วิธีตั้งค่าโซน DNS TXT สำหรับ SPF, DKIM และ DMARC และวิธีป้องกันไม่ให้ Gmail ปฏิเสธข้อความอีเมลธุรกิจ - การส่งจดหมายล้มเหลว

Administratorii เดอ อีเมลส่วนตัวที่รุนแรงสำหรับธุรกิจ มักประสบปัญหาและความท้าทายมากมาย จากคลื่นของ SPAM ซึ่งต้องถูกบล็อกโดยตัวกรองเฉพาะ ความปลอดภัยทางจดหมาย ในเซิร์ฟเวอร์อีเมลท้องถิ่นและเซิร์ฟเวอร์ระยะไกล องค์ประกอบ si การตรวจสอบบริการ SMTP, POP, IMAP, พร้อมรายละเอียดอื่นๆ อีกมากมาย การกำหนดค่า SPF, DKIM และ DMARC เพื่อปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดสำหรับการส่งอีเมลที่ปลอดภัย

ปัญหามากมาย ส่งข้อความอีเมล หรือ ผู้รับสินค้า ถึง / จากผู้ให้บริการของคุณปรากฏขึ้นเนื่องจากการกำหนดค่าพื้นที่ไม่ถูกต้อง DNSแล้วบริการอีเมลล่ะ

ในการส่งอีเมลจากชื่อโดเมนจะต้อง โฮสต์บนเซิร์ฟเวอร์อีเมล กำหนดค่าอย่างเหมาะสมและ ชื่อโดเมนที่มีโซน DNS สำหรับ SPF, MX, ดีมาร์ค SI ดีเคไอเอ็ม ตั้งค่าอย่างถูกต้องในผู้จัดการ TXT DNS ของโดเมน

ในบทความของวันนี้เราจะมาพูดถึงปัญหาที่ค่อนข้างบ่อย เซิร์ฟเวอร์อีเมลธุรกิจส่วนตัว. ไม่สามารถส่งอีเมลไปยัง Gmail, Yahoo! หรือ iCloud.

ข้อความที่ส่งไปยัง @ Gmail.com จะถูกปฏิเสธโดยอัตโนมัติ "จดหมายส่งไม่สำเร็จคืนข้อความกลับให้ผู้ส่ง"

ฉันเพิ่งพบปัญหาใน โดเมนอีเมลของบริษัทซึ่งอีเมลจะถูกส่งไปยังบริษัทอื่นและถึงบุคคลทั่วไปเป็นประจำ ซึ่งบางคนมีที่อยู่ @ Gmail.com. ข้อความทั้งหมดที่ส่งไปยังบัญชี Gmail จะส่งกลับไปยังผู้ส่งทันที "จดหมายส่งไม่สำเร็จคืนข้อความกลับให้ผู้ส่ง".

ข้อความแสดงข้อผิดพลาดที่ส่งกลับไปยังเซิร์ฟเวอร์อีเมลเมื่อ EXIM มีลักษณะดังนี้:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

ในสถานการณ์นี้ ไม่ใช่เรื่องร้ายแรงอะไร เช่น รวมชื่อโดเมนที่ส่งหรือ IP ที่ส่งในรายการสแปม ทั่วโลกหรือ o ข้อผิดพลาดในการกำหนดค่าที่สำคัญ ของบริการอีเมลบนเซิร์ฟเวอร์ (EXIM).
แม้ว่าหลายคนจะเห็นข้อความนี้ ให้นึกถึงสแปมหรือข้อผิดพลาดในการกำหนดค่า SMTP ทันที ปัญหาก็ถูกสร้างขึ้นโดยพื้นที่ TXT DNS ของโดเมน โดยส่วนใหญ่ DKIM จะไม่ได้รับการกำหนดค่าในโซน DNS หรือไม่ได้ส่งผ่านอย่างถูกต้องในตัวจัดการ DNS ของโดเมน คนใช้มักเจอปัญหานี้ CloudFlare เป็น DNS Manager และลืมที่จะผ่าน TXT DNS: เมล._domainkey (ดีเคไอเอ็ม), ดีมาร์ค si SPF.

