Wie wir den DNS -TXT -Bereich für SPF, DKIM und DMARC konfigurieren und wie wir die geschäftlichen E -Mail -Nachrichten vermeiden, werden von Google Mail abgelehnt – Postzustellung fehlgeschlagen

Administratoren von schwere private E-Mail für geschäftliche Zwecke stehen oft vor vielen Problemen und Herausforderungen. Aus den Wellen von SPAM care trebuie blocate prin filtre specifice, Korrespondenzsicherheit in serverul local de e-mail si serverele la distanta, Konfigurieren Und Überwachung von SMTP-Diensten, POP, IMAP, plus viele und viele andere Details von SPF-, DKIM- und DMARC-Konfiguration Einhaltung bewährter Praktiken zum Versenden sicherer E-Mail-Nachrichten.

Viele Probleme von Senden von E-Mail-Nachrichten oder Empfänger zu/von Ihren Providern, aufgrund falscher Konfiguration des Bereichs auftreten DNS, was ist mit dem E-Mail-Dienst?

Damit E-Mails von einem Domainnamen versendet werden können, muss dieser vorhanden sein auf einem Mailserver gehostet richtig konfiguriert und Der Domänenname muss über DNS-Zonen verfügen für Lichtschutzfaktor, MX, DMARC UND DKIM im Manager richtig eingestellt DNS-TXT der Domäne.

Im heutigen Artikel konzentrieren wir uns auf ein ziemlich häufiges Problem Private E-Mail-Server für Unternehmen. Unfähigkeit, E-Mail-Nachrichten an Gmail-Konten zu senden, Yahoo! oder iCloud.

An @Gmail.com gesendete Nachrichten werden automatisch abgelehnt. “E-Mail-Zustellung fehlgeschlagen: Nachricht wird an den Absender zurückgesendet”

Ich bin kürzlich auf ein Problem gestoßen eine Firmen-E-Mail-Domäne, von dem aus regelmäßig E-Mail-Nachrichten an andere Unternehmen und an Einzelpersonen versendet werden, von denen einige über eine Adresse verfügen @gmail.com. Alle an Gmail-Konten gesendeten Nachrichten wurden sofort an den Absender zurückgesendet. “E-Mail-Zustellung fehlgeschlagen: Nachricht wird an den Absender zurückgesendet”.

Die Fehlermeldung wurde im E-Mail-Server zurückgegeben Exim sieht so aus:

1nSeUV-0005zz-De ** [email protected] R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

In diesem Szenario handelt es sich nicht um etwas sehr Ernstes, wie z Aufnahme des Absenderdomänennamens oder der Absender-IP in eine SPAM-Liste global oder o Schwerwiegender Konfigurationsfehler von E-Mail-Diensten auf mehreren Servern (Exim).
Auch wenn viele beim Anblick dieser Meldung sofort an SPAM oder einen SMTP-Konfigurationsfehler denken, wird das Problem durch den Bereich erzeugt DNS-TXT des Feldes. Meistens ist DKIM in der DNS-Zone nicht konfiguriert oder im DNS-Manager der Domain nicht korrekt eingetragen. Dieses Problem tritt häufig bei denjenigen auf, die es verwenden Cloudflare als DNS-Manager und vergessen Sie zu übergeben DNS-TXT: mail._domainkey (DKIM), DMARC Und Lichtschutzfaktor.

Wie uns in der Ablehnungsnachricht von Gmail mitgeteilt wird, ist die Authentizität und Authentifizierung der Absenderdomäne fehlgeschlagen. “Diese Nachricht enthält keine Authentifizierungsinformationen oder bestehtn550-5.7.26 die Authentifizierungsprüfungen nicht.”. Dies bedeutet, dass für die Domain kein DNS TXT konfiguriert ist, um die Glaubwürdigkeit für den E-Mail-Server des Empfängers sicherzustellen. Gmail, in unserem Szenario.

Wenn wir eine Webdomäne mit einem aktiven E-Mail-Dienst auf cPanel oder VestaCP hinzufügen, werden die Dateien aus der DNS-Zone der jeweiligen Domäne automatisch erstellt. Die DNS-Zone, die auch die Konfiguration des E-Mail-Dienstes enthält: MX, Lichtschutzfaktor, DKIM, DMARC.
In der Situation, in der wir die Domäne auswählen, die im Manager liegen soll DNS CloudFlare, die DNS-Zone vom Hosting-Konto der Domäne, muss nach CloudFlare kopiert werden, damit die E-Mail-Domäne ordnungsgemäß funktioniert. Das war das Problem im obigen Szenario. In einem DNS-Manager eines Drittanbieters gibt es keinen DKIM-Eintrag, obwohl dieser auf dem DNS-Manager des lokalen Servers vorhanden ist.

