý e-mail pro podnikání často čelí mnoha problémům a výzvám. Z vln SPAM které musí být blokovány konkrétními filtry, korespondenční zabezpečení na místním e-mailovém serveru a vzdálených serverech, Konfigurace a sledování služeb SMTP, Pop, IMAP, plus mnoho a mnoho dalších podrobností Konfigurace SPF, DKIM a DMARC dodržovat osvědčené postupy pro odesílání bezpečných e-mailových zpráv.

Mnoho problémů odesílání e-mailových zpráv nebo příjemce do / od vašich poskytovatelů, se objevují kvůli nesprávné konfiguraci oblasti DNS, co e-mailová služba.

Aby mohly být e-maily odesílány z názvu domény, musí být hostované na poštovním serveru správně nakonfigurovaný a název domény musí mít zóny DNS pro Spf, MX, DMARC A DKIM správně nastaveno ve správci DNS TXT domény.

V dnešním článku se zaměříme na docela častý problém soukromé e-mailové servery pro firmy. Neschopnost odesílat e-mailové zprávy na účty Gmail, Yahoo! nebo iCloud.

Zprávy odeslané na @Gmail.com jsou automaticky odmítnuty. “Doručení pošty se nezdařilo: zpráva se vrací odesílateli”

Am intalnit recent o problema pe un domeniu de e-mail al unei companii, de pe care se expediaza regulat mesaje e-mail catre alte companii si catre persoane fizice, unele dintre acestea avand adrese @gmail.com. Toate mesajele expediate catre conturile de Gmail reveneau imediat la expeditor. “Doručení pošty se nezdařilo: zpráva se vrací odesílateli”.

Mesajul de eroare returnat in serverul de e-mail pe Exim arata in felul urmator:

1nSeUV-0005zz-De ** [email protected] R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

In acest scenariu nu este ceva foarte grav, cum ar fi includerea numelui de domeniu expeditor sau IP expeditor intr-o lista de SPAM globala sau o eroare majora de configuratie a serviciilor de e-mail pe sevrer (Exim).
Chiar daca multi cand vad acest mesaj se duc cu gandul imediat la SPAM sau o la eroare de configurare SMTP, problema este generata de zona DNS TXT a domeniului. De cele mai multe ori, DKIM nu exista configurat in zona DNS sau nu este trecut corect in managerul DNS al domeniul. Des intalnita aceasta problema la cei care folosesc Cloudflare ca DNS Manager si uita sa treaca DNS TXT: mail._domainkey (DKIM), DMARC a Spf.

Asa cum ne spune si in mesajul de respingere de la Gmail, autenticitatea si autentificarea domeniul expeditor, a esuat. “This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks.”. Asta inseamna ca domeniul nu are configurate DNS TXT pentru a asigura credibilitate pentru serverul de e-mail destinatar. Gmail, in scenariul nostru.

Když přidáme webovou doménu s aktivní e-mailovou službou na cPanel nebo VestaCP, automaticky se vytvoří soubory z DNS zóny příslušné domény. DNS zóna, která také obsahuje konfiguraci e-mailové služby: MX, Spf, DKIM, DMARC.
V situaci, kdy zvolíme doménu, aby byla na správci DNS CloudFlare, zóna DNS z hostitelského účtu domény, musí být zkopírována do CloudFlare, aby e-mailová doména fungovala správně. To byl problém ve výše uvedeném scénáři. Ve správci DNS třetí strany není žádná položka DKIM, ačkoli ve správci DNS místního serveru existuje.

Co je DKIM a proč jsou e-maily odmítány, pokud tuto funkci nemáme v e-mailové doméně?

DomainKeys Identified Mail (DKIM) je standardní řešení pro autentizaci e-mailové domény, které přidává a Digitální podpis fiecarui mesaj expediat. Serverele de destinatie pot verifica prin DKIM daca mesajul vine de pe domeniul de drept al expeditorului si nu de pe un alt domeniu care foloseste ca masca identitatea expeditorului. Pe intelesul tuturor, daca aveti domeniul abcdqwerty.com fara DKIM, pot fi expediate mesaje e-mail de pe alte servere, folosind numele dvs. de domeniu. Este daca vreti un furt de identitate, care in termeni tehnici se numeste email spoofing.
O tehnica des intalnita atunci cand sunt expediate mesaje e-mail de Phishing a Spam.

Tot prin intermediul DKIM se poate asigura ca, continutul mesajului nu a fost modificat dupa ce a fost trimis de expeditor.

Správným nastavením DKIM na hostitelském serveru e-mailového systému a v DNS zóně odpadá možnost, že se vaše zprávy dostanou k příjemci ve SPAMu nebo se k němu nedostanou vůbec.