ตามที่ข้อความปฏิเสธของ Gmail บอกเรา ความถูกต้องและการตรวจสอบสิทธิ์ของโดเมนผู้ส่งล้มเหลว “ข้อความนี้ไม่มีข้อมูลการตรวจสอบสิทธิ์หรือไม่สามารถ \ n550-5.7.26 ผ่านการตรวจสอบสิทธิ์ได้. ” ซึ่งหมายความว่าโดเมนไม่มีการกำหนดค่า DNS TXT เพื่อให้มั่นใจในความน่าเชื่อถือสำหรับเซิร์ฟเวอร์อีเมลของผู้รับ Gmail ในสคริปต์ของเรา

เมื่อเราเพิ่มโดเมนเว็บด้วยบริการอีเมลที่ใช้งานบน cPanel VestaCPไฟล์ในโซน DNS ของโดเมนที่เกี่ยวข้องจะถูกสร้างขึ้นโดยอัตโนมัติเช่นกัน โซน DNS ที่มีการกำหนดค่าบริการอีเมล: MX, SPF, ดีเคไอเอ็ม, ดีมาร์ค.
ในสถานการณ์ที่เราเลือกโดเมนให้เป็นผู้จัดการ CloudFlare DNSจะต้องคัดลอกพื้นที่ DNS ของบัญชีโฮสติ้งของโดเมนไปยัง CloudFlare เพื่อให้โดเมนอีเมลทำงานได้อย่างถูกต้อง นั่นคือปัญหาในสถานการณ์ข้างต้น ในตัวจัดการ DNS ของบริษัทอื่น ไม่มีการลงทะเบียน DKIM แม้ว่าจะมีอยู่บนตัวจัดการ DNS ของเซิร์ฟเวอร์ภายใน

DKIM คืออะไรและเหตุใดอีเมลจึงถูกปฏิเสธหากเราไม่มีคุณสมบัตินี้ในโดเมนอีเมล

DomainKeys ระบุเมล (DKIM) เป็นโซลูชันการรับรองความถูกต้องโดเมนอีเมลมาตรฐานที่เพิ่ม a ลายเซ็นดิจิตอล แต่ละข้อความที่ส่ง เซิร์ฟเวอร์ปลายทางสามารถตรวจสอบผ่าน DKIM ว่าข้อความนั้นมาจากโดเมนทางกฎหมายของผู้ส่งและไม่ได้มาจากโดเมนอื่นที่ใช้ข้อมูลประจำตัวของผู้ส่งเป็นมาสก์ ตามบัญชีทั้งหมด หากคุณมีโดเมน ABCDqwertyด้วย. หากไม่มี DKIM อีเมลอาจถูกส่งจากเซิร์ฟเวอร์อื่นโดยใช้ชื่อโดเมนของคุณ มันคือถ้าคุณต้องการขโมยข้อมูลประจำตัวซึ่งในทางเทคนิคเรียกว่า อีเมลหลอกลวง.
เทคนิคทั่วไปในการส่งข้อความอีเมล ฟิชชิ่ง si สแปม.

นอกจากนี้ยังสามารถมั่นใจได้ผ่าน DKIM ว่า เนื้อหาของข้อความไม่เปลี่ยนแปลงหลังจากส่งโดยผู้ส่ง.

การมี DKIM ที่ตั้งค่าไว้อย่างถูกต้องบนโฮสต์ที่เข้มงวดของระบบอีเมลและในพื้นที่ DNS ยังช่วยขจัดความเป็นไปได้ที่ข้อความของคุณอาจส่งถึงสแปมไปยังผู้รับหรือไม่สามารถเข้าถึงได้เลย

ตัวอย่างของ DKIM คือ:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

แน่นอน ค่า DKIM ที่ได้จาก อัลกอริทึมการเข้ารหัส RSA เป็นชื่อเฉพาะสำหรับชื่อโดเมนแต่ละชื่อ และสามารถสร้างขึ้นใหม่ได้จากเซิร์ฟเวอร์อีเมลของโฮสต์

มี DKIM ติดตั้งและตั้งค่าอย่างถูกต้องใน TXT DNS ผู้จัดการ เป็นไปได้มากในการแก้ไขปัญหาข้อความที่ส่งคืนไปยังบัญชี Gmail อย่างน้อยสำหรับข้อผิดพลาด "การส่งจดหมายล้มเหลว":

"SMTP error จากเซิร์ฟเวอร์เมลระยะไกลหลังจากสิ้นสุดไปป์ไลน์ของข้อมูล: 550-5.7.26 ข้อความนี้ไม่มีข้อมูลการตรวจสอบสิทธิ์หรือไม่สามารถ \ n550-5.7.26 ผ่านการตรวจสอบสิทธิ์ได้ เพื่อป้องกันผู้ใช้ของเราจากสแปมได้ดีที่สุด ข้อความ \ n550-5.7.26 จึงถูกบล็อก ”

