Comment nous configurons la zone DNS TXT pour SPF, DKIM et DMARC et comment nous évitons que les e-mails commerciaux soient rejetés par Gmail – La livraison du courrier a échoué

Les administrateurs de Email privé sévère pour les affaires Il est souvent confronté à beaucoup de problèmes et de défis. Des vagues de COURRIER INDÉSIRABLE à bloquer par des filtres spécifiques, La sécurité de la correspondance Dans le serveur de messagerie local et les serveurs distants, Configuration et Surveillance des services SMTP, POPULAIRE, IMap, plus de nombreux détails et de nombreux autres Configuration SPF, DKIM et DMARC pour se conformer aux bonnes pratiques de l'expédition de messagerie sécurisée.

De nombreux problèmes de Messages de messagerie d'expédition ou destinataire à / depuis les fournisseurs ATI, se produisent en raison d'une configuration incorrecte de la zone DNS, qu'en est-il du service de messagerie.

De sorte que d'après un nom de domaine, les e-mails peuvent être envoyés, il doit être Hostat sur un serveur de messagerie configuré correctement, encore une fois Nom de domaine pour avoir des zones DNS pour FPS, Mx, DMARC ET Dkim Définir correctement dans le gestionnaire Dns txt du domaine.

Dans l'article d'aujourd'hui, nous nous arrêterons à un problème assez courant sur Serveurs de messagerie privés pour les affaires. Impossibilité d'envoyer des messages électroniques aux comptes Gmail, Yahoo! ou iCloud.

Les messages expédiés sur @ gmail.com sont automatiquement rejetés. “La livraison du courrier a échoué: retournement du message à l'expéditeur”

J'ai récemment rencontré un problème sur un e-mail d'une entreprise, d'où les messages électroniques à d'autres sociétés et particuliers sont envoyés régulièrement, certains d'entre eux ayant des adresses @ gmail.com. Tous les messages expédiés sur les comptes Gmail ont immédiatement renvoyé à l'expéditeur. “La livraison du courrier a échoué: retournement du message à l'expéditeur”.

Message d'erreur renvoyé au serveur de messagerie Eximer Regarde comme suit:

1nSeUV-0005zz-De ** [email protected] R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

Dans ce scénario, il n'y a pas quelque chose de très sérieux, comme Y compris le nom de domaine de l'expédition ou de l'expéditeur IP dans une liste de spam Global ou O Erreur de configuration majeure des services de messagerie sur Sevrer (Eximer).
Même si beaucoup lorsque je vois ce message aller avec la pensée immédiatement au spam ou à une erreur de configuration SMTP, le problème est généré par la zone Dns txt du domaine. La plupart du temps, DKIM n'existe pas configuré dans la zone DNS ou n'est pas correctement passé dans le gestionnaire DNS. Ont souvent rencontré ce problème à ceux qui utilisent Cloudflare En tant que directeur du DNS et oubliez de passer Dns txt: mail._domainkey (Dkim), DMARC et FPS.

Comme il nous le dit dans le message de rejet de Gmail, l'authenticité et l'authentification de l'expéditeur ont échoué. “Ce message ne dispose pas d'informations d'authentification ou ne parvient pas à n550-5.7.26 Passer les vérifications d'authentification.”. Cela signifie que le domaine n'a pas de DNS TXT configuré pour garantir la crédibilité du serveur de messagerie du destinataire. Gmail, dans notre scénario.

Lors de l'ajout d'un domaine Web avec un service de messagerie actif sur CPanel ou VESTACP, les fichiers de la zone DNS du domaine respectif sont également créés automatiquement. Zone DNS qui contient, y compris la configuration du service de messagerie: Mx, FPS, Dkim, DMARC.
Dans la situation où nous choisissons le domaine pour être sur le manager DNS Cloudflare, la zone DNS du compte d'hébergement du domaine respectif, doit être copiée dans le cloud, afin que la zone de messagerie fonctionne correctement. C'était le problème dans le scénario ci-dessus. Dans un DNS Tert Manager, il n'y a pas d'inscription DKIM, bien qu'elle existe sur le gestionnaire DNS du serveur local.

Qu'est-ce que DKIM et pourquoi le rejet du courrier électronique est-il si nous n'avons pas cette fonctionnalité sur un e-mail?

Mail identifié DomainKeys (DKIM) Il s'agit d'une solution standard pour l'authentification d'un domaine électronique, qui ajoute un signature numérique à chaque message expédié. Les serveurs de destination peuvent vérifier DKIM si le message provient de la loi de l'expéditeur et non dans un autre domaine qui utilise l'identité de l'expéditeur comme masque. Sur le sens de tous, si vous avez le domaine abcdqwerty.com Sans DKIM, les messages électroniques des autres serveurs peuvent être expédiés à l'aide de votre nom de domaine. C'est si vous voulez un vol d'identité, qui en termes techniques est appelé e-mail usurpation.
Une technique commune lorsque des messages e-mail d'e-mail sont expédiés phishing et courrier indésirable.