Příkladem DKIM je:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Samozřejmě, že hodnota DKIM získaná tím Šifrovací algoritmus RSA je jedinečný pro každý název domény a lze jej obnovit z hostitelského serveru e-mailové služby.

Po instalaci a správném nastavení DKIM DNS TXT správce, je velmi možné vyřešit problém zpráv vrácených na účty Gmail. Alespoň pro chybu “Doručení pošty selhalo”:

“SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked.”

Jako stručnou rekapitulaci, DKIM přidá digitální podpis ke každé odeslané zprávě, který umožňuje cílovým serverům ověřit pravost odesílatele. Pokud zpráva přišla od vaší společnosti a adresa nebyla použita třetí stranou za účelem použití vaší identity.

Gmail (Google) může automaticky odmítnout všechny zprávy které pocházejí z domén, které nemají takový digitální podpis DKIM.

Co je to SPF a proč je důležité pro bezpečné odesílání e-mailových zpráv?

Stejně jako DKIM a Spf má za cíl zabránit phishing zpráv a email spoofing. Tímto způsobem již nebudou odeslané zprávy označeny jako spam.

Sender Policy Framework (SPF)je standardní metoda ověřování domény, ze které jsou zprávy odesílány. Položky SPF jsou nastaveny správce DNS TXT vaší domény a v této položce bude uveden název domény, IP nebo domény, které mají právo zasílat e-mailové zprávy pomocí názvu vaší domény nebo domény vaší organizace.

Doména bez SPF může umožnit spammerům odesílat e-mailové zprávy z jiných serverů, pomocí názvu vaší domény jako masky. Tímto způsobem se mohou šířit nepravdivé informace nebo mohou být požadovány citlivé údaje jménem vaší organizace

Zprávy lze samozřejmě stále odesílat vaším jménem z jiných serverů, ale budou označeny jako spam nebo odmítnuty, pokud tento server nebo název domény není uveden v položce SPF TXT vaší domény.

Hodnota SPF ve správci DNS vypadá takto:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Kde “IP4” představuje IPv4 vašeho poštovního serveru.

Jak nastavím SPF pro více domén?

Pokud chceme autorizovat jiné domény k zasílání e-mailových zpráv jménem naší domény, uvedeme je s hodnotou “include” v SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

To znamená, že e-mailové zprávy lze odesílat z názvu naší e-mailové domény az example1.com a example2.com.
Je to velmi užitečný záznam, pokud máme například jeden Časopis online na adrese “example1.com“, ale chceme, aby zprávy z internetového obchodu zákazníkům chodily doménovou adresu společnosti, tato bytost “example.com“. V SPF TXT pro “example.com”, jak musíme specifikovat spolu s IP a “include:example1.com”. Aby bylo možné zasílat zprávy jménem organizace.

Jak nastavit SPF pro IPv4 a IPv6?

Máme poštovní server s oběma IPv4 stejně jako s IPv6, je velmi důležité, aby byly v SPF TXT uvedeny obě IP adresy.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Další, po “ip” lze použít směrnici “include” přidat domény autorizované pro odesílání.

Co to znamená “~all“, “-all” a “+all” ale SPF?

Jak jsem řekl výše, poskytovatelé internetových služeb mohou stále přijímat e-mailové zprávy jménem vaší organizace, i když jsou odesílány z domény nebo IP adresy, která není specifikována v zásadách SPF. Označení “vše” sděluje cílovým serverům, jak zacházet s těmito zprávami z jiných domén, které nejsou autorizovány a odesílají zprávy vaším jménem nebo jménem vaší organizace.

~all : Pokud je zpráva přijata z domény, která není uvedena v SPF TXT, budou zprávy přijaty na cílovém serveru, ale budou označeny jako spam nebo podezřelé. Budou podléhat osvědčeným postupům antispamových filtrů přijímajícího poskytovatele.

-all : Je to nejpřísnější značka přidaná k záznamu SPF. Pokud doména není uvedena, bude zpráva označena jako neautorizovaná a bude poskytovatelem odmítnuta. Nedojde ani k doručení do spamu.

+all : Tato značka se používá velmi zřídka a vůbec se nedoporučuje. Tato značka umožňuje ostatním posílat e-mailové zprávy jménem vás nebo vaší organizace. Většina poskytovatelů automaticky odmítá všechny e-mailové zprávy přicházející z domén s SPF TXT “+all“. Právě proto, že pravost odesílatele nelze ověřit, pouze po ověření ze strany “hlavička emailu”.

Shrnutí: Co je Sender Policy Framework (SPF)?

