Hogyan állítsuk be a DNS TXT zónát SPF, DKIM és DMARC számára, és hogyan lehet megakadályozni, hogy a Gmail elutasítsa az üzleti e-mail üzeneteket – A levelek kézbesítése sikertelen

Administratorii of súlyos privát e-mail üzleti célokra gyakran sok problémával és kihívással néz szembe. A hullámokból SPAM amelyeket meghatározott szűrőknek kell blokkolniuk, levelezés biztonsága a helyi e-mail szerveren és a távoli szervereken, konfiguráció si SMTP szolgáltatások figyelése, POP, IMAP, plusz sok-sok egyéb részlet SPF, DKIM és DMARC konfiguráció hogy kövesse a biztonságos e-mailezés bevált gyakorlatait.

Sok probléma e-mail üzeneteket küldeni vagy címzett a szolgáltatóktól / szolgáltatóktól, a terület helytelen konfigurációja miatt jelennek meg DNS, mi a helyzet az e-mail szolgáltatással.

Ahhoz, hogy e-maileket küldhessenek egy domain névről, annak lennie kell egy e-mail szerveren tárolva Megfelelően konfigurálva, és domain név, hogy DNS-zónák legyenek mert SPF, MX, DMARC kiterjesztés SI dkim kiterjesztést megfelelően beállítva a kezelőben TXT DNS a domainről.

A mai cikkben egy meglehetősen gyakori problémára fogunk összpontosítani privát üzleti e-mail szerverek. Nem lehet e-mailt küldeni a Gmailbe, Yahoo! vagy iCloud.

A @ Gmail.com címre küldött üzenetek automatikusan elutasításra kerülnek. "Az üzenet kézbesítése sikertelen: az üzenet visszaküldésre kerül a feladóhoz"

Nemrég találkoztam egy problémával a következővel kapcsolatban egy cég e-mail domainje, ahonnan rendszeresen küldenek e-maileket más cégeknek és magánszemélyeknek, akiknek van címe @ Gmail.com. Minden Gmail-fiókba küldött üzenet azonnal visszakerült a feladóhoz. "Az üzenet kézbesítése sikertelen: az üzenet visszaküldésre kerül a feladóhoz".

Hibaüzenet érkezett vissza az e-mail szerverhez EXIM így néz ki:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

Ebben a forgatókönyvben nem valami nagyon komoly, mint pl tartalmazza a küldő domain nevet vagy a küldő IP-címet a SPAM listában globális vagy o jelentős konfigurációs hiba e-mail szolgáltatások a szerveren (EXIM).
Bár sokan azonnal látják ezt az üzenetet, ha SPAM-re vagy SMTP konfigurációs hibára gondolnak, a problémát a terület generálja. TXT DNS a domainről. A DKIM legtöbbször nincs konfigurálva a DNS-zónában, vagy nincs megfelelően átadva a tartomány DNS-kezelőjében. Ezzel a problémával gyakran találkoznak azok, akik használják CloudFlare mint DNS Manager, és felejtsd el átadni TXT DNS: mail._domainkey (dkim kiterjesztést), DMARC kiterjesztés si SPF.

Amint azt a Gmail elutasító üzenete jelzi, a küldő domain hitelessége és hitelesítése meghiúsult. "Ez az üzenet nem tartalmaz hitelesítési információkat, vagy nem \ n550-5.7.26 megy át a hitelesítési ellenőrzéseken.” Ez azt jelenti, hogy a tartományban nincs beállítva a DNS TXT a címzett e-mail szerverének hitelessége érdekében. Gmail, a mi szkriptünkben.

Amikor hozzáadunk egy webdomaint aktív e-mail szolgáltatással a cPanelhez VestaCP, a megfelelő tartomány DNS-zónájában lévő fájlok is automatikusan létrejönnek. Az e-mail szolgáltatás konfigurációját tartalmazó DNS-zóna: MX, SPF, dkim kiterjesztést, DMARC kiterjesztés.
Abban a helyzetben, amikor a domaint választjuk menedzsernek CloudFlare DNS, a domain hosting-fiókjának DNS-területét át kell másolni a CloudFlare-be, hogy az e-mail domain megfelelően működjön. Ez volt a probléma a fenti forgatókönyvben. Harmadik fél DNS-kezelőjében a DKIM-regisztráció nem létezik, bár a helyi kiszolgáló DNS-kezelőjében létezik.

