Gli amministratori di Email privata grave per affari Spesso affronta molti problemi e sfide. Dalle onde di SPAM essere bloccato da filtri specifici, la sicurezza della corrispondenza Nel server di posta elettronica locale e nei server remoti, Configurazione E Monitoraggio dei servizi SMTP, POP, IMAP, più molti e molti altri dettagli di Configurazione SPF, DKIM e DMARC Per conformarsi alle buone pratiche di spedizione e -mail sicura.
contenuto
Molti problemi di Messaggi di posta elettronica della spedizione O destinatario da / per i fornitori di ATI, si verificano a causa della configurazione errata dell'area DNS, che dire del servizio di posta elettronica.
In modo che da un nome di dominio le e -mail possano essere inviate, deve essere Hostat su un server di posta elettronica configurato correttamente, di nuovo Nome di dominio per avere aree DNS per SPF, MX, Dmarc E Dkim Imposta correttamente nel gestore Dns txt del dominio.
Nell'articolo di oggi ci fermeremo a un problema abbastanza comune Server di posta elettronica privati per affari. Impossibilità di inviare messaggi di posta elettronica agli account Gmail, Yahoo! o iCloud.
I messaggi spediti su @gmail.com vengono automaticamente rifiutati. “Consegna di posta non riuscita: messaggio di restituzione al mittente”
Di recente ho incontrato un problema un'area di posta elettronica di un'azienda, da quali messaggi di posta elettronica ad altre società e persone vengono inviati regolarmente, alcuni di loro hanno indirizzi @gmail.com. Tutti i messaggi spediti agli account Gmail sono immediatamente restituiti al mittente. “Consegna di posta non riuscita: messaggio di restituzione al mittente”.
Messaggio di errore restituito al server di posta elettronica Exim sembra segue:
1nSeUV-0005zz-De ** [email protected] R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26 https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtpIn questo scenario non c'è qualcosa di molto serio, come Incluso il nome di dominio della spedizione o del mittente IP in un elenco di spam globale o o Grave errore di configurazione di servizi di posta elettronica su Sevrer (Exim).
Anche se molti quando vedo questo messaggio vanno con il pensiero immediatamente a SPAM o un errore di configurazione SMTP, il problema viene generato dall'area Dns txt del dominio. Il più delle volte, DKIM non esiste configurato nell'area DNS o non è passato correttamente nel gestore DNS. Spesso riscontrava questo problema a coloro che usano Cloudflare come manager DNS e dimentica di passare Dns txt: Mail._Domainkey (Dkim),, Dmarc E SPF.
Come ci dice nel messaggio di rifiuto di Gmail, l'autenticità e l'autenticazione del mittente, non sono riuscite. “Questo messaggio non ha informazioni di autenticazione o non ha N550-5.7.26 PASS AUTENTIMENT CONTROLLI.”. Ciò significa che il dominio non ha DNS TXT configurato per garantire la credibilità per il server e-mail del destinatario. Gmail, nel nostro scenario.
Quando si aggiunge un dominio Web con il servizio di posta elettronica attivo su CPanel o VestaCP, vengono creati automaticamente anche i file nell'area DNS del rispettivo dominio. Area DNS che contiene inclusa la configurazione del servizio e-mail: MX, SPF, Dkim, Dmarc.
Nella situazione in cui scegliamo il dominio per essere sul manager DNS CloudFlare, l'area DNS del conto di hosting del rispettivo dominio, deve essere copiata nel cloud, in modo che l'area e-mail funzioni correttamente. Questo era il problema nello scenario di cui sopra. In un gestore Tert DNS, non esiste una registrazione DKIM, sebbene esista sul gestore DNS del server locale.
Che cos'è DKIM e perché il rifiuto e-mail se non abbiamo questa funzione su un'e-mail?
DomainKeys Identified Mail (DKIM) È una soluzione standard per l'autenticazione di un dominio e-mail, che aggiunge un firma digitale a ogni messaggio spedito. I server di destinazione possono controllare tramite DKIM se il messaggio proviene dalla legge del mittente e non da un'altra area che utilizza l'identità del mittente come maschera. Sul significato di tutti, se hai il dominio abcdqwerty.com Senza DKIM, i messaggi di posta elettronica di altri server possono essere spediti utilizzando il nome di dominio. È se si desidera un furto di identità, che in termini tecnici viene chiamato Spoofing via e -mail.
Una tecnica comune quando vengono spediti i messaggi di posta elettronica di e-mail phishing E spam.
Anche attraverso DKIM può essere assicurato che, Il contenuto del messaggio non è stato modificato dopo essere stato inviato dal mittente.
Avendo DKIM impostato correttamente sul Severis host del sistema e-mail e nell'area DNS, la possibilità che i tuoi messaggi raggiungano il destinatario o non arriveranno affatto.
