Beheerders van ernstige privé-e-mail voor bedrijven kampen vaak met veel problemen en uitdagingen. Van de golven van Spam die moeten worden geblokkeerd door specifieke filters, correspondentie beveiliging op de lokale e-mailserver en externe servers, Configureren En SMTP-services controleren, KNAL, IMAP, plus vele en vele andere details van SPF-, DKIM- en DMARC-configuratie om te voldoen aan goede praktijken voor het verzenden van beveiligde e-mailberichten.

Multe probleme de expediere mesaje e-mail of receptionare catre / de la ati provideri, apar din cauza configurarii incorecte a zonei DNS, ce tine de serviciul de e-mail.

Pentru ca de pe un nume de domeniu sa poata fi trimise e-mail-uri, acesta trebuie sa fie hostat pe un server de e-mail configurat corespunzator, iar numele de domeniu sa aibe zonele DNS voor SPF, MX, DMARC SI DKIM setate corect in managerul DNS TXT al domeniului.

In articolul de azi ne vom opri asupra unei probleme destul de des intalnite pe serverele de e-mail private pentru business. Imposibilitatea de a trimite mesaje e-mail catre conturi de Gmail, Yahoo! sau iCloud.

Berichten verzonden naar @Gmail.com worden automatisch afgewezen. “E-mailbezorging mislukt: bericht teruggestuurd naar afzender”

Am intalnit recent o problema pe un domeniu de e-mail al unei companii, de pe care se expediaza regulat mesaje e-mail catre alte companii si catre persoane fizice, unele dintre acestea avand adrese @gmail.com. Toate mesajele expediate catre conturile de Gmail reveneau imediat la expeditor. “E-mailbezorging mislukt: bericht teruggestuurd naar afzender”.

Mesajul de eroare returnat in serverul de e-mail pe EXIM arata in felul urmator:

1nSeUV-0005zz-De ** [email protected] R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

In acest scenariu nu este ceva foarte grav, cum ar fi includerea numelui de domeniu expeditor sau IP expeditor intr-o lista de SPAM globala sau o eroare majora de configuratie a serviciilor de e-mail pe sevrer (EXIM).
Chiar daca multi cand vad acest mesaj se duc cu gandul imediat la SPAM sau o la eroare de configurare SMTP, problema este generata de zona DNS TXT a domeniului. De cele mai multe ori, DKIM nu exista configurat in zona DNS sau nu este trecut corect in managerul DNS al domeniul. Des intalnita aceasta problema la cei care folosesc WolkFlare ca DNS Manager si uita sa treaca DNS TXT: mail._domainkey ((DKIM), DMARC En SPF.

Asa cum ne spune si in mesajul de respingere de la Gmail, autenticitatea si autentificarea domeniul expeditor, a esuat. “This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks.”. Asta inseamna ca domeniul nu are configurate DNS TXT pentru a asigura credibilitate pentru serverul de e-mail destinatar. Gmail, in scenariul nostru.

Atunci cand adaugam un domeniu web cu serviciu de e-mail activ pe cPanel sau VestaCP, se creeaza automat si fisierele din zona DNS a domeniului respeciv. Zona DNS care contine inclusiv configuratia serviciului de e-mail: MX, SPF, DKIM, DMARC.
In situatia in care alegem ca domeniul sa fie pe manager DNS CloudFlare, zona DNS din contul de hosting al domeniului respectiv, trebuie copiata in CloudFlare, pentru ca domeniul de e-mail sa functioneze corect. Asta a fost problema in scenariul de mai sus. Intr-un manager DNS tert, nu exista inscrierea DKIM, desi ea exista pe managerul DNS al serverului local.

Wat is DKIM en waarom worden e-mails afgewezen als we deze functie niet hebben op een e-maildomein?

DomainKeys Identified Mail (DKIM) este o solutie standard de autentificare a unui domeniu e-mail, care adauga o digitale handtekening bij elk verzonden bericht. Bestemmingsservers kunnen via DKIM controleren of het bericht afkomstig is uit het legale domein van de afzender en niet uit een ander domein dat de identiteit van de afzender als masker gebruikt. In ieder geval, als je het domein hebt abcdqwerty.com zonder DKIM kunnen e-mailberichten vanaf andere servers worden verzonden met uw domeinnaam. Het is als je een identiteitsdiefstal wilt, wat in technische termen heet e-mailspoofing.
Een veelgebruikte techniek bij het versturen van e-mailberichten phishing En spam.

Ook via DKIM kan ervoor worden gezorgd dat, de inhoud van het bericht is niet gewijzigd nadat het door de afzender is verzonden.

Avand DKIM setat corect pe severul gazda al sistemului de e-mail si in zona DNS, se elimina mult si posibilitatea ca mesajele dvs. sa ajunga in SPAM la destinatar sau sa nu ajunga deloc.

