Како да подесите ДНС ТКСТ зону за СПФ, ДКИМ и ДМАРЦ и како да спречите да Гмаил одбије пословне е-поруке - Достава поште није успела

Administratorии де строга приватна е-пошта за посао често се суочава са многим проблемима и изазовима. Од таласа од СПАМ који морају бити блокирани посебним филтерима, обезбеђење преписке на локалном серверу е-поште и удаљеним серверима, конфигурација si праћење СМТП услуга, ПОП, ИМАП, плус пуно и пуно других детаља СПФ, ДКИМ и ДМАРЦ конфигурација да следите најбоље праксе за безбедно слање е-поште.

Многи проблеми слати е-маил поруке или примаоца до/од ваших провајдера, појављују се због нетачне конфигурације области ДНС, шта је са сервисом е-поште.

Да би се мејлови слали са имена домена, мора бити хостован на серверу е-поште Правилно конфигурисан, и име домена да има ДНС зоне за заштитни фактор, MX, ДМАРЦ SI ДКИМ исправно подешен у менаџеру ДНС ТКСТ домена.

У данашњем чланку ћемо се фокусирати на прилично чест проблем приватни пословни сервери е-поште. Није могуће послати е-пошту на Гмаил, Иахоо! или iCloud.

Поруке послате на @Гмаил.цом се аутоматски одбијају. "Неуспела испорука поште: повратна порука пошиљаоцу"

Недавно сам наишао на проблем на домен е-поште компаније, са које се редовно шаљу мејлови другим компанијама и физичким лицима, од којих неки имају адресе @ Гмаил.цом. Све поруке послате на Гмаил налоге одмах се враћају пошиљаоцу. "Неуспела испорука поште: повратна порука пошиљаоцу".

Порука о грешци је враћена на сервер е-поште ЕКСИМ изгледа овако:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

У овом сценарију не ради се о нечем веома озбиљном, као нпр укључите име домена за слање или ИП адресу за слање у СПАМ листу глобално или о велика грешка у конфигурацији е-маил сервиса на серверу (ЕКСИМ).
Иако многи људи виде ову поруку одмах када помисле на СПАМ или грешку у конфигурацији СМТП-а, проблем генерише област. ДНС ТКСТ домена. Већину времена, ДКИМ није конфигурисан у ДНС зони или се не прослеђује исправно у ДНС менаџеру домена. Са овим проблемом се често сусрећу они који га користе ЦлоудФларе као ДНС менаџер и заборавите да прођете ДНС ТКСТ: маил._домаинкеи (ДКИМ), ДМАРЦ si заштитни фактор.

Као што нам каже Гмаил-ова порука о одбијању, аутентичност и аутентификација домена пошиљаоца нису успели. “Ова порука нема информације о аутентификацији или не пролази \ н550-5.7.26 провере аутентификације.” То значи да домен нема ДНС ТКСТ конфигурисан да обезбеди кредибилитет сервера е-поште примаоца. Гмаил, у нашој скрипти.

Када додамо веб домен са активним е-маил сервисом на цПанел или VestaCP, датотеке из ДНС зоне одговарајућег домена се такође креирају аутоматски. ДНС зона која такође садржи конфигурацију услуге е-поште: MX, заштитни фактор, ДКИМ, ДМАРЦ.
У ситуацији када бирамо домен да буде менаџер ДНС ЦлоудФларе, ДНС област хостинг налога домена мора бити копирана у ЦлоудФларе да би домен е-поште исправно радио. То је био проблем у горњем сценарију. У ДНС менаџеру треће стране, ДКИМ регистрација не постоји, иако постоји на ДНС менаџеру локалног сервера.

Шта је ДКИМ и зашто се е-поруке одбијају ако немамо ову функцију на домену е-поште?

ДомаинКеис Идентифиед Маил (ДКИМ) је стандардно решење за аутентификацију домена е-поште које додаје а дигитални потпис сваку послату поруку. Одредишни сервери могу да провере преко ДКИМ-а да ли порука долази из домена права пошиљаоца, а не из другог домена који користи идентитет пошиљаоца као маску. По свему судећи, ако имате домен абцдqwertyСа. без ДКИМ-а, е-поруке се могу слати са других сервера користећи име вашег домена. То је ако желите крађу идентитета, што се у техничком смислу зове превара е-поште.
Уобичајена техника приликом слања е-порука phishing si spam.

Преко ДКИМ-а се такође може осигурати да, садржај поруке није промењен након што ју је послао пошиљалац.

Ако је ДКИМ исправно подешен на строгом хосту система е-поште иу ДНС области, такође елиминишете могућност да ваше поруке стигну до СПАМ-а до примаоца или да уопште не стигну.