Un esempio di dkim è:
mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"Naturalmente il valore DKIM ottenuto da Algoritmo RSA Cripatre È unico per ciascun nome di dominio e può essere rigenerato dal server host del servizio di posta elettronica.
Avere DKIM installato e impostato correttamente in Dns txt Manager, è molto possibile risolvere il problema dei messaggi restituiti agli account Gmail. Almeno per l'errore “Consegna di posta non riuscita”:
“Errore SMTP da Remote Mail Server dopo la fine dei dati con pipeline: 550-5.7.26 Questo messaggio non ha informazioni di autenticazione o non è in grado di verificare i controlli di autenticazione pass. Per proteggere al meglio i nostri utenti dallo spam, il messaggio N550-5.7.26 è stato bloccato.”
Come una breve ricapitolazione, DKIM aggiunge una firma digitale a ciascun messaggio inviato, che consente ai server di destinazione di verificare l'autenticità del mittente. Se il messaggio è venuto dalla tua azienda e l'indirizzo di terzi non è stato utilizzato, al fine di utilizzare la tua identità.
Gmail (Google) può Rifiuta automaticamente tutti i messaggi che provengono da campi che non hanno un semant digitale DKIM.
Cos'è SPF e perché è importante per la spedizione sicura dei messaggi di posta elettronica?
Proprio come Dkim, e SPF ha lo scopo di prevenire phishing mesajele E Spoofing via e -mail. In questo modo i messaggi spediti non saranno più contrassegnati come spam.
Framework dei criteri del mittente (SPF)È un metodo standard di autenticazione del dominio da cui vengono inviati i messaggi. Gli ingressi SPF sono impostati Managerul DNS txt del tuo dominio e in questa entrata verrà specificato il nome di dominio, l'IP o le aree che hanno il diritto di inviare messaggi e-mail utilizzando il nome di dominio o l'organizzazione.
Un dominio senza SPF può consentire agli spammer di inviare messaggi di posta elettronica da altri server, Usando come maschera il tuo nome di dominio. In questo modo possono diffondersi False informazioni O Possono essere richiesti dati sensibili A nome della tua organizzazione
Naturalmente, i messaggi possono essere inviati per tuo conto su altri server, ma saranno contrassegnati come spam o respinti, se quel server o il nome di dominio non è specificato nell'input di txt SPF del tuo dominio.
Un valore SPF in DNS Manager sembra un modulo:
@ : "v=spf1 a mx ip4:x.x.x.x ?all"Dove “IP4” Rappresenta IPv4 del tuo server di posta elettronica.
Come impostiamo SPF per altre aree?
Se vogliamo autorizzare altri campi a inviare messaggi di posta elettronica per conto della nostra area, li specificheremo con il valore “include” In SPF txt:
v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~allCiò significa che dal nostro nome il dominio e-mail può essere spedito messaggi di posta elettronica da Esempio1.com e Esempio2.com.
È un record molto utile se abbiamo un esempio a Rivista online sull'indirizzo “Esempio1.com“, ma vogliamo che i messaggi del negozio online ai clienti se ne va Indirizzo del dominio aziendale, questo essere “Esempio.com“. In Spf txt per “Esempio.com”, che dobbiamo specificare con IP e “Includi: Esempio1.com”. In modo che i messaggi possano essere spediti dal nome dell'organizzazione.
Come impostiamo SPF per IPv4 e IPv6?
Abbiamo un server di posta elettronica entrambi con IPv4 così come con IPv6, è molto importante che entrambi gli IP siano specificati in SPF TXT.
v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~allSuccessivamente, dopo “IP” La direttiva può essere utilizzata “include” Per aggiungere campi autorizzati per la spedizione.
Cosa significa questo “~all“, “-all” E “+all” Ale SPF?
Come ho detto sopra, il provider (ISP) può ancora ricevere messaggi di posta elettronica per conto della tua organizzazione. Anche se vengono inviati da un dominio o IP non specificato nella politica SPF. Etichetta “Tutto” Dì ai server di destinazione come trattare questi messaggi da altre aree che non sono autorizzati e inviare messaggi per conto di te o dell'organizzazione.
~all : Se il messaggio viene ricevuto da un dominio che non è elencato in SPF TXT, i messaggi saranno accettati sul server di destinazione, ma saranno contrassegnati come spam o sospettosi. I filtri anti-spam di buone pratiche del destinatario saranno soggetti ai filtri anti-spam.
-all : È il tag più rigoroso aggiunto a un input SPF. Se il dominio non è elencato, il messaggio sarà contrassegnato come non autorizzato e sarà respinto dal fornitore. Non verrà consegnato nemmeno in spam.
