Как мы настраиваем область DNS TXT для SPF, DKIM и DMARC, и как мы избегаем бизнес -электронных сообщений, которые будут отклонены Gmail – Доставка почты не удалась

Администраторы Серьезное частное электронное письмо для бизнеса Это часто сталкивается с большим количеством проблем и проблем. От волн СПАМ быть заблокированным конкретными фильтрами, безопасность переписки На локальном почтовом сервере и удаленных серверах, Настройка и Мониторинг услуг SMTPВ ПопВ Имап, plus multe si multe alte detalii de Конфигурация SPF, DKIM и DMARC Чтобы соответствовать хорошей практике безопасной доставки электронной почты.

Много проблем Отгрузки по электронной почте или грузоподъемник до / от поставщиков ATI происходит из -за неправильной конфигурации области DNSА как насчет услуги по электронной почте.

Так что с доменного имени можно отправить электронные письма, это должно быть Hostat на почтовом сервере настроено правильно, опять же Доменное имя для областей DNS для SPFВ МксВ Dmarc И Дким правильно установить в менеджере DNS TXT домена.

В сегодняшней статье мы остановимся на довольно распространенной проблеме на Частные серверы электронной почты для бизнесаПолем Невозможность отправлять сообщения электронной почты в учетные записи Gmail, Yahoo! или iCloud.

Сообщения, отправленные на @gmail.com, автоматически отклоняются. “Ошибка доставки почты: возвращение сообщения отправителю”

Недавно я встретил проблему на зона электронной почты компании, из которых сообщения электронной почты для других компаний и частных лиц регулярно отправляются, некоторые из них имеют адреса @gmail.comПолем Все сообщения, отправленные в учетные записи Gmail, немедленно вернулись к отправителю. “Ошибка доставки почты: возвращение сообщения отправителю”Полем

Сообщение об ошибке возвращено на сервер электронной почты на Эмик выглядит следующим образом:

1nSeUV-0005zz-De ** [email protected] R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

В этом сценарии нет чего -то очень серьезного, например, как Включая доменное имя доставки или отправителя IP в списке спама глобальный или o Основная ошибка конфигурации услуги по электронной почте на севрер (Эмик)
Даже если многие, когда я вижу это сообщение, немедленно переносится с мыслью о спаме или ошибке конфигурации SMTP, проблема генерируется области DNS TXT домена. В большинстве случаев DKIM не существует, настроенной в области DNS или неправильно передается в DNS Manager. Часто встречал эту проблему с теми, кто использует Cloudflare как менеджер DNS и забудьте пройти DNS TXT: mail._domainkey (Дким), Dmarc и SPFПолем

Как он говорит нам в сообщении о отказе от Gmail, подлинность и аутентификация отправителя не удалось. “Это сообщение не имеет информации об аутентификации или не может бытьПолем”Полем Это означает, что домен не настроен DNS TXT, чтобы обеспечить доверие к серверу электронной почты получателя. Gmail, в нашем сценарии.

При добавлении веб-домена с активной службой электронной почты в CPanel или VestACP файлы в области DNS соответствующего домена также создаются автоматически. Область DNS, которая содержит, включая конфигурацию службы электронной почты: МксВ SPFВ ДкимВ DmarcПолем
В ситуации, когда мы выбираем домен, чтобы быть на менеджере DNS Cloudflare, область DNS хостинга соответствующего домена, должна быть скопирована в облаке, так что область электронной почты работает правильно. Это была проблема в вышеупомянутом сценарии. В DNS TERT Manager не существует регистрации DKIM, хотя она существует на DNS -диспетчера локального сервера.

Что такое DKIM и почему отказ от электронной почты, если у нас нет этой функции на электронной почте?

Доменки идентифицировали почту (DKIM) Это стандартное решение для аутентификации домена электронной почты, которая добавляет Цифровая подпись к каждому отправленному сообщению. Серверы назначения могут проверить DKIM, если сообщение поступает из закона отправителя, а не из другой области, которая использует личность отправителя в качестве маски. О значении всего, если у вас есть домен abcdqwerty.com Без DKIM сообщения электронной почты с других серверов могут быть отправлены с помощью вашего доменного имени. Это если вы хотите кражи личных Отправить по электронной почтеПолем
Общий метод при отправлении электронных писем по электронной почте фишинг и спамПолем

Также через DKIM может быть гарантирован, что, Содержание сообщений не было изменено после отправки отправителемПолем

Правильно устанавливая DKIM на хост севериса системы электронной почты и в области DNS, вероятность того, что ваши сообщения достигнут получателя или вообще не появятся.