Mi az a DKIM, és miért utasítják el a rendszer az e-maileket, ha egy e-mail domainben nincs ilyen funkció?

DomainKeys Identified Mail (DKIM) egy szabványos e-mail tartomány hitelesítési megoldás, amely hozzáadja a digitális aláírás minden elküldött üzenet. A célkiszolgálók a DKIM-en keresztül ellenőrizhetik, hogy az üzenet a feladó jogtartományából származik-e, és nem egy másik tartományból, amely a küldő azonosságát maszkként használja. Minden tekintetben, ha rendelkezik a domainnel ABCDqwerty.com DKIM nélkül e-mailek küldhetők más szerverekről az Ön domainnevével. Ez az, ha személyazonosság-lopást akarsz, amit szaknyelven úgy hívnak e-mail hamisítás.
Elterjedt technika e-mail üzenetek küldésekor Adathalászat si spam.

A DKIM-en keresztül is biztosítható, hogy az üzenet tartalma nem változott, miután azt a feladó elküldte.

Ha a DKIM helyesen van beállítva az e-mail rendszer szigorú hosztján és a DNS-területen, akkor az is kiküszöböli annak lehetőségét, hogy az Ön üzenetei eljussanak a címzetthez a SPAM-hez, vagy egyáltalán ne érjenek el.

Példa a DKIM-re:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Természetesen a kapott DKIM érték RSA titkosítási algoritmus minden tartománynévhez egyedi, és újra előállítható a gazdagép e-mail szerveréről.

A DKIM telepítése és helyes beállítása TXT DNS kezelője, nagyon is megoldható a Gmail-fiókokba visszaküldött üzenetek problémája. Legalább a „Sikertelen levélkézbesítés” hiba esetén:

„SMTP error távoli levelezőszerverről az adatok csővezetékes vége után: 550-5.7.26 Ez az üzenet nem tartalmaz hitelesítési információkat, vagy \ n550-5.7.26 nem megy át a hitelesítési ellenőrzéseken. Felhasználóink ​​spam elleni legjobb védelme érdekében a \ n550-5.7.26 üzenetet blokkoltuk.

Rövid összefoglalóként A DKIM minden elküldött üzenetet digitális aláírással lát el, amely lehetővé teszi a célkiszolgálók számára a feladó hitelességének ellenőrzését. Ha az üzenet az Ön cégétől érkezett, és a harmadik fél címét nem használták fel az Ön személyazonosságának felhasználására.

Gmail (Google) talán automatikusan elutasítja az összes üzenetet olyan tartományokból származnak, amelyek nem rendelkeznek ilyen DKIM digitális szemantikával.

Mi az az SPF, és miért fontos a biztonságos e-mail küldéshez?

Csakúgy, mint a DKIM, és SPF megelőzését célozza adathalász üzenetek si e-mail hamisítás. Így az elküldött üzenetek többé nem lesznek megjelölve spamként.

Sender Policy Framework (SPF) egy szabványos módszer annak a tartománynak a hitelesítésére, ahonnan az üzeneteket küldik. Az SPF bejegyzések értéke TXT DNS-kezelő Ez a bejegyzés megadja azt a tartománynevet, IP-címet vagy tartományokat, amelyek számára engedélyezett az e-mail üzenetek küldése az Ön vagy szervezete tartománynevének használatával.

Az SPF nélküli domain lehetővé teszi a spamküldők számára, hogy más szerverekről küldjenek e-maileket, használja a domain nevét maszkként. Ily módon terjedhetnek hamis információ vagy érzékeny adatok kérhetők szervezete nevében

Természetesen továbbra is küldhetők üzenetek az Ön nevében más szerverekről, de a rendszer spamként jelöli meg vagy elutasítja azokat, ha az adott szerver vagy tartománynév nincs megadva a domain SPF TXT bejegyzésében.

Az SPF-érték a DNS-kezelőben így néz ki:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Ahol az „ip4” az IPv4 az e-mail szerverén.

Hogyan állíthatok be SPF-et több domainhez?