โดยสรุปสั้น ๆ ว่า DKIM เพิ่มลายเซ็นดิจิทัลให้กับแต่ละข้อความที่ส่งซึ่งช่วยให้เซิร์ฟเวอร์ปลายทางตรวจสอบความถูกต้องของผู้ส่งได้ หากข้อความนั้นมาจากบริษัทของคุณ และไม่ได้ใช้ที่อยู่บุคคลที่สามเพื่อใช้ข้อมูลประจำตัวของคุณ

Gmail (Google) อาจจะ ปฏิเสธข้อความทั้งหมดโดยอัตโนมัติ มาจากโดเมนที่ไม่มีความหมายดิจิทัลของ DKIM ดังกล่าว

SPF คืออะไร และเหตุใดจึงสำคัญต่อการส่งอีเมลอย่างปลอดภัย

เช่นเดียวกับ DKIM และ SPF มีวัตถุประสงค์เพื่อป้องกัน ข้อความฟิชชิ่ง si อีเมลหลอกลวง. ด้วยวิธีนี้ ข้อความที่ส่งจะไม่ถูกทำเครื่องหมายว่าเป็นสแปมอีกต่อไป

กรอบนโยบายผู้ส่ง (SPF) เป็นวิธีการมาตรฐานในการตรวจสอบโดเมนที่ส่งข้อความ รายการ SPF ถูกตั้งค่าเป็น ตัวจัดการ TXT DNS ของโดเมนของคุณ และรายการนี้จะระบุชื่อโดเมน IP หรือโดเมนที่ได้รับอนุญาตให้ส่งข้อความอีเมลโดยใช้ชื่อโดเมนของคุณหรือขององค์กรของคุณ

โดเมนที่ไม่มี SPF สามารถอนุญาตให้ผู้ส่งอีเมลขยะส่งอีเมลจากเซิร์ฟเวอร์อื่น ใช้ชื่อโดเมนของคุณเป็นหน้ากาก. ด้วยวิธีนี้พวกเขาสามารถแพร่กระจาย ข้อมูลเท็จ หรือ อาจมีการร้องขอข้อมูลที่ละเอียดอ่อน ในนามขององค์กรของคุณ

แน่นอน เซิร์ฟเวอร์อื่นยังสามารถส่งข้อความในนามของคุณได้ แต่จะถูกทำเครื่องหมายว่าเป็นสแปมหรือถูกปฏิเสธหากเซิร์ฟเวอร์หรือชื่อโดเมนนั้นไม่ได้ระบุไว้ในรายการ SPF TXT ของโดเมนของคุณ

ค่า SPF ในตัวจัดการ DNS มีลักษณะดังนี้:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

โดยที่ "ip4" คือ IPv4 บนเซิร์ฟเวอร์อีเมลของคุณ

ฉันจะตั้งค่า SPF สำหรับหลายโดเมนได้อย่างไร

หากเราต้องการอนุญาตให้โดเมนอื่นส่งข้อความอีเมลในนามของโดเมนของเรา เราจะระบุด้วยค่า "include”ใน SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

ซึ่งหมายความว่าข้อความอีเมลสามารถส่งจากชื่อโดเมนของเราไปที่ example1.com และ example2.com
เป็นบันทึกที่มีประโยชน์มากถ้าเรามีตัวอย่างหนึ่ง ร้านขายของ ตามที่อยู่ "ตัวอย่าง 1.com", แต่เราต้องการให้ข้อความจากร้านค้าออนไลน์ถึงลูกค้าทิ้งไป ที่อยู่โดเมนบริษัท, สิ่งนี้คือ "example.com“. ใน เอสพีเอฟ TXT สำหรับ "example.com" ตามความจำเป็นเพื่อระบุถัดจาก IP และ "include: example1.com" เพื่อให้สามารถส่งข้อความในนามขององค์กรได้

ฉันจะตั้งค่า SPF สำหรับ IPv4 และ IPv6 ได้อย่างไร

เรามีเซิร์ฟเวอร์อีเมลที่มีทั้ง IPv4 และมีการ IPv6การระบุ IP ทั้งสองใน SPF TXT เป็นสิ่งสำคัญมาก

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

ถัดไปหลังจาก "ip" คำสั่ง "include”เพื่อเพิ่มโดเมนที่ได้รับอนุญาตให้จัดส่ง

มันหมายความว่าอะไร "~all","-all"และ"+allของค่า SPF?