Un exemplu de DKIM este:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Desigur, valoarea DKIM obtinuta prin algoritmul de cripatre RSA este unica pentru fiecare nume de domeniu si poate fi regenerata de pe serverul gazda al serviciului de e-mail.

Avand DKIM instalat si setat corect in DNS TXT manager, este foarte posibil sa rezolve problema mesajelor returnate catre conturile de Gmail. Cel putin pentru eroarea “Mail levering is mislukt”:

“SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked.”

Ca o scurta recapitulare, DKIM adauga o semnatura digitala fiecarui mesaj trimis, ceea ce permite serverelor de destinatie sa verifice autenticitate expeditorului. Daca mesajul a venit de la compania dvs. si nu a fost folosita adresa de o terta parte, cu scopul de a se folosi de identitatea dvs.

Gmail (Google) poate respinge automat toate mesajele care vin de pe domenii care nu au o astfel de semantura digitala DKIM.

Wat is SPF en waarom is het belangrijk voor het veilig versturen van e-mailberichten?

La fel ca si DKIM, si SPF are scopul de a preveni mesajele phishing En e-mailspoofing. In acest fel mesajele expediate nu vor mai fi marcate ca spam.

Sender Policy Framework (SPF)este o metoda standard de autentificare a domeniului de pe care sunt expediate mesajele. Intrarile SPF sunt setate in managerul DNS TXT al domeniului dvs. iar in aceasta intrare va fi specificat numele de domeniu, IP-ul sau domeniile care au dreptul sa expedieze mesaje in e-mail folosind numele de domeniu al dvs. sau al organizatiei.

Un domeniu fara SPF poate permite spammerilor sa trimita mesaje de e-mail de pe alte servere, folosind ca masca numele dvs. de domeniu. In acest fel se pot raspandi informatii false of se pot solicita date sensibile in numele organizatiei dvs.

Desigur, mesajele pot fi trimise in continuare in numele dvs. de pe alte servere, insa acestea vor fi marcate ca spam sau vor fi respinse, daca acel server sau nume de domeniu nu este specificat in intrarea SPF TXT a domeniului dvs.

O valoare SPF in DNS manager arata de forma:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Waar “ip4” reprezinta IPv4 al serverului dvs. de e-mail.

Cum setam SPF pentru mai multe domenii?

Daca dorim sa autorizam si alte domenii care sa trimita mesaje e-mail in numele domeniului nostru, le vom specifica cu valoarea “include” in SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Asta inseamna ca de pe numele domeniul nostru de e-mail se pot expedia mesaje e-mail si de pe example1.com si example2.com.
Este un record foarte util daca avem de exemplu un Magazine online pe adresa “example1.com“, dar dorim ca mesajele din magazinul online catre clienti sa plece de pe adresa de domeniu a companiei, dit wezen “voorbeeld.com“. In SPF TXT voor “voorbeeld.com”, zoals we samen met het IP-adres en moeten specificeren “omvatten:voorbeeld1.com”. Zodat er namens de organisatie berichten kunnen worden verzonden.

Cum setam SPF pentru IPv4 si IPv6?

Wij hebben met beide een mailserver IPv4 evenals met IPv6, is het erg belangrijk dat beide IP's worden opgegeven in de SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Volgende, na “ip” richtlijn kan worden gebruikt “include” om domeinen toe te voegen die geautoriseerd zijn voor verzending.

Wat betekent dit “~all“, “-all” En “+all” ale SPF?

Zoals ik hierboven al zei, kunnen ISP's nog steeds e-mailberichten ontvangen namens uw organisatie, zelfs als deze worden verzonden vanaf een domein of IP-adres dat niet is gespecificeerd in het SPF-beleid. Label “alle” vertelt bestemmingsservers hoe ze deze berichten moeten behandelen van andere domeinen die niet geautoriseerd zijn en namens u of uw organisatie berichten verzenden.

~all : Daca mesajul este primit de la un domeniu care nu este listat in SPF TXT, mesajele vor fi accepate pe serverul de destinatie, insa ele vor fi marcate ca spam sau ca fiind suspecte. Se vor supune filtrelor anti-spam de bune practici ale providerului destinatar.

-all : Este cel mai strict tag adaugat unei intrari SPF. Daca domeniul nu este listat, mesajul va fi marcat ca neautorizat si va fi respins de provider. Acesta nu va fi livrat nici macar in spam.

+all : Foarte rar folosit si deloc recomandat, acest tag permite altora sa trimita mesaje de e-mail in numele dvs. sau al organizatiei. Cei mai multi provideri resping automat toate mesajele e-mail care vin de pe domenii cu SPF TXT “+all“. Tocmai pentru ca nu se poate verifica autencititatea expeditorului, decat in urma unei verificari de “email header”.

Rezumat: Ce inseamna Sender Policy Framework (SPF)?