Пример ДКИМ-а је:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Наравно, ДКИМ вредност добијена од РСА алгоритам шифровања је јединствен за свако име домена и може се поново генерисати са сервера е-поште домаћина.

Ако је ДКИМ инсталиран и исправно постављен ДНС ТКСТ менаџера, врло је могуће решити проблем порука враћених на Гмаил налоге. Барем за грешку „Испорука поште није успела“:

„СМТП error са удаљеног сервера поште након цевоводног завршетка података: 550-5.7.26 Ова порука нема информације о аутентификацији или не пролази \ н550-5.7.26 провере аутентичности. Да бисмо најбоље заштитили наше кориснике од нежељене поште, порука \ н550-5.7.26 је блокирана. ”

Као кратак резиме, ДКИМ додаје дигитални потпис свакој послатој поруци, што омогућава одредишним серверима да провере аутентичност пошиљаоца. Ако је порука стигла из ваше компаније и адреса треће стране није коришћена да би се користио ваш идентитет.

гмаил (Гоогле) можда аутоматски одбија све поруке који долазе са домена који немају такву ДКИМ дигиталну семантику.

Шта је СПФ и зашто је важан за безбедно слање е-поште?

Баш као ДКИМ, и заштитни фактор има за циљ да спречи пхисхинг поруке si превара е-поште. На овај начин послате поруке више неће бити означене као нежељене.

Оквир политике пошиљатеља (СПФ) је стандардни метод провере аутентичности домена са којег се шаљу поруке. СПФ уноси су подешени на ТКСТ ДНС менаџер вашег домена и овај унос ће навести име домена, ИП или домене који имају право да шаљу е-поруке користећи име вашег домена или ваше организације.

Домен без СПФ-а може дозволити пошиљаоцима нежељене поште да шаљу е-пошту са других сервера, користећи име вашег домена као маску. На тај начин се могу ширити лажне информације или могу се тражити осетљиви подаци у име ваше организације

Наравно, поруке се и даље могу слати у ваше име са других сервера, али оне ће бити означене као непожељне или одбијене ако тај сервер или име домена нису наведени у СПФ ТКСТ уносу вашег домена.

СПФ вредност у ДНС менаџеру изгледа овако:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Где је "ип4" ИПв4 на вашем серверу е-поште.

Како да подесим СПФ за више домена?

Ако желимо да овластимо друге домене да шаљу е-поруке у име нашег домена, назначићемо их са вредношћу "include”У СПФ ТКСТ:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

То значи да се е-поруке могу слати и са нашег имена домена на екампле1.цом и екампле2.цом.
То је веома користан запис ако га имамо на пример Онлине схоп На адреси "екампле1.цом“, Али желимо да поруке из онлајн продавнице купцима одлазе адреса домена компаније, ово биће "екампле.цом“. У СПФ ТКСТ за „екампле.цом“, по потреби да наведете заједно са ИП-ом и „инцлуде: екампле1.цом“. Тако да се поруке могу слати у име организације.

Како да подесим СПФ за ИПв4 и ИПв6?

Имамо маил сервер са оба ИПвКСНУМКС и са ИПвКСНУМКС, веома је важно да су обе ИП адресе наведене у СПФ ТКСТ.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Затим, након "ип" директива "include”Да додате домене овлашћене за испоруку.

Шта то значи "~all","-all"И"+allОд СПФ-а?

Као што је горе наведено, провајдери (ИСП) и даље могу да примају е-поруке у име ваше организације чак и ако се шаљу са домена или ИП-а који нису наведени у СПФ смерницама. Ознака „све“ говори одредишним серверима како да рукују овим порукама са других неовлашћених домена и шаљу поруке у име вас или ваше организације.

~all : Ако је порука примљена са домена који није наведен у СПТ ТКСТ-у, поруке ће бити прихваћене на одредишном серверу, али ће бити означене као непожељне или сумњиве. Они ће бити подвргнути анти-спам филтерима добре праксе провајдера примаоца.

-all : Ово је најстрожа ознака додата СПФ уносу. Ако домен није наведен, порука ће бити означена као неовлашћена и провајдер ће је одбити. Ни то неће бити испоручено macу нежељеној пошти.

+all : Веома ретко се користи и уопште се не препоручује, ова ознака омогућава другима да шаљу е-пошту у име вас или ваше организације. Већина провајдера аутоматски одбија све поруке е-поште које долазе са домена са СПФ ТКСТ."+all“. Управо зато што се не може проверити аутентичност пошиљаоца, осим након провере „заглавља е-поште“.

резиме: Шта значи оквир политике пошиљаоца (СПФ)?

Овлашћује преко ТКСТ / СПФ ДНС зоне, ИП адресе и имена домена који могу да шаљу е-поруке са вашег домена или компаније. Такође примењује последице које се односе на поруке које се шаљу са неовлашћених домена.