Was ist DKIM und warum werden E-Mails abgelehnt, wenn wir diese Funktion in einer E-Mail-Domäne nicht haben?

DomainKeys Identified Mail (DKIM) ist eine Standardlösung zur Authentifizierung einer E-Mail-Domäne, die Folgendes hinzufügt: digitale Signatur zu jeder gesendeten Nachricht. Zielserver können über DKIM prüfen, ob die Nachricht von der legalen Domäne des Absenders stammt und nicht von einer anderen Domäne, die die Identität des Absenders als Maske verwendet. Auf jeden Fall, wenn Sie die Domain haben abcdqwerty.com Ohne DKIM können E-Mail-Nachrichten von anderen Servern unter Verwendung Ihres Domainnamens gesendet werden. Es handelt sich dabei um einen Identitätsdiebstahl, der in der Fachsprache als „Identitätsdiebstahl“ bezeichnet wird E-Mail-Spoofing.
Eine gängige Technik beim Versenden von E-Mail-Nachrichten per Phishing Und Spam.

Tot prin intermediul DKIM se poate asigura ca, Der Inhalt der Nachricht wurde nach dem Versenden durch den Absender nicht geändert.

Durch die korrekte Einstellung von DKIM auf dem Hostserver des E-Mail-Systems und in der DNS-Zone ist die Möglichkeit ausgeschlossen, dass Ihre Nachrichten den Empfänger im SPAM erreichen oder ihn gar nicht erreichen.

Ein Beispiel für DKIM ist:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Natürlich ist der DKIM-Wert erhalten von RSA-Verschlüsselungsalgorithmus Es ist für jeden Domänennamen eindeutig und kann vom Hostserver des E-Mail-Dienstes neu generiert werden.

DKIM muss installiert und korrekt eingestellt sein DNS-TXT Manager ist es sehr gut möglich, das Problem der an Gmail-Konten zurückgegebenen Nachrichten zu lösen. Zumindest wegen des Fehlers “Postzustellung fehlgeschlagen”:

“SMTP-Fehler vom Remote-Mailserver nach Pipeline-Ende der Daten: 550-5.7.26 Diese Nachricht enthält keine Authentifizierungsinformationen oder bestehtn550-5.7.26 die Authentifizierungsprüfungen nicht. Um unsere Benutzer bestmöglich vor Spam zu schützen, wurde die Nachrichtn550-5.7.26 blockiert.”

Ca o scurta recapitulare, DKIM fügt jeder gesendeten Nachricht eine digitale Signatur hinzu, wodurch die Zielserver die Authentizität des Absenders überprüfen können. Wenn die Nachricht von Ihrem Unternehmen stammt und die Adresse nicht von Dritten genutzt wurde, um Ihre Identität zu nutzen.

Google Mail (Google) kann lehnt automatisch alle Nachrichten ab die von Domänen stammen, die nicht über eine solche digitale DKIM-Signatur verfügen.

Was ist SPF und warum ist es wichtig für den sicheren Versand von E-Mail-Nachrichten?

Sowie DKIM und Lichtschutzfaktor zielt darauf ab, zu verhindern Nachrichten-Phishing Und E-Mail-Spoofing. Auf diese Weise werden die gesendeten Nachrichten nicht mehr als Spam markiert.

Sender Policy Framework (SPF)ist eine Standardmethode zur Authentifizierung der Domäne, von der die Nachrichten gesendet werden. Die SPF-Einträge sind eingestellt Managerul DNS TXT Ihrer Domäne und in diesem Eintrag werden der Domänenname, die IP oder die Domänen angegeben, die das Recht haben, E-Mail-Nachrichten unter Verwendung Ihres Domänennamens oder des Domänennamens Ihrer Organisation zu senden.

Un domeniu fara SPF poate permite spammerilor sa trimita mesaje de e-mail de pe alte servere, Verwenden Sie Ihren Domainnamen als Maske. Auf diese Weise können sie sich verbreiten falsche Informationen oder Es können sensible Daten abgefragt werden im Namen Ihrer Organisation

Natürlich können in Ihrem Namen weiterhin Nachrichten von anderen Servern gesendet werden, sie werden jedoch als Spam markiert oder abgelehnt, wenn dieser Server oder Domänenname nicht im SPF TXT-Eintrag Ihrer Domäne angegeben ist.