• Uitzetten & Dns Cache wissen – Windows 7, Vista & XP
• Gebruik DNS -alternatieve servers voor sneller laden van webpagina's
• Hoe kunnen we het DNS -adres wijzigen in OS X
• Hoe kunnen we de DNS-cache in OS X resetten
• Verhoogt de surfsnelheid van de internet met Google Public DNS

Autorizeaza prin intermediul zonei DNS TXT / SPF, IP-uri si nume de domenii care pot expedia mesaje e-mail de pe domeniul dvs. sau al companiei. Totodata aplica consecintele care se aplica pentru mesajele care sunt trimise de pe domenii neautorizate.

Ce inseamna DMARC si de ce este important pentru server de e-mail?

DMARC ((Domain-based Message Authentication Reporting and Conformance) este strans legat de standardele de politici SPF En DKIM.
DMARC este un sistem de validare conceput pentru a proteja numele de domeniu e-mail al dvs. sau al companiei, de practici precum email spoofing si phishing scams.

Folosind standardele de control SPF (Sender Policy Framework) si DKIM (Domain Keys Identified Mail), DMARC adauga o caracteristica foarte importanta. Raportarea.

Cand un proprietar de domeniu publica DMARC in zona DNS TXT, va obtine informatii despre cine trimite mesaje de e-mail in numele lui sau al companiei care detine domeniul protejat cu SPF si DKIM. Totodata providerii destinatari ai mesajelor vor sti daca si cum aceste politici de bune practici sunt monitorizate de proprietarul domeniului expeditor.

O intregistrare DMARC in DNS TXT poate fi de forma:

V=DMARC1; rua=mailto:[email protected]; ruf=mailto:[email protected]; p=none; sp=none; fo=0;

In DMARC se pot pot pune mai multe conditii de raportare a incidentelor cat si adresele de e-mail pe care sa ajunga analizele si rapoartele. Este indicat sa folositi adrese de e-mail dedicate pentru DMARC deoarece volumul de mesaje primite poate fi semnificativ.

Etichetele DMARC pot fi setate in functie de politica impusa de dvs. sau de organizatie:

v – versiunea protocolului DMARC existent.
p – aplica aceasta politica atunci cand nu se poate verificarea DMARC pentru mesajele e-mail. Poate avea valorea: “none“, “quarantine” of “reject“. Se utilizeaza “none” pentru a obtine rapoarte despre fluxul mesajelor si starea acesora.
rua – Este o lista de URL-uri pe care ISP-urile pot trimite feedback in format XML. Daca adaugam aici adresa de e-mail, link-ul va fi de forma: “rua=mailto:[email protected]” .
ruf – Lijst met URL's waarnaar ISP's rapporten kunnen sturen over cyberincidenten en misdaden gepleegd namens uw organisatie. Het adres heeft de volgende vorm: “ruf=mailto:[email protected]“.
rf – Rapportageformaat voor cybercriminaliteit. Het kan worden gevormd “afrf” of “iodef“.
pct – Vertelt de internetprovider/ISP om het DMARC-beleid alleen op een bepaald percentage mislukte berichten toe te passen. We kunnen bijvoorbeeld het volgende hebben: “pct=50%” of beleid “quarantine” En “reject“. Het zal nooit geaccepteerd worden “none“.
adkim – Specificeer “Uitlijningsmodus” voor DKIM digitale handtekeningen. Dit betekent dat de matching van de digitale handtekening van een DKIM-invoer met het domein wordt gecontroleerd. adkim kan de waarden hebben: r ((Relaxed) of s ((Strict).
aspf – Op dezelfde manier als in de casus adkim is gespecificeerd “Uitlijningsmodus” voor SPF en ondersteunt dezelfde waarden. r ((Relaxed) of s ((Strict).
sp – Aceasta politica se aplica pentru a permite subdomeniilor derivate din domeniul organizatiei, sa foloseasca valoarea DMARC a domeniului. Se evita astfel folosirea de politici separate pentru fiecare domeniul in parte. Este practic un “wildcard” pentru toate subdomeniile.
ri – Prin aceasta valoare se seteaza intervalul la care se vor primi rapoarte XML pentru DMARC. De cele mai multe ori, raportarea este de preferat sa se faca zilnic.
fo – Optiuni pentru rapoarte de frauda. “Forensic options“. Acestea pot avea valorile “0” pentru a raporta incidentele atunci cand esueaza atat verificarea SPF cat si DKIM, sau valoarea “1” pentru scenariul in care SPF sau DKIM nu exista sau nu trec verificarea.

Om er zeker van te zijn dat de e-mailberichten van u of uw bedrijf de ontvangers in de Inbox bereiken, is het noodzakelijk om rekening te houden met deze drie normen van “best practices voor het verzenden van e-mailberichten“. DKIM, SPF En DMARC. Al deze drie standaarden behoren tot DNS TXT en kunnen worden beheerd vanuit de DNS-manager van het domein.