Jak konfigurujemy obszar DNS TXT dla SPF, DKIM i DMARC oraz jak unikamy odrzucania wiadomości e -mail biznesowych przez Gmaila – Dostawa poczty nie powiodła się

Administratorzy Ciężki prywatny e -mail dla biznesu Często boryka się z wieloma problemami i wyzwaniami. Z fal Spam do zablokowania przez określone filtry, Bezpieczeństwo korespondencji Na lokalnym serwerze e -mail i serwerach zdalnych, Konfigurowanie i Monitorowanie usług SMTPW MUZYKA POPW Imap, plus wiele innych szczegółów Konfiguracja SPF, DKIM i DMARC Aby przestrzegać dobrych praktyk bezpiecznej wysyłki e -mail.

Wiele problemów Wiadomości e-mail wysyłki Lub konsygnatariusz do / od dostawców ATI, występują z powodu niepoprawnej konfiguracji obszaru DNSCo z usługą e-mail.

Tak że z nazwy domeny można wysłać e -maile, musi być Hostat na serwerze e -mail Znowu skonfigurowane prawidłowo Nazwa domeny, która ma obszary DNS Do SPFW MXW DMARC I DKIM ustaw prawidłowo w menedżerze DNS TXT domeny.

W dzisiejszym artykule zatrzymamy się na dość powszechnym problemie Prywatne serwery e-mail dla biznesu. Niemożność wysyłania wiadomości e-mail na konta Gmaila, Yahoo! lub iCloud.

Wiadomości wysyłane na @gmail.com są automatycznie odrzucane. “Dostawa poczty nie powiodła się: powrót wiadomości do nadawcy”

Niedawno napotkałem problem obszar e-mail firmy, z których wiadomości e-mail do innych firm i osób fizycznych są regularnie wysyłane, niektóre z nich mają adresy @gmail.com. Wszystkie wiadomości wysłane na konta Gmail natychmiast zwrócone do nadawcy. “Dostawa poczty nie powiodła się: powrót wiadomości do nadawcy”.

Komunikat o błędzie zwrócony do serwera e -mail Exim Wygląda w następujący sposób:

1nSeUV-0005zz-De ** [email protected] R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

W tym scenariuszu nie ma czegoś bardzo poważnego, na przykład W tym nazwa domeny wysyłki lub nadawcy IP na liście spamu globalny lub o Główny błąd konfiguracji usług e-mail na sevrer (Exim).
Nawet jeśli wielu, gdy widzę, że ta wiadomość natychmiast idzie z myślą do spamu lub błędu konfiguracji SMTP, problem jest generowany przez obszar DNS TXT domeny. Przez większość czasu DKIM nie istnieje skonfigurowany w obszarze DNS lub nie jest odpowiednio przekazywany w menedżerze DNS. Często napotykał ten problem tym, którzy używają Cloudflare Jako menedżer DNS i zapomnij o przejściu DNS TXT: Mail._Domainkey (DKIM), DMARC i SPF.

Jak mówi nam w komunikacie odrzucania od Gmaila, autentyczność i uwierzytelnianie nadawcy nie powiodły się. “Ten komunikat nie zawiera informacji o uwierzytelnianiu ani nie jest N550-5.7.26 Kontrole uwierzytelniania.”. Oznacza to, że domena nie ma skonfigurowanej DNS TXT, aby zapewnić wiarygodność serwerze e-mail odbiorcy. Gmail, w naszym scenariuszu.

Podczas dodawania domeny internetowej z aktywną usługą e-mail na CPANEL lub VestACP, pliki w obszarze DNS w odpowiedniej domenie są również tworzone. Obszar DNS, który zawiera, w tym konfiguracja usług e-mail: MXW SPFW DKIMW DMARC.
W sytuacji, w której wybieramy domenę, aby być na menedżerze DNS Cloudflare, Obszar DNS konta hostingowego odpowiedniej domeny należy skopiować w chmurze, aby obszar e-mail działał poprawnie. To był problem w powyższym scenariuszu. W menedżerze DNS Tert nie ma rejestracji DKIM, chociaż istnieje ona na menedżerze DNS lokalnego serwera.