Ein SPF-Wert im DNS-Manager sieht folgendermaßen aus:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Wo “IP4” stellt die IPv4 Ihres Mailservers dar.

Wie stelle ich SPF für mehrere Domänen ein?

Wenn wir anderen Domänen erlauben möchten, E-Mail-Nachrichten im Namen unserer Domäne zu senden, geben wir diese mit dem Wert an “include” im SPF-TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Das bedeutet, dass E-Mail-Nachrichten von unserem E-Mail-Domänennamen sowie von example1.com und example2.com gesendet werden können.
Es ist ein sehr nützlicher Datensatz, wenn wir beispielsweise einen haben magazin online an der Adresse “example1.com“, aber wir möchten, dass die Nachrichten vom Online-Shop an die Kunden gehen die Domainadresse des Unternehmens, dieses Wesen “example.com“. In SPF TXT für “example.com”, da wir zusammen mit der IP und angeben müssen “include:example1.com”. Damit Nachrichten im Namen der Organisation versendet werden können.

Wie stelle ich SPF für IPv4 und IPv6 ein?

Wir haben einen Mailserver mit beiden IPv4 sowie mit IPv6, ist es sehr wichtig, dass beide IPs im SPF TXT angegeben sind.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Als nächstes, danach “IP” Direktive kann verwendet werden “include” um für den Versand autorisierte Domains hinzuzufügen.

Was bedeutet das “~all“, “-all” Und “+all” Ale Lichtschutzfaktor?

Wie oben erwähnt, können ISPs weiterhin E-Mail-Nachrichten im Namen Ihrer Organisation empfangen, selbst wenn diese von einer Domäne oder IP gesendet werden, die nicht in der SPF-Richtlinie angegeben ist. Etikett “alle” teilt den Zielservern mit, wie diese Nachrichten von anderen Domänen zu behandeln sind, die nicht autorisiert sind und Nachrichten im Namen von Ihnen oder Ihrer Organisation senden.

~all : Wenn die Nachricht von einer Domäne empfangen wird, die nicht in SPF TXT aufgeführt ist, werden die Nachrichten auf dem Zielserver akzeptiert, aber als Spam oder verdächtig markiert. Sie unterliegen den bewährten Anti-Spam-Filtern des empfangenden Anbieters.

-all : Dies ist das strengste Tag, das einem SPF-Eintrag hinzugefügt wird. Wenn die Domain nicht aufgeführt ist, wird die Nachricht als nicht autorisiert markiert und vom Anbieter abgelehnt. Es wird nicht einmal an Spam gesendet.

+all : Dieses Tag wird sehr selten verwendet und überhaupt nicht empfohlen. Es ermöglicht anderen, E-Mail-Nachrichten im Namen von Ihnen oder Ihrer Organisation zu senden. Die meisten Anbieter lehnen automatisch alle E-Mail-Nachrichten ab, die von Domains mit SPF TXT stammen “+all“. Gerade weil die Authentizität des Absenders nicht überprüft werden kann, sondern erst nach einer Überprüfung durch “E-Mail-Header”.

Zusammenfassung: Was ist das Sender Policy Framework (SPF)?

• Deaktivieren & DNS -Cache löschen – Windows 7, Vista & XP
• Verwenden Sie alternative DNS -Server zum schnelleren Laden von Webseiten
• Wie können wir die DNS -Adresse in OS X ändern
• Wie können wir den DNS -Cache in OS X zurücksetzen?
• Erhöht das Internet -Surfengeschwindigkeit mit Google Public DNS

Es autorisiert über die DNS TXT/SPF-Zone IPs und Domänennamen, die E-Mail-Nachrichten von Ihrer Domäne oder der Domäne Ihres Unternehmens senden können. Es gelten auch die Konsequenzen, die für Nachrichten gelten, die von nicht autorisierten Domänen gesendet werden.

Was ist DMARC und warum ist es für E-Mail-Server wichtig?

DMARC (Domänenbasierte Nachrichtenauthentifizierungsberichte und -konformität) steht in engem Zusammenhang mit politischen Standards Lichtschutzfaktor Und DKIM.
DMARC ist ein Validierungssystem zum Schutz konzipiert Der E-Mail-Domänenname Ihres Unternehmens oder Ihres Unternehmens, von Praktiken wie E-Mail-Spoofing und Phishing-Betrug.