Шта значи ДМАРЦ и зашто је важан за ваш сервер е-поште?

ДМАРЦ (Извештавање о аутентификацији порука засновано на домену и усклађеност) је уско повезан са стандардима политике заштитни фактор si ДКИМ.
ДМАРЦ је а систем валидације дизајниран да заштити име вашег или вашег предузећа имејл домена, праксе као што су лажирање е-поште и пхисхинг преваре.

Користећи контролне стандарде Сендер Полици Фрамеворк (СПФ) и доменски кључеви идентификоване поште (ДКИМ), ДМАРЦ додаје веома важну функцију. извештаји.

Када власник домена објави ДМАРЦ у ДНС ТКСТ области, он или она ће добити информације о томе ко шаље е-поруке у његово или њено или име компаније која поседује домен заштићен СПФ и ДКИМ. Истовремено, примаоци порука ће знати да ли и како ове политике добре праксе прати власник домена који шаље.

ДМАРЦ запис у ДНС ТКСТ може бити:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

У ДМАРЦ-у можете поставити више услова за пријављивање инцидената и е-маил адресе за анализу и извештаје. Препоручљиво је користити наменске е-маил адресе за ДМАРЦ јер обим примљених порука може бити значајан.

ДМАРЦ ознаке се могу поставити у складу са смерницама које сте наметнули ви или ваша организација:

v - верзија постојећег ДМАРЦ протокола.
p - примените ову политику када ДМАРЦ не може бити верификован за поруке е-поште. Може имати вредност: „none","quarantine"Или"reject“. Се користи "none„Да бисте добили извештаје о току порука и статусу.
rua - То је листа УРЛ-ова на којима ИСП-ови могу слати повратне информације у КСМЛ формату. Ако овде додамо е-маил адресу, линк ће бити:rua=mailto:feedback@example.com".
ruf – Листа УРЛ адреса на које ИСП-ови могу да шаљу извештаје о сајбер инцидентима и злочинима почињеним у име ваше организације. Адреса ће бити:ruf=mailto:account-email@for.example.com".
rf - Формат извештавања о сајбер криминалу. Може се обликовати"afrf"Или"iodef".
pct - Наређује ИСП-у да примени ДМАРЦ политику само за одређени проценат неуспешних порука. На пример, можемо имати:pct=50%"Или политике"quarantine"И"reject“. То никада неће бити прихваћено."none".
adkim - Одређује „Режим поравнања“ за ДКИМ дигиталне потписе. То значи да се проверава подударање дигиталног потписа ДКИМ уноса са доменом. adkim може имати вредности: r (Relaxed) Или s (Strict).
aspf - На исти начин као у случају adkim „Режим поравнања“ је одређен за СПФ и подржава исте вредности. r (Relaxed) Или s (Strict).
sp – Ова смерница се примењује на дозвољавање поддомена изведених из домена организације да користе ДМАРЦ вредност домена. Ово избегава употребу посебних политика за сваку област. То је практично „вилдцард“ за све поддомене.
ri - Ова вредност поставља интервал у коме ће се КСМЛ извештаји примати за ДМАРЦ. Већину времена је пожељно извештавање на дневној бази.
fo - Опције за пријаве превара. “Форензика options“. Они могу имати вредности „0“ за пријављивање инцидената када СПФ и ДКИМ верификација не успеју, или вредност „1“ за сценарио где СПФ или ДКИМ не постоје или не прођу верификацију.

Стога, да бисте били сигурни да ваша или е-пошта ваше компаније стигну у пријемно сандуче, морате узети у обзир ова три стандарда."најбоље праксе за слање е-поште". ДКИМ, заштитни фактор si ДМАРЦ. Сва три ова стандарда су ДНС ТКСТ и могу бити adminод ДНС менаџера домена.

како » вредан пажње » Како да подесите ДНС ТКСТ зону за СПФ, ДКИМ и ДМАРЦ и како да спречите да Гмаил одбије пословне е-поруке - Достава поште није успела

Заљубљен у технологију, волим да тестирам и пишем упутства о оперативним системима macOS, Linux, Windows, О томе WordPress, ВооЦоммерце и конфигуришите ЛЕМП веб сервере (Linux, НГИНКС, МиСКЛ и ПХП). Пишем даље StealthSettings.цом од 2006. године, а неколико година касније почео сам да пишем на иХовТо.Типс водичима и вестима о уређајима у екосистему Apple: iPhone, иПад, Apple Ватцх, ХомеПод, iMac, MacBook, АирПодс и додаци.

1 мисао о „Како да конфигуришете ТКСТ ДНС зону за СПФ, ДКИМ и ДМАРЦ и како да избегнете да Гмаил одбије пословне е-поруке – испорука поште није успела“

Оставите коментар