Administratorii เดอ อีเมลส่วนตัวที่รุนแรงสำหรับธุรกิจ มักประสบปัญหาและความท้าทายมากมาย จากคลื่นของ SPAM ซึ่งต้องถูกบล็อกโดยตัวกรองเฉพาะ ความปลอดภัยทางจดหมาย ในเซิร์ฟเวอร์อีเมลท้องถิ่นและเซิร์ฟเวอร์ระยะไกล องค์ประกอบ si การตรวจสอบบริการ SMTP, POP, IMAP, พร้อมรายละเอียดอื่นๆ อีกมากมาย การกำหนดค่า SPF, DKIM และ DMARC เพื่อปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดสำหรับการส่งอีเมลที่ปลอดภัย
ปัญหามากมาย ส่งข้อความอีเมล หรือ ผู้รับสินค้า ถึง / จากผู้ให้บริการของคุณปรากฏขึ้นเนื่องจากการกำหนดค่าพื้นที่ไม่ถูกต้อง DNSแล้วบริการอีเมลล่ะ
ในการส่งอีเมลจากชื่อโดเมนจะต้อง โฮสต์บนเซิร์ฟเวอร์อีเมล กำหนดค่าอย่างเหมาะสมและ ชื่อโดเมนที่มีโซน DNS สำหรับ SPF, MX, ดีมาร์ค SI ดีเคไอเอ็ม ตั้งค่าอย่างถูกต้องในผู้จัดการ TXT DNS ของโดเมน
ในบทความของวันนี้เราจะมาพูดถึงปัญหาที่ค่อนข้างบ่อย เซิร์ฟเวอร์อีเมลธุรกิจส่วนตัว. ไม่สามารถส่งอีเมลไปยัง Gmail, Yahoo! หรือ iCloud.
เนื้อหา
ข้อความที่ส่งไปยัง @ Gmail.com จะถูกปฏิเสธโดยอัตโนมัติ "จดหมายส่งไม่สำเร็จคืนข้อความกลับให้ผู้ส่ง"
ฉันเพิ่งพบปัญหาใน โดเมนอีเมลของบริษัทซึ่งอีเมลจะถูกส่งไปยังบริษัทอื่นและถึงบุคคลทั่วไปเป็นประจำ ซึ่งบางคนมีที่อยู่ @ Gmail.com. ข้อความทั้งหมดที่ส่งไปยังบัญชี Gmail จะส่งกลับไปยังผู้ส่งทันที "จดหมายส่งไม่สำเร็จคืนข้อความกลับให้ผู้ส่ง".
ข้อความแสดงข้อผิดพลาดที่ส่งกลับไปยังเซิร์ฟเวอร์อีเมลเมื่อ EXIM มีลักษณะดังนี้:
1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26 https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp
ในสถานการณ์นี้ ไม่ใช่เรื่องร้ายแรงอะไร เช่น รวมชื่อโดเมนที่ส่งหรือ IP ที่ส่งในรายการสแปม ทั่วโลกหรือ o ข้อผิดพลาดในการกำหนดค่าที่สำคัญ ของบริการอีเมลบนเซิร์ฟเวอร์ (EXIM).
แม้ว่าหลายคนจะเห็นข้อความนี้ ให้นึกถึงสแปมหรือข้อผิดพลาดในการกำหนดค่า SMTP ทันที ปัญหาก็ถูกสร้างขึ้นโดยพื้นที่ TXT DNS ของโดเมน โดยส่วนใหญ่ DKIM จะไม่ได้รับการกำหนดค่าในโซน DNS หรือไม่ได้ส่งผ่านอย่างถูกต้องในตัวจัดการ DNS ของโดเมน คนใช้มักเจอปัญหานี้ CloudFlare เป็น DNS Manager และลืมที่จะผ่าน TXT DNS: เมล._domainkey (ดีเคไอเอ็ม), ดีมาร์ค si SPF.