Aussi via DKIM peut être assuré que, Le contenu du message n'a pas été modifié après avoir été envoyé par l'expéditeur.

Le fait que DKIM se soit réglé correctement sur l'hôte Severis du système de messagerie et dans la zone DNS, la possibilité de vos messages atteindra le destinataire ou n'arrivera pas du tout.

Un exemple de DKIM est:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Bien sûr, la valeur DKIM obtenue par Algorithme Cripatre RSA Il est unique pour chaque nom de domaine et peut être régénéré à partir du serveur hôte du service de messagerie.

Avoir DKIM installé et réglé correctement Dns txt Manager, il est très possible de résoudre le problème des messages renvoyés aux comptes Gmail. Au moins pour l'erreur “La livraison du courrier a échoué”:

“SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked.”

Comme une brève récapitulation, DKIM ajoute une signature numérique à chaque message envoyé, ce qui permet aux serveurs de destination de vérifier l'authenticité à l'expéditeur. Si le message provient de votre entreprise et que l'adresse d'un tiers n'a pas été utilisée, afin d'utiliser votre identité.

Gmail (Google) peut rejette automatiquement tous les messages qui proviennent de champs qui n'ont pas un tel sémin numérique DKIM.

Qu'est-ce que SPF et pourquoi est-il important pour l'expédition sûre des e-mails?

Tout comme dkim, et FPS a le but de prévenir Mesajele Phishing et e-mail usurpation. De cette façon, les messages répartis ne seront plus marqués comme spam.

Framework de politique de l'expéditeur (SPF)Il s'agit d'une méthode standard d'authentification du domaine à partir duquel les messages sont envoyés. Les entrées SPF sont définies Managerul dns txt de votre domaine et dans cette entrée sera spécifié le nom de domaine, l'IP ou les zones qui ont le droit d'envoyer des messages par e-mail en utilisant votre nom de domaine ou votre organisation.

Un domaine sans SPF peut permettre aux spammeurs d'envoyer des messages électroniques à partir d'autres serveurs, En utilisant comme masque votre nom de domaine. De cette façon, ils peuvent se propager Fausses informations ou Des données sensibles peuvent être demandées Au nom de votre organisation

Bien sûr, les messages peuvent être envoyés en votre nom sur d'autres serveurs, mais ils seront marqués en spam ou rejetés, si ce serveur ou ce nom de domaine n'est pas spécifié dans l'entrée SPF TXT de votre domaine.

Une valeur SPF dans DNS Manager ressemble à une forme:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Où “Ip4” représente IPv4 de votre serveur de messagerie.

Comment définir le SPF pour plus de zones?

Si nous voulons autoriser d'autres champs à envoyer des e-mails au nom de notre région, nous les spécifierons avec la valeur “include” Dans SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Cela signifie qu'à partir de notre nom, le domaine e-mail peut être expédié des messages électroniques à partir d'exemple1.com et d'example2.com.
C'est un enregistrement très utile si nous avons un exemple Magazine en ligne à l'adresse “Exemple1.com“, mais nous voulons que les messages de la boutique en ligne aux clients partent de Adresse du domaine de l'entreprise, cet être “example.com“. Dans SPF TXT pour “example.com”, que nous devons spécifier avec IP et “Inclure: Exemple1.com”. Afin que les messages puissent être expédiés du nom de l'organisation.

Comment définir SPF pour IPv4 et IPv6?

Nous avons un serveur de messagerie avec les deux Ipv4 ainsi que avec Ipv6, il est très important que les deux IPS soient spécifiés dans SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Ensuite, après “IP” La directive peut être utilisée “include” pour ajouter des champs autorisés pour l'expédition.

Qu'est-ce que cela signifie “~all“, “-all” et “+all” Ale SPF?

Comme je l'ai dit ci-dessus, le fournisseur (ISP) peut toujours recevoir des messages électroniques au nom de votre organisation. Même s'ils sont envoyés à partir d'un domaine ou d'une adresse IP qui n'est pas spécifiée dans la politique SPF. Étiquette “tous” Dites aux serveurs de destination comment traiter ces messages à partir d'autres domaines qui ne sont pas autorisés et envoyer des messages au nom de vous ou de l'organisation.

~all : Si le message est reçu d'un domaine qui n'est pas répertorié dans SPF TXT, les messages seront acceptés sur le serveur de destination, mais ils seront marqués en spam ou suspects. Les filtres anti-spam de bonnes pratiques du receveur seront soumis aux filtres anti-spam.

-all : Est la balise la plus stricte ajoutée à une entrée SPF. Si le domaine n'est pas répertorié, le message sera marqué comme non autorisé et sera rejeté par le fournisseur. Il ne sera pas livré même en spam.

+all : Très rarement utilisé et non recommandé, cette balise permet aux autres d'envoyer des messages électroniques au nom de votre organisation ou de votre organisation. La plupart des fournisseurs rejettent automatiquement tous les messages électroniques provenant de zones avec SPF TXT “+all“. Précisément parce que l'authentitude de l'expéditeur ne peut pas être vérifiée, sauf après une vérification de “en-tête de courrier électronique”.