ตามที่ระบุไว้ข้างต้น ผู้ให้บริการ (ISP) ยังคงสามารถรับอีเมลในนามขององค์กรของคุณได้ แม้ว่าจะส่งมาจากโดเมนหรือ IP ที่ไม่ได้ระบุไว้ในนโยบาย SPF แท็ก "ทั้งหมด" จะบอกเซิร์ฟเวอร์ปลายทางถึงวิธีจัดการกับข้อความเหล่านี้จากโดเมนที่ไม่ได้รับอนุญาตอื่นๆ และส่งข้อความในนามของคุณหรือองค์กรของคุณ

~all : หากได้รับข้อความจากโดเมนที่ไม่อยู่ใน SPT TXT ข้อความจะได้รับการยอมรับบนเซิร์ฟเวอร์ปลายทาง แต่จะถูกทำเครื่องหมายว่าเป็นสแปมหรือน่าสงสัย พวกเขาจะอยู่ภายใต้ตัวกรองป้องกันสแปมของแนวปฏิบัติที่ดีของผู้ให้บริการผู้รับ

-all : นี่คือแท็กที่เข้มงวดที่สุดที่เพิ่มลงในรายการ SPF หากโดเมนไม่อยู่ในรายการ ข้อความจะถูกทำเครื่องหมายว่าไม่ได้รับอนุญาตและจะถูกปฏิเสธโดยผู้ให้บริการ ไม่ส่งของด้วย macในสแปม

+all : ไม่ค่อยได้ใช้และไม่แนะนำเลย แท็กนี้อนุญาตให้ผู้อื่นส่งอีเมลในนามของคุณหรือองค์กรของคุณ ผู้ให้บริการส่วนใหญ่จะปฏิเสธข้อความอีเมลทั้งหมดที่มาจากโดเมนที่มี SPF TXT โดยอัตโนมัติ "+all“. แม่นยำเพราะไม่สามารถตรวจสอบความถูกต้องของผู้ส่งได้ ยกเว้นหลังจากตรวจสอบ "ส่วนหัวของอีเมล" แล้ว

สรุป: กรอบนโยบายผู้ส่ง (SPF) หมายถึงอะไร

• ปิดใช้งานและล้างแคช DNS - Windows 7, วิสต้า และ XP
• ใช้เซิร์ฟเวอร์ DNS สำรองโหลดหน้าเว็บได้เร็วขึ้น
• วิธีที่เราสามารถเปลี่ยนที่อยู่ DNS ใน OS X
• วิธีที่เราสามารถตั้งค่าแคช DNS ใน OS X
• เพิ่มความเร็วการท่องอินเทอร์เน็ตโดยใช้ Google มหาชน DNS

อนุญาตผ่านโซน TXT / SPF DNS, IP และชื่อโดเมนที่สามารถส่งข้อความอีเมลจากโดเมนหรือบริษัทของคุณ นอกจากนี้ยังใช้ผลที่ตามมาที่นำไปใช้กับข้อความที่ส่งจากโดเมนที่ไม่ได้รับอนุญาต

DMARC หมายถึงอะไร และเหตุใดจึงสำคัญสำหรับเซิร์ฟเวอร์อีเมลของคุณ

ดีมาร์ค (การรายงานความสอดคล้องและการตรวจสอบข้อความตามโดเมน) มีความเชื่อมโยงอย่างใกล้ชิดกับมาตรฐานนโยบาย SPF si ดีเคไอเอ็ม.
DMARC เป็น ระบบตรวจสอบความถูกต้อง ออกแบบมาเพื่อปกป้อง ชื่อโดเมนอีเมลของคุณหรือบริษัทของคุณการปฏิบัติเช่นการปลอมแปลงอีเมลและ การหลอกลวงแบบฟิชชิ่ง.

การใช้มาตรฐานการควบคุม Sender Policy Framework (SPF) และ Domain Keys Identified Mail (DKIM) ทำให้ DMARC ได้เพิ่มคุณลักษณะที่สำคัญมาก รายงาน.