Ha más domaineket szeretnénk felhatalmazni arra, hogy e-maileket küldjenek a mi domainünk nevében, akkor ezeket a "include"SPF TXT esetén:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Ez azt jelenti, hogy a domain nevünkről az example1.com és example2.com címekre is el lehet küldeni e-mail üzeneteket.
Nagyon hasznos rekord, ha van például ilyenünk online shop a címen"example1.com", De azt szeretnénk, hogy az online áruház üzenetei a vásárlóknak távozzanak cég domain címe, ez a lény"example.com“. Ban ben SPF TXT az "example.com"-hoz, ahogyan az IP-címmel együtt meg kell adni, és az "include: example1.com". Hogy üzeneteket lehessen küldeni a szervezet nevében.

Hogyan állíthatom be az SPF-et IPv4-hez és IPv6-hoz?

Mindkettővel van levelezőszerverünk IPv4 és IPv6, nagyon fontos, hogy mindkét IP-cím szerepeljen az SPF TXT-ben.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Ezután az "ip" után a "direktíva"include"Szállításra engedélyezett domainek hozzáadása.

Mit jelent "~all","-all"És"+allAz SPF-től?

Ahogy fentebb említettük, a szolgáltatók (ISP) továbbra is fogadhatnak e-maileket az Ön szervezete nevében, még akkor is, ha azokat az SPF-házirendben nem szereplő tartományról vagy IP-címről küldték. Az „all” címke megmondja a célszervereknek, hogyan kezeljék ezeket az üzeneteket más, nem engedélyezett tartományokból, és hogyan küldjenek üzeneteket az Ön vagy szervezete nevében.

~all : Ha az üzenet olyan tartományból érkezik, amely nem szerepel az SPT TXT-ben, az üzeneteket a célszerver elfogadja, de spamként vagy gyanúsként jelöli meg. Ezekre a címzett szolgáltató spamszűrőinek legjobb gyakorlatai vonatkoznak.

-all : Ez az SPF bejegyzéshez hozzáadott legszigorúbb címke. Ha a domain nem szerepel a listán, az üzenetet jogosulatlanként jelöli meg, és a szolgáltató elutasítja. Azt sem szállítják ki maca spamben.

+all : Nagyon ritkán használt és egyáltalán nem ajánlott, ez a címke lehetővé teszi mások számára, hogy e-maileket küldjenek az Ön vagy szervezete nevében. A legtöbb szolgáltató automatikusan elutasít minden olyan e-mail üzenetet, amely SPF TXT tartományból érkezik.+all“. Pont azért, mert a feladó hitelességét nem lehet ellenőrizni, csak egy "e-mail fejléc" ellenőrzés után.

Összegzés: Mit jelent a Sender Policy Framework (SPF)?

A TXT / SPF DNS-zónán keresztül engedélyezi az IP-címeket és a domain neveket, amelyek e-mail üzeneteket küldhetnek az Ön domainjéből vagy vállalatából. Ezenkívül alkalmazza azokat a következményeket is, amelyek az illetéktelen tartományokból küldött üzenetekre vonatkoznak.

Mit jelent a DMARC, és miért fontos az e-mail szervere számára?

DMARC kiterjesztés (Domain alapú üzenethitelesítési jelentés és megfelelőség) szorosan kapcsolódik a politikai normákhoz SPF si dkim kiterjesztést.
A DMARC egy érvényesítési rendszer védelmére tervezték az Ön vagy cége e-mail domain neve, gyakorlatok, mint például az e-mail-hamisítás és adathalász csalások.

A Sender Policy Framework (SPF) és a Domain Keys Identified Mail (DKIM) vezérlési szabványok használatával a DMARC egy nagyon fontos funkciót ad hozzá. jelentéseket.

Amikor egy tartománytulajdonos közzéteszi a DMARC-ot a DNS TXT területén, információkat kap arról, hogy ki küld e-maileket az ő vagy az SPF és DKIM által védett tartományt birtokló vállalat nevében. Ugyanakkor az üzenetek címzettjei tudni fogják, hogy a küldő tartomány tulajdonosa felügyeli-e ezeket a helyes gyakorlati szabályzatokat, és hogyan.

A DNS TXT DMARC rekordja lehet:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

A DMARC-ban több feltételt szabhat meg az incidensek bejelentéséhez, valamint e-mail címeket az elemzésekhez és jelentésekhez. Célszerű dedikált e-mail címeket használni a DMARC számára, mivel a kapott üzenetek mennyisége jelentős lehet.