Résumé: Que signifie le cadre de politique de l'expéditeur (SPF)?

• Désactiver & Cache DNS effacer – Windows 7, Vista & Xp
• Utilisez des serveurs alternatifs DNS pour un chargement plus rapide des pages Web
• Comment pouvons-nous modifier l'adresse DNS dans OS X
• Comment pouvons-nous réinitialiser le cache DNS dans OS X
• Augmente la vitesse de navigation sur Internet avec Google Public DNS

Autorise via la zone DNS TXT / SPF, IPS et noms de domaine qui peuvent envoyer des messages e-mail de votre champ ou de votre entreprise. Dans le même temps, il applique les conséquences qui sont appliquées pour les messages envoyés à partir de champs non autorisés.

Que signifie DMARC et pourquoi est-il important pour le serveur de messagerie?

DMARC (Rapports et conformité d'authentification des messages basés sur le domaine) est étroitement lié aux normes politiques FPS et Dkim.
DMARC este un système de validation conçu pour protéger Votre nom de domaine e-mail de votre ou entreprise, de pratiques telles que l'usurpation par e-mail et escroqueries à phishing.

L'utilisation de normes SPF (Sender Policy Framework) et DKIM (Domain Keys identifiés par courrier) ajoutent une fonctionnalité très importante. rapports.

Lorsqu'un propriétaire de domaine publie DMARC dans la zone DNS TXT, il obtiendra des informations sur qui envoie des messages électroniques au nom ou de la société propriétaire du domaine protégé par SPF et DKIM. Dans le même temps, les destinataires des messages sauront si et comment ces bonnes pratiques sont surveillées par le propriétaire de l'expéditeur.

Une intégration DMARC dans DNS TXT peut être de la forme:

V=DMARC1; rua=mailto:[email protected]; ruf=mailto:[email protected]; p=none; sp=none; fo=0;

Dans DMARC, vous pouvez mettre plusieurs conditions pour les incidents de signalement ainsi que les adresses e-mail sur lesquelles atteindre les analyses et les rapports. Il est conseillé d'utiliser des adresses e-mail dédiées pour DMARC car le volume des messages reçus peut être significatif.

Les balises DMARC peuvent être définies en fonction de la politique imposée par vous ou l'organisation:

v – La version du protocole DMARC existant.
p – Appliquez cette politique lorsque vous ne pouvez pas vérifier DMARC pour les e-mails. Peut avoir la valeur: “none“, “quarantine” ou “reject“. Il est utilisé “none” Pour obtenir des rapports sur le flux de messages et la source.
rua – Il s'agit d'une liste des URL que les FAI peuvent envoyer des commentaires au format XML. Si nous ajoutons l'adresse e-mail ici, le lien sera du formulaire: “rua=mailto:[email protected]” .
ruf – La liste des URL que les FAI peuvent envoyer des rapports sur les incidents et les cyber-infractions faites au nom de votre organisation. L'adresse sera du formulaire: “ruf=mailto:[email protected]“.
rf – Le format de signalement des cyber-infractions. Peut être de forme “afrf” ou “iodef“.
pct – Indique le fournisseur Internet / ISP pour appliquer la politique DMARC uniquement pour un certain pourcentage de messages défaillants. Par exemple, nous pouvons avoir: “pct=50%” ou politiques “quarantine” et “reject“. Ne sera jamais accepté “none“.
adkim – Spécifique “Mode d'alignement” pour les signatures numériques DKIM. Cela signifie que la signature numérique d'une entrée DKIM avec le domaine est vérifiée. adkim peut avoir les valeurs: r (Relaxed) ou s (Strict).
aspf – De la même manière que dans le cas de adkim est spécifié “Mode d'alignement” Pour SPF et prendre en charge les mêmes valeurs. r (Relaxed) ou s (Strict).
sp – Cette politique s'applique pour permettre aux sous-domaines dérivés du domaine de l'organisation, d'utiliser la valeur du domaine. Cela évite l'utilisation de politiques distinctes pour chaque zone. C'est pratiquement un “magazine” Pour tous les sous-domaines.
ri – Cette valeur définit l'intervalle auquel les rapports XML seront reçus pour DMARC. La plupart du temps, les rapports sont préférables à faire quotidiennement.
fo – Options pour les rapports de fraude. “Options médico-légales“. Ils peuvent avoir les valeurs “0” Pour signaler les incidents lorsqu'il échoue à la fois SPF et DKIM, ou valeur “1” Pour le scénario dans lequel SPF ou DKIM n'existe pas ou ne vérifie pas.

Donc, pour être sûr que les messages e-mail de votre ou de l'entreprise arrivent chez les destinataires de la boîte de réception, vous devez prendre en compte ces trois normes de “Bonne pratique pour les messages électroniques d'expédition“. Dkim, FPS et DMARC. Toutes ces trois normes sont liées à DNS TXT et peuvent être gérées par le gestionnaire DNS du champ.