Примером DKIM является:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Конечно значение DKIM, полученное Cripatre RSA -алгоритм Он уникален для каждого доменного имени и может быть восстановлен с хост-сервера службы электронной почты.

Установив DKIM и правильно установлен в DNS TXT Менеджер, очень возможно решить проблему сообщений, возвращаемых в учетные записи Gmail. По крайней мере для ошибки “Доставка почты не удалась”:

“Ошибка SMTP с удаленного почтового сервера после трубопровода в конце данных: 550-5.7.26 Это сообщение не имеет информации об аутентификации или не удается N550-5.7.26 Пропустить проверки аутентификации. Чтобы лучше всего защитить наших пользователей от спама, сообщение N550-5.7.26 было заблокировано.”

Как краткое повторение, DKIM добавляет цифровую подпись в каждое отправленное сообщение, что позволяет серверам назначения проверять подлинность отправителю. Если сообщение пришло от вашей компании, а адрес третьей стороны не использовался, чтобы использовать вашу личность.

Gmail (Google) Can автоматически отвергает все сообщения которые поступают из полей, которые не имеют такого цифрового семанта DKIM.

Что такое SPF и почему это важно для безопасной отправки сообщений электронной почты?

Точно так же, как Дким, и SPF есть цель предотвращения Месаджеле Фишинг и Отправить по электронной почтеПолем Таким образом, отправленные сообщения больше не будут помечены как спам.

Структура политики отправителя (SPF)Это стандартный метод аутентификации домена, из которого отправляются сообщения. Входы SPF устанавливаются Managerul DNS TXT В вашем домене и в этом входе будет указано доменное имя, IP или области, которые имеют право отправлять сообщения в электронную почту, используя ваше доменное имя или организацию.

Домен без SPF может позволить спамерам отправлять сообщения электронной почты с других серверов, Использование в качестве маски ваше доменное имяПолем Таким образом, они могут распространяться Ложная информация или Конфиденциальные данные могут быть запрошены От имени вашей организации

Конечно, сообщения могут быть отправлены от вашего имени на других серверах, но они будут помечены как спам или отклонены, если этот сервер или доменное имя не указано при вводе SPF TXT вашего домена.

Значение SPF в DNS Manager выглядит как форма:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Где “IP4” Представляет IPv4 вашего почтового сервера.

Как мы устанавливаем SPF для большего количества областей?

Daca dorim sa autorizam si alte domenii care sa trimita mesaje e-mail in numele domeniului nostru, le vom specifica cu valoarea “include” в SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Это означает, что от нашего имени домен электронной почты может быть отправлен в сообщения электронной почты с example1.com и example2.com.
Это очень полезная запись, если у нас есть пример А Журнал онлайн по адресу “Пример1.com“, но мы хотим, чтобы сообщения из интернет -магазина ушли из Адрес домена компании, это существо “Пример.com“Полем В SPF TXT для “Пример.com”, что нам нужно указать с помощью IP и “Включите: example1.com”Полем Так что сообщения могут быть отправлены с названия организации.

Как установить SPF для IPv4 и IPv6?

У нас есть почтовый сервер как с IPv4 а также с IPv6, очень важно, чтобы оба IP были указаны в SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Далее, после “IP” Директива может быть использована “include” Чтобы добавить уполномоченные поля для отправки.

Что это значит “~all“В “-all” и “+all” ale spf?

Как я уже говорил, поставщик (ISP) все еще может получать сообщения электронной почты от имени вашей организации. Даже если они отправлены из домена или IP, который не указан в политике SPF. Этикетка “все” Расскажите серверам назначения, как обращаться с этими сообщениями из других областей, которые не авторизованы, и отправлять сообщения от имени вас или организации.

~all : Если сообщение получено из домена, который не указан в SPF TXT, сообщения будут приняты на сервере назначения, но они будут помечены как спам или как подозрительные. Анти-спам-фильтры хороших практик получателя будут подвергаться анти-спам-фильтрам.

-all : Самый строгий тег, добавленный к входу SPF. Если домен не указан, сообщение будет помечено как несанкционированное и будет отклонено поставщиком. Он не будет доставлен даже в спаме.

+all : Очень редко используется и не рекомендуется, этот тег позволяет другим отправлять сообщения электронной почты от имени вашей или организации. Большинство поставщиков автоматически отклоняют все сообщения электронной почты, поступающие из областей с SPF TXT “+all“Полем Именно потому, что аутентичность отправителя не может быть проверена, за исключением проверки “Электронный заголовок”Полем

Краткое содержание: Что означает структура политики отправителя (SPF)?