เมื่อเจ้าของโดเมนเผยแพร่ DMARC ในพื้นที่ DNS TXT เขาหรือเธอจะได้รับข้อมูลเกี่ยวกับผู้ที่ส่งข้อความอีเมลในนามของเขาหรือเธอ หรือบริษัทที่เป็นเจ้าของโดเมนที่ได้รับการคุ้มครองโดย SPF และ DKIM ในเวลาเดียวกัน ผู้รับข้อความจะรู้ว่านโยบายแนวปฏิบัติที่ดีเหล่านี้ได้รับการตรวจสอบโดยเจ้าของโดเมนที่ส่งหรือไม่และอย่างไร

บันทึก DMARC ใน DNS TXT สามารถ:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

ใน DMARC คุณสามารถใส่เงื่อนไขเพิ่มเติมสำหรับการรายงานเหตุการณ์และที่อยู่อีเมลสำหรับการวิเคราะห์และรายงาน ขอแนะนำให้ใช้ที่อยู่อีเมลเฉพาะสำหรับ DMARC เนื่องจากปริมาณข้อความที่ได้รับอาจมีจำนวนมาก

แท็ก DMARC สามารถตั้งค่าได้ตามนโยบายที่คุณหรือองค์กรของคุณกำหนด:

v - เวอร์ชันของโปรโตคอล DMARC ที่มีอยู่
p - ใช้นโยบายนี้เมื่อไม่สามารถตรวจสอบ DMARC สำหรับข้อความอีเมลได้ สามารถมีค่า: “none","quarantine"หรือ"reject“. ถูกนำมาใช้ "none” เพื่อรับรายงานการไหลของข้อความและสถานะพินsora.
rua - เป็นรายการ URL ที่ ISP สามารถส่งข้อเสนอแนะในรูปแบบ XML หากเราเพิ่มที่อยู่อีเมลที่นี่ ลิงก์จะเป็น:rua=mailto:feedback@example.com"
ruf - รายการ URL ที่ ISP สามารถส่งรายงานเหตุการณ์ทางไซเบอร์และอาชญากรรมที่เกิดขึ้นในนามขององค์กรของคุณ ที่อยู่จะเป็น:ruf=mailto:account-email@for.example.com"
rf - รูปแบบการรายงานอาชญากรรมทางอินเทอร์เน็ต เป็นรูปเป็นร่างได้"afrf"หรือ"iodef"
pct - สั่งให้ ISP ใช้นโยบาย DMARC เฉพาะกับข้อความที่ล้มเหลวบางส่วนเท่านั้น ตัวอย่างเช่น เราอาจมี:pct=50%“หรือนโยบาย”quarantine"และ"reject“. จะไม่มีวันได้รับการยอมรับ”none"
adkim – ระบุ “Alignment Mode” สำหรับลายเซ็นดิจิทัล DKIM ซึ่งหมายความว่ามีการตรวจสอบการจับคู่ลายเซ็นดิจิทัลของรายการ DKIM กับโดเมน adkim สามารถมีค่า: r (Relaxed) หรือ s (Strict).
aspf - เช่นเดียวกับในกรณี adkim ระบุ "การจัดตำแหน่ง" Mode” สำหรับ SPF และรองรับค่าเดียวกัน r (Relaxed) หรือ s (Strict).
sp - นโยบายนี้บังคับใช้เพื่ออนุญาตให้โดเมนย่อยที่มาจากโดเมนองค์กรใช้ค่า DMARC ของโดเมน เพื่อหลีกเลี่ยงการใช้นโยบายแยกกันสำหรับแต่ละพื้นที่ มันเป็น "สัญลักษณ์แทน" สำหรับโดเมนย่อยทั้งหมด
ri - ค่านี้กำหนดช่วงเวลาที่จะได้รับรายงาน XML สำหรับ DMARC ในกรณีส่วนใหญ่ การรายงานเป็นรายวันดีกว่า
fo - ตัวเลือกสำหรับรายงานการฉ้อโกง “ทางกฎหมาย options“. อาจมีค่าเป็น "0" เพื่อรายงานเหตุการณ์เมื่อทั้งการยืนยัน SPF และ DKIM ล้มเหลว หรือค่า "1" สำหรับสถานการณ์ที่ SPF หรือ DKIM ไม่มีอยู่หรือไม่ผ่านการตรวจสอบ

ดังนั้น เพื่อให้มั่นใจว่าอีเมลของคุณหรือของบริษัทของคุณส่งถึงกล่องจดหมาย คุณต้องพิจารณามาตรฐานทั้งสามนี้ "แนวทางปฏิบัติที่ดีที่สุดสำหรับการส่งอีเมล" ดีเคไอเอ็ม, SPF si ดีมาร์ค. มาตรฐานทั้งสามนั้นเกี่ยวข้องกับ DNS TXT และสามารถจัดการได้จากตัวจัดการ DNS ของโดเมน