ตามที่ข้อความปฏิเสธของ Gmail บอกเรา ความถูกต้องและการตรวจสอบสิทธิ์ของโดเมนผู้ส่งล้มเหลว “ข้อความนี้ไม่มีข้อมูลการตรวจสอบสิทธิ์หรือไม่สามารถ \ n550-5.7.26 ผ่านการตรวจสอบสิทธิ์ได้. ” ซึ่งหมายความว่าโดเมนไม่มีการกำหนดค่า DNS TXT เพื่อให้มั่นใจในความน่าเชื่อถือสำหรับเซิร์ฟเวอร์อีเมลของผู้รับ Gmail ในสคริปต์ของเรา
เมื่อเราเพิ่มโดเมนเว็บด้วยบริการอีเมลที่ใช้งานบน cPanel VestaCPไฟล์ในโซน DNS ของโดเมนที่เกี่ยวข้องจะถูกสร้างขึ้นโดยอัตโนมัติเช่นกัน โซน DNS ที่มีการกำหนดค่าบริการอีเมล: MX, SPF, ดีเคไอเอ็ม, ดีมาร์ค.
ในสถานการณ์ที่เราเลือกโดเมนให้เป็นผู้จัดการ CloudFlare DNSจะต้องคัดลอกพื้นที่ DNS ของบัญชีโฮสติ้งของโดเมนไปยัง CloudFlare เพื่อให้โดเมนอีเมลทำงานได้อย่างถูกต้อง นั่นคือปัญหาในสถานการณ์ข้างต้น ในตัวจัดการ DNS ของบริษัทอื่น ไม่มีการลงทะเบียน DKIM แม้ว่าจะมีอยู่บนตัวจัดการ DNS ของเซิร์ฟเวอร์ภายใน
DKIM คืออะไรและเหตุใดอีเมลจึงถูกปฏิเสธหากเราไม่มีคุณสมบัตินี้ในโดเมนอีเมล
DomainKeys ระบุเมล (DKIM) เป็นโซลูชันการรับรองความถูกต้องโดเมนอีเมลมาตรฐานที่เพิ่ม a ลายเซ็นดิจิตอล แต่ละข้อความที่ส่ง เซิร์ฟเวอร์ปลายทางสามารถตรวจสอบผ่าน DKIM ว่าข้อความนั้นมาจากโดเมนทางกฎหมายของผู้ส่งและไม่ได้มาจากโดเมนอื่นที่ใช้ข้อมูลประจำตัวของผู้ส่งเป็นมาสก์ ตามบัญชีทั้งหมด หากคุณมีโดเมน ABCDqwertyด้วย. หากไม่มี DKIM อีเมลอาจถูกส่งจากเซิร์ฟเวอร์อื่นโดยใช้ชื่อโดเมนของคุณ มันคือถ้าคุณต้องการขโมยข้อมูลประจำตัวซึ่งในทางเทคนิคเรียกว่า อีเมลหลอกลวง.
เทคนิคทั่วไปในการส่งข้อความอีเมล ฟิชชิ่ง si สแปม.
นอกจากนี้ยังสามารถมั่นใจได้ผ่าน DKIM ว่า เนื้อหาของข้อความไม่เปลี่ยนแปลงหลังจากส่งโดยผู้ส่ง.
การมี DKIM ที่ตั้งค่าไว้อย่างถูกต้องบนโฮสต์ที่เข้มงวดของระบบอีเมลและในพื้นที่ DNS ยังช่วยขจัดความเป็นไปได้ที่ข้อความของคุณอาจส่งถึงสแปมไปยังผู้รับหรือไม่สามารถเข้าถึงได้เลย
ตัวอย่างของ DKIM คือ:
mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"
แน่นอน ค่า DKIM ที่ได้จาก อัลกอริทึมการเข้ารหัส RSA เป็นชื่อเฉพาะสำหรับชื่อโดเมนแต่ละชื่อ และสามารถสร้างขึ้นใหม่ได้จากเซิร์ฟเวอร์อีเมลของโฮสต์
มี DKIM ติดตั้งและตั้งค่าอย่างถูกต้องใน TXT DNS ผู้จัดการ เป็นไปได้มากในการแก้ไขปัญหาข้อความที่ส่งคืนไปยังบัญชี Gmail อย่างน้อยสำหรับข้อผิดพลาด "การส่งจดหมายล้มเหลว":
"SMTP error จากเซิร์ฟเวอร์เมลระยะไกลหลังจากสิ้นสุดไปป์ไลน์ของข้อมูล: 550-5.7.26 ข้อความนี้ไม่มีข้อมูลการตรวจสอบสิทธิ์หรือไม่สามารถ \ n550-5.7.26 ผ่านการตรวจสอบสิทธิ์ได้ เพื่อป้องกันผู้ใช้ของเราจากสแปมได้ดีที่สุด ข้อความ \ n550-5.7.26 จึงถูกบล็อก ”