Co to jest DKIM i dlaczego odrzucanie e-maili, jeśli nie mamy tej funkcji na e-mailu?

Domainkeys zidentyfikował pocztę (DKIM) Jest to standardowe rozwiązanie uwierzytelniania domeny e-mail, która dodaje podpis cyfrowy do każdej wysłanej wiadomości. Serwery docelowe mogą sprawdzić za pośrednictwem DKIM, jeśli wiadomość pochodzi z prawa nadawcy, a nie z innego obszaru, który wykorzystuje tożsamość nadawcy jako maskę. O znaczeniu wszystkich, jeśli masz domenę abcdqwerty.com Bez DKIM wiadomości e-mail z innych serwerów można wysłać za pomocą nazwy domeny. To, jeśli chcesz kradzieży tożsamości, co w kategoriach technicznych jest wywoływane Podkład e -mail.
Powszechna technika, gdy wysyłane są wiadomości e-mail z wiadomości e-mail phishing i Spam.

Również za pośrednictwem DKIM można zapewnić, że, Treść wiadomości nie została zmieniona po wysłaniu przez nadawcę.

Po prawidłowym ustawieniu DKIM na Severis systemu e-mail i w obszarze DNS możliwość dotarcia do odbiorcy lub w ogóle nie dotrze.

Przykładem DKIM jest:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Oczywiście wartość DKIM uzyskana przez CRIPATRE RSA Algorytm Jest unikalny dla każdej nazwy domeny i można go zregenerować z serwera hosta usługi e-mail.

Zainstalowanie i prawidłowe ustawienie DKIM DNS TXT Menedżer, bardzo możliwe jest rozwiązanie problemu wiadomości zwróconych na konta Gmail. Przynajmniej dla błędu “Dostawa poczty nie powiodła się”:

“Błąd SMTP z serwera pocztowego zdalnego po zakończeniu końca danych: 550-5.7.26 Ten komunikat nie zawiera informacji o uwierzytelnianiu ani nie zawiera N550-5.7.26 Kontroli uwierzytelniania. Aby najlepiej chronić naszych użytkowników przed spamem, komunikat N550-5.7.26 został zablokowany.”

Jak krótkie podsumowanie, DKIM dodaje podpis cyfrowy do każdej wysłanej wiadomości, który pozwala serwerom docelowym weryfikować autentyczność dla nadawcy. Jeśli wiadomość pochodzi z Twojej firmy, a adres strony trzeciej nie został użyty, aby użyć Twojej tożsamości.

Gmail (Google) może automatycznie odrzuca wszystkie wiadomości które pochodzą z pól, które nie mają takiego cyfrowego semantu DKIM.

Co to jest SPF i dlaczego jest to ważne dla bezpiecznej wysyłki wiadomości e -mail?

Tak jak Dkim i SPF ma cel zapobiegania phishing Mesajele i Podkład e -mail. W ten sposób wysłane wiadomości nie będą już oznaczone jako spam.

Ramy polityki nadawcy (SPF)Jest to standardowa metoda uwierzytelniania domeny, z której wysyłane są wiadomości. Wejścia SPF są ustawione Managerul DNS TXT Twojej domeny i przy tym wejściu zostanie określona nazwa domeny, adres IP lub obszary, które mają prawo wysyłać wiadomości w e-mailu za pomocą nazwy lub organizacji domeny.

Domena bez SPF może umożliwić spamerom wysyłanie wiadomości e-mail z innych serwerów, Używanie jako maski nazwy domeny. W ten sposób mogą się rozprzestrzeniać Fałszywe informacje Lub Można wymagać wrażliwych danych W imieniu Twojej organizacji

Oczywiście wiadomości mogą być wysyłane w twoim imieniu na innych serwerach, ale zostaną one oznaczone jako spam lub odrzucone, jeśli nazwa serwera lub domeny nie jest określona w wejściu SPF TXT w Twojej domenie.