Mithilfe der Kontrollstandards SPF (Sender Policy Framework) und DKIM (Domain Keys Identified Mail) fügt DMARC eine sehr wichtige Funktion hinzu. Berichte.

Wenn ein Domaininhaber DMARC in der DNS-TXT-Zone veröffentlicht, erhält er Informationen darüber, wer in seinem Namen oder im Namen des Unternehmens, dem die mit SPF und DKIM geschützte Domain gehört, E-Mail-Nachrichten sendet. Gleichzeitig wissen die Empfängeranbieter der Nachrichten, ob und wie diese Best-Practice-Richtlinien vom Eigentümer der sendenden Domain überwacht werden.

Ein DMARC-Eintrag in DNS TXT kann die Form haben:

V=DMARC1; rua=mailto:[email protected]; ruf=mailto:[email protected]; p=none; sp=none; fo=0;

In DMARC können mehrere Bedingungen für die Meldung von Vorfällen sowie die E-Mail-Adressen festgelegt werden, an die Analysen und Berichte gesendet werden können. Es empfiehlt sich, für DMARC dedizierte E-Mail-Adressen zu verwenden, da das Volumen der empfangenen Nachrichten erheblich sein kann.

DMARC-Tags können gemäß der von Ihnen oder der Organisation auferlegten Richtlinie festgelegt werden:

v – bestehende DMARC-Protokollversion.
p – Wenden Sie diese Richtlinie an, wenn die DMARC-Überprüfung für E-Mail-Nachrichten nicht durchgeführt werden kann. Es kann den Wert haben: “none“, “quarantine” oder “reject“. Es wird verwendet “none” um Berichte über den Nachrichtenfluss und deren Status zu erhalten.
rua – Dabei handelt es sich um eine Liste von URLs, an die ISPs Feedback im XML-Format senden können. Wenn wir hier die E-Mail-Adresse hinzufügen, hat der Link die Form: “rua=mailto:[email protected]” .
ruf – Liste der URLs, an die ISPs Berichte über Cybervorfälle und -kriminalität senden können, die im Namen Ihrer Organisation begangen wurden. Die Adresse hat folgende Form: “ruf=mailto:[email protected]“.
rf – Meldeformat für Cyberkriminalität. Es lässt sich formen “afrf” oder “iodef“.
pct – Weist den Internetanbieter/ISP an, die DMARC-Richtlinie nur auf einen bestimmten Prozentsatz fehlgeschlagener Nachrichten anzuwenden. Wir können zum Beispiel haben: “pct=50%” oder Richtlinien “quarantine” Und “reject“. Es wird niemals akzeptiert “none“.
adkim – Angeben “Ausrichtungsmodus” für digitale DKIM-Signaturen. Das bedeutet, dass die Übereinstimmung der digitalen Signatur eines DKIM-Eintrags mit der Domain überprüft wird. adkim kann die Werte haben: r (Relaxed) oder s (Strict).
aspf – Auf die gleiche Weise wie im Fall adkim angegeben ist “Ausrichtungsmodus” für SPF und unterstützt die gleichen Werte. r (Relaxed) oder s (Strict).
sp – Diese Richtlinie gilt, um von der Organisationsdomäne abgeleiteten Subdomänen die Verwendung des DMARC-Werts der Domäne zu ermöglichen. Dadurch wird die Verwendung separater Richtlinien für jede einzelne Domäne vermieden. Es ist im Grunde ein “Platzhalter” für alle Unterfelder.
ri – Dieser Wert legt das Intervall fest, in dem XML-Berichte für DMARC empfangen werden. In den meisten Fällen ist eine tägliche Berichterstattung vorzuziehen.
fo – Optionen zur Betrugsmeldung. “Forensische Optionen“. Sie können die Werte haben “0” um Vorfälle zu melden, wenn sowohl die SPF- als auch die DKIM-Überprüfung fehlschlagen, oder den Wert “1” für das Szenario, in dem SPF oder DKIM nicht vorhanden ist oder die Prüfung nicht besteht.

Um sicherzustellen, dass Ihre E-Mail-Nachrichten oder die Ihres Unternehmens die Empfänger im Posteingang erreichen, müssen diese drei Standards berücksichtigt werden “Best Practices zum Versenden von E-Mail-Nachrichten“. DKIM, Lichtschutzfaktor Und DMARC. Alle diese drei Standards gehören zu DNS TXT und können über den DNS-Manager der Domain verwaltet werden.