โดยสรุปสั้น ๆ ว่า DKIM เพิ่มลายเซ็นดิจิทัลให้กับแต่ละข้อความที่ส่งซึ่งช่วยให้เซิร์ฟเวอร์ปลายทางตรวจสอบความถูกต้องของผู้ส่งได้ หากข้อความนั้นมาจากบริษัทของคุณ และไม่ได้ใช้ที่อยู่บุคคลที่สามเพื่อใช้ข้อมูลประจำตัวของคุณ
Gmail (Google) อาจจะ ปฏิเสธข้อความทั้งหมดโดยอัตโนมัติ มาจากโดเมนที่ไม่มีความหมายดิจิทัลของ DKIM ดังกล่าว
SPF คืออะไร และเหตุใดจึงสำคัญต่อการส่งอีเมลอย่างปลอดภัย
เช่นเดียวกับ DKIM และ SPF มีวัตถุประสงค์เพื่อป้องกัน ข้อความฟิชชิ่ง si อีเมลหลอกลวง. ด้วยวิธีนี้ ข้อความที่ส่งจะไม่ถูกทำเครื่องหมายว่าเป็นสแปมอีกต่อไป
กรอบนโยบายผู้ส่ง (SPF) เป็นวิธีการมาตรฐานในการตรวจสอบโดเมนที่ส่งข้อความ รายการ SPF ถูกตั้งค่าเป็น ตัวจัดการ TXT DNS ของโดเมนของคุณ และรายการนี้จะระบุชื่อโดเมน IP หรือโดเมนที่ได้รับอนุญาตให้ส่งข้อความอีเมลโดยใช้ชื่อโดเมนของคุณหรือขององค์กรของคุณ
โดเมนที่ไม่มี SPF สามารถอนุญาตให้ผู้ส่งอีเมลขยะส่งอีเมลจากเซิร์ฟเวอร์อื่น ใช้ชื่อโดเมนของคุณเป็นหน้ากาก. ด้วยวิธีนี้พวกเขาสามารถแพร่กระจาย ข้อมูลเท็จ หรือ อาจมีการร้องขอข้อมูลที่ละเอียดอ่อน ในนามขององค์กรของคุณ
แน่นอน เซิร์ฟเวอร์อื่นยังสามารถส่งข้อความในนามของคุณได้ แต่จะถูกทำเครื่องหมายว่าเป็นสแปมหรือถูกปฏิเสธหากเซิร์ฟเวอร์หรือชื่อโดเมนนั้นไม่ได้ระบุไว้ในรายการ SPF TXT ของโดเมนของคุณ
ค่า SPF ในตัวจัดการ DNS มีลักษณะดังนี้:
@ : "v=spf1 a mx ip4:x.x.x.x ?all"
โดยที่ "ip4" คือ IPv4 บนเซิร์ฟเวอร์อีเมลของคุณ
ฉันจะตั้งค่า SPF สำหรับหลายโดเมนได้อย่างไร
หากเราต้องการอนุญาตให้โดเมนอื่นส่งข้อความอีเมลในนามของโดเมนของเรา เราจะระบุด้วยค่า "include
”ใน SPF TXT:
v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all
ซึ่งหมายความว่าข้อความอีเมลสามารถส่งจากชื่อโดเมนของเราไปที่ example1.com และ example2.com
เป็นบันทึกที่มีประโยชน์มากถ้าเรามีตัวอย่างหนึ่ง ร้านขายของ ตามที่อยู่ "ตัวอย่าง 1.com", แต่เราต้องการให้ข้อความจากร้านค้าออนไลน์ถึงลูกค้าทิ้งไป ที่อยู่โดเมนบริษัท, สิ่งนี้คือ "example.com“. ใน เอสพีเอฟ TXT สำหรับ "example.com" ตามความจำเป็นเพื่อระบุถัดจาก IP และ "include: example1.com" เพื่อให้สามารถส่งข้อความในนามขององค์กรได้
ฉันจะตั้งค่า SPF สำหรับ IPv4 และ IPv6 ได้อย่างไร
เรามีเซิร์ฟเวอร์อีเมลที่มีทั้ง IPv4 และมีการ IPv6การระบุ IP ทั้งสองใน SPF TXT เป็นสิ่งสำคัญมาก
v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all
ถัดไปหลังจาก "ip" คำสั่ง "include
”เพื่อเพิ่มโดเมนที่ได้รับอนุญาตให้จัดส่ง
มันหมายความว่าอะไร "~all
","-all
"และ"+all
ของค่า SPF?