Wartość SPF w menedżerze DNS wygląda jak forma:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Gdzie “IP4” Reprezentuje IPv4 twojego serwera e -mail.

Jak ustawiać SPF na więcej obszarów?

Jeśli chcemy zezwolić na inne pola do wysyłania wiadomości e -mail w imieniu naszego obszaru, określamy je o wartości “include” W SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Oznacza to, że z naszej nazwy domeny e-mail można wysłać wiadomości e-mail z example1.com i example2.com.
Jest to bardzo przydatna rekord, jeśli mamy przykład Magazyn online na adres “przykład1.com“, ale chcemy, aby wiadomości ze sklepu internetowego do klientów zostawili Adres domeny firmy, to istota “przykład.com“. W SPF TXT Do “przykład.com”, że musimy określić za pomocą IP i “Uwzględnij: przykład1.com”. Aby wiadomości mogły być wysyłane z nazwy organizacji.

Jak ustawić SPF dla IPv4 i IPv6?

Mamy serwer e -mail z obie strony z IPv4 a także z IPv6, bardzo ważne jest, aby oba IP były określone w SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Następnie “ip” Można użyć dyrektywy “include” Aby dodać autoryzowane pola do wysyłki.

Co to oznacza “~all“W “-all” i “+all” Ale SPF?

Jak powiedziałem powyżej, dostawca (ISP) może nadal otrzymywać wiadomości e-mail w imieniu Twojej organizacji. Nawet jeśli są wysyłane z domeny lub IP, które nie są określone w polityce SPF. Etykieta “Wszystko” Powiedz serwerom docelowym, jak traktować te wiadomości z innych obszarów, które nie są autoryzowane, i wysyłać wiadomości w imieniu ciebie lub organizacji.

~all : Jeśli wiadomość zostanie odebrana z domeny, która nie jest wymieniona w SPF TXT, wiadomości będą akceptowane na serwerze docelowym, ale zostaną oznaczone jako spam lub podejrzane. Filtry antyspamowe dobrych praktyk odbiorcy będą podlegać filtrom antyspamowym.

-all : Jest najsurowszym znacznikiem dodanym do wejścia SPF. Jeśli domena nie zostanie wymieniona, wiadomość zostanie oznaczona jako nieautoryzowana i zostanie odrzucona przez dostawcę. Nie zostanie dostarczony nawet w spamie.

+all : Bardzo rzadko używane i nie zalecane, ten tag pozwala innym wysyłać wiadomości e-mail w imieniu organizacji lub organizacji. Większość dostawców automatycznie odrzuca wszystkie wiadomości e-mail pochodzące z obszarów z SPF TXT “+all“. Właśnie dlatego, że autentyczności nadawcy nie można zweryfikować, z wyjątkiem sprawdzania “nagłówek e -mail”.

Streszczenie: Co oznacza Framework Policy Sender (SPF)?

• Wyłączyć & Wyczyść pamięć podręczną DNS – Windows 7, Vista & XP
• Użyj alternatywnych serwerów DNS do szybszego ładowania stron internetowych
• Jak możemy zmienić adres DNS w OS X
• Jak możemy zresetować pamięć podręczną DNS w OS X
• Zwiększa szybkość przeglądania Internetu dzięki Google Public DNS

Upoważnia za pośrednictwem obszaru DNS TXT / SPF, IPS i nazw domen, które mogą wysyłać wiadomości e -mail z twojego pola lub firmy. Jednocześnie stosuje konsekwencje stosowane w przypadku wiadomości wysyłanych z nieautoryzowanych pól.

Co oznacza DMARC i dlaczego jest to ważne dla serwera e-mail?

DMARC (Raportowanie i zgodność z uwierzytelnianiem wiadomości oparte na domenach) jest ściśle związany ze standardami polityki SPF i DKIM.
Dmarc este a System sprawdzania poprawności opracowany w celu ochrony Twoja nazwa domeny e-mailowej lub firmy, praktyk takich jak fałszowanie e -mail i Oszustwa phishingowe.