• Deaktivovat & Vymazat mezipaměť DNS – Windows 7, Vista & XP
• Použijte alternativní servery DNS pro rychlejší načítání webových stránek
• Jak můžeme změnit adresu DNS v OS X
• Jak můžeme resetovat mezipaměť DNS v OS X
• Zvyšuje rychlost prohlížení internetu pomocí Google Public DNS

Prostřednictvím zóny DNS TXT / SPF autorizuje IP adresy a názvy domén, které mohou odesílat e-mailové zprávy z vaší nebo firemní domény. Platí také důsledky, které se vztahují na zprávy odeslané z neautorizovaných domén.

Co je DMARC a proč je důležitý pro e-mailový server?

DMARC (Hlášení a shoda ověřování zpráv založené na doméně) úzce souvisí s politickými standardy Spf a DKIM.
Dmarc este a validační systém koncipováno k ochraně Vaše e-mailové doménové jméno vaší nebo společnostipraktik, jako je spoofing e -mailů a Phishingové podvody.

Pomocí řídicích standardů SPF (Sender Policy Framework) a DKIM (Domain Keys Identified Mail) přidává DMARC velmi důležitou funkci. zprávy.

Když vlastník domény publikuje DMARC v DNS TXT zóně, získá informace o tom, kdo jeho jménem nebo jménem společnosti vlastnící doménu chráněnou SPF a DKIM posílá e-mailové zprávy. Přijímající poskytovatelé zpráv budou zároveň vědět, zda a jak jsou tyto zásady osvědčených postupů sledovány vlastníkem odesílající domény.

Záznam DMARC v DNS TXT může mít tvar:

V=DMARC1; rua=mailto:[email protected]; ruf=mailto:[email protected]; p=none; sp=none; fo=0;

V DMARC lze nastavit několik podmínek pro hlášení incidentů a také e-mailové adresy, na které lze zasílat analýzy a zprávy. Je vhodné používat vyhrazené e-mailové adresy pro DMARC, protože objem přijatých zpráv může být značný.

Značky DMARC lze nastavit podle zásad stanovených vámi nebo organizací:

v – existující verzi protokolu DMARC.
p – použít tuto zásadu, když nelze provést ověření DMARC pro e-mailové zprávy. Může mít hodnotu: “none“, “quarantine” nebo “reject“. Používá se “none” získat zprávy o toku zpráv a jejich stavu.
rua – Jedná se o seznam adres URL, na které mohou poskytovatelé internetových služeb zasílat zpětnou vazbu ve formátu XML. Pokud sem přidáme e-mailovou adresu, bude odkaz ve tvaru: “rua=mailto:[email protected]” .
ruf – Seznam adres URL, na které mohou poskytovatelé internetových služeb zasílat zprávy o kybernetických incidentech a zločinech spáchaných jménem vaší organizace. Adresa bude ve tvaru: “ruf=mailto:[email protected]“.
rf – Formát hlášení kybernetické kriminality. Dá se tvarovat “afrf” nebo “iodef“.
pct – Sděluje poskytovateli internetu / ISP, aby aplikoval zásadu DMARC pouze na určité procento neúspěšných zpráv. Můžeme mít například: “pct=50%” nebo politiky “quarantine” a “reject“. Nikdy to nebude přijato “none“.
adkim – Upřesněte “Režim zarovnání” pro digitální podpisy DKIM. To znamená, že se kontroluje shoda digitálního podpisu položky DKIM s doménou. adkim může mít hodnoty: r (Relaxed) nebo s (Strict).
aspf – Stejným způsobem jako v případě adkim je specifikováno “Režim zarovnání” pro SPF a podporuje stejné hodnoty. r (Relaxed) nebo s (Strict).
sp – Tato zásada umožňuje subdoménám odvozeným od domény organizace používat hodnotu DMARC domény. Vyhnete se tak použití samostatných zásad pro každou jednotlivou doménu. Je to v podstatě a “zástupný znak” pro všechna podpole.
ri – Tato hodnota nastavuje interval, ve kterém budou přijímány zprávy XML pro DMARC. Většinu času je lepší provádět hlášení denně.
fo – Možnosti hlášení podvodů. “Forenzní možnosti“. Mohou mít hodnoty “0” hlásit incidenty, když selže ověření SPF i DKIM, nebo hodnotu “1” pro scénář, ve kterém SPF nebo DKIM neexistuje nebo neprojde kontrolou.

Abyste si byli jisti, že se vaše nebo firemní e-mailové zprávy dostanou k příjemcům ve složce Doručená pošta, je nutné vzít v úvahu tyto tři standardy “doporučené postupy pro odesílání e-mailových zpráv“. DKIM, Spf a DMARC. Všechny tyto tři standardy patří k DNS TXT a lze je spravovat z DNS manažera domény.