ตามที่ระบุไว้ข้างต้น ผู้ให้บริการ (ISP) ยังคงสามารถรับอีเมลในนามขององค์กรของคุณได้ แม้ว่าจะส่งมาจากโดเมนหรือ IP ที่ไม่ได้ระบุไว้ในนโยบาย SPF แท็ก "ทั้งหมด" จะบอกเซิร์ฟเวอร์ปลายทางถึงวิธีจัดการกับข้อความเหล่านี้จากโดเมนที่ไม่ได้รับอนุญาตอื่นๆ และส่งข้อความในนามของคุณหรือองค์กรของคุณ
~all
: หากได้รับข้อความจากโดเมนที่ไม่อยู่ใน SPT TXT ข้อความจะได้รับการยอมรับบนเซิร์ฟเวอร์ปลายทาง แต่จะถูกทำเครื่องหมายว่าเป็นสแปมหรือน่าสงสัย พวกเขาจะอยู่ภายใต้ตัวกรองป้องกันสแปมของแนวปฏิบัติที่ดีของผู้ให้บริการผู้รับ
-all
: นี่คือแท็กที่เข้มงวดที่สุดที่เพิ่มลงในรายการ SPF หากโดเมนไม่อยู่ในรายการ ข้อความจะถูกทำเครื่องหมายว่าไม่ได้รับอนุญาตและจะถูกปฏิเสธโดยผู้ให้บริการ ไม่ส่งของด้วย macในสแปม
+all
: ไม่ค่อยได้ใช้และไม่แนะนำเลย แท็กนี้อนุญาตให้ผู้อื่นส่งอีเมลในนามของคุณหรือองค์กรของคุณ ผู้ให้บริการส่วนใหญ่จะปฏิเสธข้อความอีเมลทั้งหมดที่มาจากโดเมนที่มี SPF TXT โดยอัตโนมัติ "+all
“. แม่นยำเพราะไม่สามารถตรวจสอบความถูกต้องของผู้ส่งได้ ยกเว้นหลังจากตรวจสอบ "ส่วนหัวของอีเมล" แล้ว
สรุป: กรอบนโยบายผู้ส่ง (SPF) หมายถึงอะไร
อนุญาตผ่านโซน TXT / SPF DNS, IP และชื่อโดเมนที่สามารถส่งข้อความอีเมลจากโดเมนหรือบริษัทของคุณ นอกจากนี้ยังใช้ผลที่ตามมาที่นำไปใช้กับข้อความที่ส่งจากโดเมนที่ไม่ได้รับอนุญาต
DMARC หมายถึงอะไร และเหตุใดจึงสำคัญสำหรับเซิร์ฟเวอร์อีเมลของคุณ
ดีมาร์ค (การรายงานความสอดคล้องและการตรวจสอบข้อความตามโดเมน) มีความเชื่อมโยงอย่างใกล้ชิดกับมาตรฐานนโยบาย SPF si ดีเคไอเอ็ม.
DMARC เป็น ระบบตรวจสอบความถูกต้อง ออกแบบมาเพื่อปกป้อง ชื่อโดเมนอีเมลของคุณหรือบริษัทของคุณการปฏิบัติเช่นการปลอมแปลงอีเมลและ การหลอกลวงแบบฟิชชิ่ง.
การใช้มาตรฐานการควบคุม Sender Policy Framework (SPF) และ Domain Keys Identified Mail (DKIM) ทำให้ DMARC ได้เพิ่มคุณลักษณะที่สำคัญมาก รายงาน.