Korzystanie z standardów SPF (Sender Policy Framework) i DKIM (zidentyfikowane klucze domeny) dodają bardzo ważną funkcję. Raporty.

Gdy właściciel domeny publikuje DMARC w obszarze DNS TXT, uzyska informacje o tym, kto wysyła wiadomości e-mail w imieniu lub firmy, która jest właścicielem domeny chronionej SPF i DKIM. Jednocześnie odbiorcy wiadomości będą wiedzieć, czy i jak te dobre praktyki są monitorowane przez właściciela nadawcy.

Integracja DMARC w DNS TXT może mieć formę:

V=DMARC1; rua=mailto:[email protected]; ruf=mailto:[email protected]; p=none; sp=none; fo=0;

W DMARC możesz umieścić kilka warunków do zgłaszania incydentów, a także adresy e-mail, na których można osiągnąć analizy i raporty. Wskazane jest użycie dedykowanych adresów e-mail dla DMARC, ponieważ ilość otrzymanych wiadomości może być znacząca.

Tagi DMARC można ustawić zgodnie z polityką nałożoną przez Ciebie lub organizację:

v – Wersja istniejącego protokołu DMARC.
p – Zastosuj tę zasadę, gdy nie możesz sprawdzić DMARC w poszukiwaniu wiadomości e -mail. Może mieć wartość: “none“W “quarantine” Lub “reject“. Jest używany “none” Aby uzyskać raporty na temat przepływu wiadomości i źródła.
rua – Jest to lista adresów URL, które dostawcy usług internetowych mogą wysyłać informacje zwrotne w formacie XML. Jeśli dodamy tutaj adres e -mail, link będzie w formularzu: “rua=mailto:[email protected]” .
ruf – Lista adresów URL, które dostawcy usług internetowych mogą wysyłać raporty dotyczące incydentów i cyberprzestępców dokonanych w imieniu Twojej organizacji. Adres będzie formularza: “ruf=mailto:[email protected]“.
rf – Format zgłaszania przestępstw cybernetycznych. Może być forma “afrf” Lub “iodef“.
pct – Wskazuje dostawcę Internetu / ISP do zastosowania zasady DMARC tylko dla pewnego procentu nieudanych wiadomości. Na przykład możemy mieć: “pct=50%” lub zasady “quarantine” i “reject“. Nigdy nie zostanie zaakceptowany “none“.
adkim – Specyficzny “Tryb wyrównania” W przypadku podpisów cyfrowych DKIM. Oznacza to, że cyfrowy podpis wejścia DKIM z domeną jest sprawdzany. adkim może mieć wartości: r (Relaxed) Lub s (Strict).
aspf – W taki sam sposób, jak w przypadku adkim jest określony “Tryb wyrównania” Dla SPF i obsługuj te same wartości. r (Relaxed) Lub s (Strict).
sp – Niniejsza polityka ma zastosowanie do umożliwienia subdomina pochodzącym z dziedziny organizacji, wykorzystania wartości domeny. Unika to użycia oddzielnych zasad dla każdego obszaru. To jest praktycznie jeden “Kardka Wildcard” dla wszystkich subdomeny.
ri – Ta wartość ustawia interwał, w którym raporty XML zostaną odebrane dla DMARC. Przez większość czasu raportowanie jest lepsze do codziennego robienia.
fo – Opcje raportów o oszustwach. “Opcje kryminalistyczne“. Mogą mieć wartości “0” Zgłaszać incydenty podczas niepowodzenia zarówno SPF, jak i DKIM lub wartości “1” W przypadku scenariusza, w którym SPF lub DKIM nie istnieje lub nie sprawdzają.

Aby upewnić się, że wiadomości e -mail lub firmy do odbiorców odbiorczych, musisz wziąć pod uwagę te trzy standardy “Dobra praktyka do wysyłki wiadomości e-mail“. DKIMW SPF i DMARC. Wszystkie te trzy standardy są powiązane z DNS TXT i mogą być zarządzane przez menedżera DNS w tej dziedzinie.