+all : Molto raramente utilizzato e non consigliato, questo tag consente ad altri di inviare messaggi di posta elettronica per conto della propria o dell'organizzazione. La maggior parte dei provider rifiuta automaticamente tutti i messaggi di posta elettronica provenienti da aree con SPF txt “+all“. Proprio perché l'autentitudine del mittente non può essere verificata, tranne dopo un controllo di “E -mail Intestazione”.
Riepilogo: Cosa significa Sender Policy Framework (SPF)?
Autorizza attraverso l'area DNS TXT / SPF, IPS e nomi di dominio che possono inviare messaggi di posta elettronica dal tuo campo o azienda. Allo stesso tempo, applica le conseguenze applicate per i messaggi inviati da campi non autorizzati.
Cosa significa Dmarc e perché è importante per il server di posta elettronica?
Dmarc (Reporting e conformità dell'autenticazione dei messaggi basati sul dominio) è strettamente correlato agli standard politici SPF E Dkim.
Dmarc este a Sistema di validazione concepito per proteggere Il tuo nome di dominio e-mail della tua o azienda, di pratiche come lo spoofing e -mail e truffe di phishing.
Utilizzando gli standard SPF (Sender Policy Framework) e DKIM (Domain Keys Identified Mail) aggiungono una funzionalità molto importante. segnalazioni.
Quando un proprietario del dominio pubblica DMARC nell'area DNS TXT, otterrà informazioni su chi invierà messaggi di posta elettronica per conto o della società che possiede il dominio protetto con SPF e DKIM. Allo stesso tempo, i destinatari dei messaggi sapranno se e come queste buone pratiche sono monitorate dal proprietario del mittente.
Un'integrazione DMARC in DNS TXT può essere della forma:
V=DMARC1; rua=mailto:[email protected]; ruf=mailto:[email protected]; p=none; sp=none; fo=0;In DMARC è possibile mettere diverse condizioni per i segnalazioni di incidenti e gli indirizzi e-mail su cui raggiungere le analisi e i rapporti. Si consiglia di utilizzare indirizzi e-mail dedicati per Dmarc perché il volume dei messaggi ricevuti può essere significativo.
I tag DMARC possono essere impostati in base alla politica imposta da te o dall'organizzazione:
v – La versione del protocollo Dmarc esistente. p – Applicare questa politica quando non è possibile controllare Dmarc per i messaggi di posta elettronica. Può avere il valore: “none“, “quarantine” O “reject“. È usato “none” per ottenere report sul flusso di messaggi e fonte.rua – È un elenco di URL che gli ISP possono inviare feedback in formato XML. Se aggiungiamo l'indirizzo e -mail qui, il link sarà del modulo: “rua=mailto:[email protected]” .ruf – L'elenco degli URL che gli ISP possono inviare report su incidenti e reati informatici fatti per conto della tua organizzazione. L'indirizzo sarà del modulo: “ruf=mailto:[email protected]“. rf – Il formato per la segnalazione di reati informatici. Può essere di forma “afrf” O “iodef“. pct – Indica il fornitore di Internet / ISP per applicare la politica Dmarc solo per una determinata percentuale di messaggi non riusciti. Ad esempio, possiamo avere: “pct=50%” o politiche “quarantine” E “reject“. Non sarà mai accettato “none“. adkim – Specifica “Modalità di allineamento” Per le firme digitali DKIM. Ciò significa che viene controllata la firma digitale di un input DKIM con il dominio. adkim può avere i valori: r (Relaxed) O s (Strict). aspf – Allo stesso modo del caso di adkim è specificato “Modalità di allineamento” Per SPF e supporta gli stessi valori. r (Relaxed) O s (Strict). sp – Questa politica si applica per consentire ai sottodomi derivati dal campo dell'organizzazione, di utilizzare il valore del dominio. Ciò evita l'uso di politiche separate per ogni area. È praticamente uno “Caramone” Per tutti i sottodomi. ri – Questo valore imposta l'intervallo in cui i rapporti XML verranno ricevuti per Dmarc. Il più delle volte, i rapporti sono preferibili a fare quotidianamente. fo – Opzioni per i rapporti di frode. “Opzioni forensi“. Possono avere i valori “0” Per segnalare incidenti quando si guastano sia SPF che DKIM o valore “1” Per lo scenario in cui SPF o DKIM non esistono o non controlla.
Quindi, per essere sicuro che i messaggi e -mail o e -mail dell'azienda arrivano ai destinatari della posta in arrivo, è necessario tenere conto di questi tre standard di “Buona pratica per i messaggi di posta elettronica della spedizione“. Dkim, SPF E Dmarc. Tutti e tre questi standard sono correlati a DNS TXT e possono essere gestiti dal gestore DNS del campo.
1 pensato su "Come configuriamo l'area TXT DNS per SPF, DKIM e DMARC e come evitiamo che i messaggi di posta elettronica siano respinti da Gmail – Consegna di posta non riuscita”