A DMARC-címkék beállíthatók az Ön vagy szervezete által meghatározott irányelveknek megfelelően:

v - a meglévő DMARC protokoll verziója.
p - alkalmazza ezt a házirendet, ha a DMARC nem ellenőrizhető az e-mail üzenetekhez. Ennek értéke lehet: "none","quarantine"Vagy"reject“. Használt "none” jelentéseket kaphat az üzenetfolyamról és a pin állapotárólsora.
rua - Ez azon URL-ek listája, amelyekről az internetszolgáltatók visszajelzést küldhetnek XML formátumban. Ha ide adjuk az e-mail címet, akkor a link a következő lesz:rua=mailto:feedback@example.com".
ruf - Azon URL-címek listája, amelyeken az internetszolgáltatók jelentéseket küldhetnek az Ön szervezete nevében elkövetett számítógépes incidensekről és bűncselekményekről. A cím a következő lesz:ruf=mailto:account-email@for.example.com".
rf - Kiberbűnözés jelentési formátuma. Meg lehet formálni"afrf"Vagy"iodef".
pct - Utasítja az internetszolgáltatót, hogy csak a sikertelen üzenetek bizonyos százalékára alkalmazza a DMARC-házirendet. Például a következők lehetnek:pct=50%"Vagy irányelvek"quarantine"És"reject“. Soha nem fogják elfogadni."none".
adkim – Adja meg az „Igazítás Mode” a DKIM digitális aláírásokhoz. Ez azt jelenti, hogy egy DKIM-bejegyzés digitális aláírásának a tartományhoz való illeszkedését a rendszer ellenőrzi. adkim értékei lehetnek: r (Relaxed), vagy s (Strict).
aspf - Ugyanúgy, mint az ügyben adkim Az "Igazítás" meg van adva Mode” SPF-hez, és ugyanazokat az értékeket támogatja. r (Relaxed), vagy s (Strict).
sp - Ez a házirend arra vonatkozik, hogy a szervezeti tartományból származó altartományok a tartomány DMARC értékét használják. Ezzel elkerülhető, hogy minden területen külön szabályzatot alkalmazzanak. Gyakorlatilag minden aldomainhez "widcard".
ri - Ez az érték határozza meg azt az intervallumot, amelyen belül a rendszer XML-jelentéseket fogad a DMARC-hoz. Legtöbbször a napi rendszerességgel érdemes jelentést tenni.
fo - Lehetőségek csalásjelentésekhez. "Törvényszéki options“. Értékük "0" lehet az olyan incidensek jelentésére, amikor az SPF és a DKIM ellenőrzése is sikertelen, vagy az "1" érték arra a forgatókönyvre, amikor az SPF vagy a DKIM nem létezik, vagy nem megy át az ellenőrzésen.

Ezért annak érdekében, hogy az Ön vagy cége e-mailjei eljussanak a postaládájába, figyelembe kell vennie ezt a három szabványt."bevált módszerek az e-mailek küldésére". dkim kiterjesztést, SPF si DMARC kiterjesztés. Mindhárom szabvány a DNS TXT-hez kapcsolódik, és a tartomány DNS-kezelőjéből kezelhető.

Technológiai rajongóként örömmel írok a StealthSettings.com-on 2006 óta. Széles körű tapasztalatom van operációs rendszerekkel: macOS, Windows és Linux, valamint programozási nyelvekkel és blogolási platformokkal (WordPress) és online áruház platformokkal (WooCommerce, Magento, PrestaShop).

Hogyan » figyelemre méltó » Hogyan állítsuk be a DNS TXT zónát SPF, DKIM és DMARC számára, és hogyan lehet megakadályozni, hogy a Gmail elutasítsa az üzleti e-mail üzeneteket – A levelek kézbesítése sikertelen

1 gondolat a következőről: "Hogyan állítsuk be a TXT DNS-zónát SPF-hez, DKIM-hez és DMARC-hoz, és hogyan lehet elkerülni, hogy a Gmail elutasítsa az üzleti e-mail üzeneteket – Sikertelen levélkézbesítés"

Írj hozzászólást