• Запрещать & Очистить DNS Cache – Windows 7, Vista & XP
• Используйте альтернативные серверы DNS для более быстрой загрузки веб -страниц
• Как мы можем изменить адрес DNS в OS X
• Как мы можем сбросить кеш DNS в OS X
• Увеличивает скорость просмотра Интернета с Google Public DNS

Управляется через область DNS TXT / SPF, IPS и доменные имена, которые могут отправлять сообщения электронной почты из вашей области или компании. В то же время это применяет последствия, которые применяются для сообщений, которые отправляются из несанкционированных полей.

Что означает DMARC и почему это важно для сервера электронной почты?

Dmarc (Отчетность и соответствие аутентификации на основе доменов отчетности и соответствия) тесно связан со стандартами политики SPF и ДкимПолем
DMARC ESTE A. Система проверки задумано для защиты Ваше доменное имя электронной почты вашей или компании, такими практиками, как разделение электронной почты и Фишинг -мошенничествоПолем

Использование стандартов SPF (Framework Policy Sender) и DKIM (Keysed Identified Mail) добавляют очень важную функцию. ОтчетыПолем

Когда владелец домена публикует DMARC в области DNS TXT, он получит информацию о том, кто отправляет сообщения электронной почты от имени компании, которая владеет доменом, защищенным SPF и DKIM. В то же время получатели сообщений узнают, контролируется ли и как эти хорошие практики контролируются владельцем отправителя.

Интеграция DMARC в DNS TXT может иметь форму:

V=DMARC1; rua=mailto:[email protected]; ruf=mailto:[email protected]; p=none; sp=none; fo=0;

В DMARC вы можете установить несколько условий для сообщений об инцидентах, а также адреса электронной почты, по которым можно достичь анализа и отчетов. Желательно использовать выделенные адреса электронной почты для DMARC, потому что объем полученных сообщений может быть значительным.

Теги DMARC могут быть установлены в соответствии с политикой, навязанной вами или организацией:

v – Версия существующего протокола DMARC.
p – Примените эту политику, когда вы не можете проверить DMARC на наличие сообщений электронной почты. Может иметь значение: “none“В “quarantine” или “reject“Полем Это используется “none” Чтобы получить отчеты о потоке сообщений и источника.
rua – Это список URL -адресов, которые провайдеры могут отправлять обратную связь в формате XML. Если мы добавим здесь адрес электронной почты, ссылка будет из формы: “rua=mailto:[email protected]” Полем
ruf – Список URL -адресов, которые провайдеры могут отправлять отчеты об инцидентах и кибер -преступлениях, сделанных от имени вашей организации. Адрес будет иметь форму: “ruf=mailto:[email protected]“Полем
rf – Формат для сообщения о кибер -преступлениях. Может быть формы “afrf” или “iodef“Полем
pct – Указывает, что поставщик Интернета / ISP применяет политику DMARC только для определенного процента неудачных сообщений. Например, мы можем иметь: “pct=50%” или политика “quarantine” и “reject“Полем Никогда не будет принят “none“Полем
adkim – Специфический “Режим выравнивания” Для цифровых подписей DKIM. Это означает, что цифровая подпись ввода DKIM с доменом проверяется. adkim может иметь значения: r (Relaxed) или s (Strict)
aspf – Так же, как в случае adkim указан “Режим выравнивания” Для SPF и поддерживайте те же значения. r (Relaxed) или s (Strict)
sp – Эта политика применяется для разрешения подраздел, полученных из области организации, использовать значение домена. Это избегает использования отдельных политик для каждой области. Это практически один “подстановочный знак” Для всех подразделений.
ri – Это значение устанавливает интервал, при котором отчеты XML будут получены для DMARC. В большинстве случаев отчетность предпочтительнее делать ежедневно.
fo – Варианты отчетов о мошенничестве. “Судебные варианты“Полем Они могут иметь ценности “0” Сообщать об инцидентах при сбое как SPF, так и DKIM, или значении “1” Для сценария, в котором SPF или DKIM не существует или не проверяют.

Таким образом, чтобы убедиться, что ваши сообщения электронной почты или компании по электронной почте прибывают к получателям почтовых ящиков, вам необходимо учитывать эти три стандарта “Хорошая практика для сообщений электронной почты отправки“Полем ДкимВ SPF и DmarcПолем Все эти три стандарта связаны с DNS TXT и могут управляться менеджером DNS в этой области.