เมื่อเจ้าของโดเมนเผยแพร่ DMARC ในพื้นที่ DNS TXT เขาหรือเธอจะได้รับข้อมูลเกี่ยวกับผู้ที่ส่งข้อความอีเมลในนามของเขาหรือเธอ หรือบริษัทที่เป็นเจ้าของโดเมนที่ได้รับการคุ้มครองโดย SPF และ DKIM ในเวลาเดียวกัน ผู้รับข้อความจะรู้ว่านโยบายแนวปฏิบัติที่ดีเหล่านี้ได้รับการตรวจสอบโดยเจ้าของโดเมนที่ส่งหรือไม่และอย่างไร
บันทึก DMARC ใน DNS TXT สามารถ:
V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;
ใน DMARC คุณสามารถใส่เงื่อนไขเพิ่มเติมสำหรับการรายงานเหตุการณ์และที่อยู่อีเมลสำหรับการวิเคราะห์และรายงาน ขอแนะนำให้ใช้ที่อยู่อีเมลเฉพาะสำหรับ DMARC เนื่องจากปริมาณข้อความที่ได้รับอาจมีจำนวนมาก
แท็ก DMARC สามารถตั้งค่าได้ตามนโยบายที่คุณหรือองค์กรของคุณกำหนด:
v
- เวอร์ชันของโปรโตคอล DMARC ที่มีอยู่ p
- ใช้นโยบายนี้เมื่อไม่สามารถตรวจสอบ DMARC สำหรับข้อความอีเมลได้ สามารถมีค่า: “none
","quarantine
"หรือ"reject
“. ถูกนำมาใช้ "none
” เพื่อรับรายงานการไหลของข้อความและสถานะพินsora.rua
- เป็นรายการ URL ที่ ISP สามารถส่งข้อเสนอแนะในรูปแบบ XML หากเราเพิ่มที่อยู่อีเมลที่นี่ ลิงก์จะเป็น:rua=mailto:feedback@example.com
"ruf
- รายการ URL ที่ ISP สามารถส่งรายงานเหตุการณ์ทางไซเบอร์และอาชญากรรมที่เกิดขึ้นในนามขององค์กรของคุณ ที่อยู่จะเป็น:ruf=mailto:account-email@for.example.com
" rf
- รูปแบบการรายงานอาชญากรรมทางอินเทอร์เน็ต เป็นรูปเป็นร่างได้"afrf
"หรือ"iodef
" pct
- สั่งให้ ISP ใช้นโยบาย DMARC เฉพาะกับข้อความที่ล้มเหลวบางส่วนเท่านั้น ตัวอย่างเช่น เราอาจมี:pct=50%
“หรือนโยบาย”quarantine
"และ"reject
“. จะไม่มีวันได้รับการยอมรับ”none
" adkim
– ระบุ “Alignment Mode” สำหรับลายเซ็นดิจิทัล DKIM ซึ่งหมายความว่ามีการตรวจสอบการจับคู่ลายเซ็นดิจิทัลของรายการ DKIM กับโดเมน adkim
สามารถมีค่า: r
(Relaxed
) หรือ s
(Strict
). aspf
- เช่นเดียวกับในกรณี adkim
ระบุ "การจัดตำแหน่ง" Mode” สำหรับ SPF และรองรับค่าเดียวกัน r
(Relaxed
) หรือ s
(Strict
). sp
- นโยบายนี้บังคับใช้เพื่ออนุญาตให้โดเมนย่อยที่มาจากโดเมนองค์กรใช้ค่า DMARC ของโดเมน เพื่อหลีกเลี่ยงการใช้นโยบายแยกกันสำหรับแต่ละพื้นที่ มันเป็น "สัญลักษณ์แทน" สำหรับโดเมนย่อยทั้งหมด ri
- ค่านี้กำหนดช่วงเวลาที่จะได้รับรายงาน XML สำหรับ DMARC ในกรณีส่วนใหญ่ การรายงานเป็นรายวันดีกว่า fo
- ตัวเลือกสำหรับรายงานการฉ้อโกง “ทางกฎหมาย options“. อาจมีค่าเป็น "0" เพื่อรายงานเหตุการณ์เมื่อทั้งการยืนยัน SPF และ DKIM ล้มเหลว หรือค่า "1" สำหรับสถานการณ์ที่ SPF หรือ DKIM ไม่มีอยู่หรือไม่ผ่านการตรวจสอบ
ดังนั้น เพื่อให้มั่นใจว่าอีเมลของคุณหรือของบริษัทของคุณส่งถึงกล่องจดหมาย คุณต้องพิจารณามาตรฐานทั้งสามนี้ "แนวทางปฏิบัติที่ดีที่สุดสำหรับการส่งอีเมล" ดีเคไอเอ็ม, SPF si ดีมาร์ค. มาตรฐานทั้งสามนั้นเกี่ยวข้องกับ DNS TXT และสามารถจัดการได้จากตัวจัดการ DNS ของโดเมน
1 ความคิดเกี่ยวกับ "วิธีกำหนดค่าโซน TXT DNS สำหรับ SPF, DKIM และ DMARC และวิธีหลีกเลี่ยงข้อความอีเมลธุรกิจที่ Gmail ปฏิเสธ - การส่งจดหมายล้มเหลว"