Hur man ställer in DNS TXT-zonen för SPF, DKIM och DMARC och hur man förhindrar att företags-e-postmeddelanden avvisas av Gmail - Postleverans misslyckades

Administratorii av allvarlig privat e-post för företag det står ofta inför många problem och utmaningar. Från vågorna av SPAM som måste blockeras av specifika filter, korrespondenssäkerhet i den lokala e-postservern och fjärrservrar, konfiguration si övervakning av SMTP-tjänster, POP, IMAP, plus massor av andra detaljer SPF-, DKIM- och DMARC-konfiguration att följa bästa praxis för säker e-postsändning.

Många problem skicka e-postmeddelanden eller mottagare till/från dina leverantörer, visas på grund av felaktig konfiguration av området DNS, hur är det med e-posttjänsten.

För att e-postmeddelanden ska kunna skickas från ett domännamn måste det vara det värd på en e-postserver Rätt konfigurerad, och domännamn för att ha DNS-zoner för SPF, MX, DMARC-tillägg SI dkim förlängning inställt korrekt i hanteraren TXT DNS av domänen.

I dagens artikel kommer vi att fokusera på ett ganska vanligt problem privata e-postservrar för företag. Det går inte att skicka e-post till Gmail, Yahoo! eller iCloud.

Meddelanden som skickas till @ Gmail.com avvisas automatiskt. "E-postleverans misslyckades: returnerar meddelande till avsändaren"

Jag stötte nyligen på ett problem på en e-postdomän för ett företag, varifrån e-post regelbundet skickas till andra företag och till privatpersoner, av vilka några har adresser @ gmail.com. Alla meddelanden som skickats till Gmail-konton returnerades omedelbart till avsändaren. "E-postleverans misslyckades: skickar meddelande till avsändaren".

Felmeddelandet returnerades till e-postservern på EXIM ser ut så här:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

I detta scenario är det inte något särskilt allvarligt, som t.ex inkludera det sändande domännamnet eller den sändande IP-adressen i en SPAM-lista global eller o stort konfigurationsfel av e-posttjänster på sevrer (EXIM).
Även om många människor ser det här meddelandet direkt när de tänker på SPAM eller ett SMTP-konfigurationsfel, är problemet genererat av området. TXT DNS av domänen. För det mesta är DKIM inte konfigurerad i DNS-zonen eller skickas inte korrekt i domänens DNS-hanterare. Detta problem finns ofta hos dem som använder det CloudFlare som DNS Manager och glöm att passera TXT DNS: mail._domainkey (dkim förlängning), DMARC-tillägg si SPF.

Som Gmails meddelande om avslag säger oss har äktheten och autentiseringen av avsändardomänen misslyckats. "Det här meddelandet har ingen autentiseringsinformation eller klarar inte \ n550-5.7.26 autentiseringskontroller.” Det betyder att domänen inte har DNS TXT konfigurerad för att säkerställa trovärdighet för mottagarens e-postserver. Gmail, i vårt skript.

När vi lägger till en webbdomän med en aktiv e-posttjänst på dess cPanel VestaCP, filerna i DNS-området för respektive domän skapas också automatiskt. DNS-zon som inkluderar konfigurationen av e-posttjänsten: MX, SPF, dkim förlängning, DMARC-tillägg.
I situationen där vi väljer domänen som ska vara chef CloudFlare DNS, måste DNS-området för domänens värdkonto kopieras till CloudFlare för att e-postdomänen ska fungera korrekt. Det var problemet i scenariot ovan. I en tredjeparts DNS-hanterare finns inte DKIM-registrering, även om den finns på DNS-hanteraren för den lokala servern.

Vad är DKIM och varför avvisas e-postmeddelanden om vi inte har den här funktionen på en e-postdomän?

DomainKeys Identified Mail (DKIM) är en standardlösning för e-postdomänautentisering som lägger till en digitala signaturer varje meddelande som skickas. Destinationsservrarna kan kontrollera genom DKIM om meddelandet kommer från avsändarens rättsdomän och inte från en annan domän som använder avsändarens identitet som en mask. Av allt att döma, om du har domänen abcdqwerty.com utan DKIM kan e-postmeddelanden skickas från andra servrar med ditt domännamn. Det är om man vill ha en identitetsstöld, som på fackspråk kallas e-postförfalskning.
En vanlig teknik när man skickar e-postmeddelanden Nätfiske si skräppost.

Det kan också säkerställas genom DKIM att, innehållet i meddelandet ändrades inte efter att det skickades av avsändaren.

Att ha DKIM korrekt inställt på e-postsystemets strikta värd och i DNS-området eliminerar också möjligheten att dina meddelanden kan nå SPAM till mottagaren eller inte nå alls.

Ett exempel på en DKIM är:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Naturligtvis DKIM-värdet som erhålls av RSA-krypteringsalgoritm är unikt för varje domännamn och kan återskapas från värdens e-postserver.

Att ha DKIM installerat och korrekt inställt TXT DNS chef, är det mycket möjligt att lösa problemet med meddelanden som returneras till Gmail-konton. Åtminstone för felet "E-postleverans misslyckades":

"SMTP error från fjärrpostserver efter pipelined slut av data: 550-5.7.26 Detta meddelande har ingen autentiseringsinformation eller klarar inte \ n550-5.7.26 autentiseringskontroller. För att på bästa sätt skydda våra användare från skräppost har \ n550-5.7.26 meddelandet blockerats. ”

Som en kort sammanfattning, DKIM lägger till en digital signatur till varje meddelande som skickas, vilket gör att destinationsservrarna kan verifiera avsändarens äkthet. Om meddelandet kom från ditt företag och tredje parts adress inte användes för att använda din identitet.

gmail (Google) kanske avvisar automatiskt alla meddelanden kommer från domäner som inte har en sådan DKIM digital semantik.

Vad är SPF och varför är det viktigt för säker e-postsändning?

Precis som DKIM, och SPF syftar till att förebygga nätfiskemeddelanden si e-postförfalskning. På så sätt kommer de skickade meddelandena inte längre att markeras som skräppost.

Sender Policy Framework (SPF) är en standardmetod för att autentisera den domän från vilken meddelanden skickas. SPF-poster är inställda på TXT DNS-hanterare för din domän och denna post kommer att ange domännamnet, IP-adressen eller domänerna som har rätt att skicka e-postmeddelanden med ditt eller din organisations domännamn.

En domän utan SPF kan tillåta spammare att skicka e-post från andra servrar, använda ditt domännamn som en mask. På så sätt kan de sprida sig falsk information eller känsliga uppgifter kan begäras på uppdrag av din organisation

Naturligtvis kan meddelanden fortfarande skickas för din räkning från andra servrar, men de kommer att markeras som skräppost eller avvisas om den servern eller domännamnet inte anges i din domäns SPF TXT-post.

Ett SPF-värde i DNS-hanteraren ser ut så här:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Där "ip4" är IPv4 på din e-postserver.

Hur ställer jag in SPF för flera domäner?

Om vi ​​vill tillåta andra domäner att skicka e-postmeddelanden på uppdrag av vår domän, kommer vi att ange dem med värdet "include"I SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Detta innebär att e-postmeddelanden även kan skickas från vårt domännamn till exempel1.com och exempel2.com.
Det är ett mycket användbart register om vi till exempel har en butik På adressen"example1.com", Men vi vill att meddelanden från webbutiken till kunderna ska lämna företagets domänadress, detta väsen"example.com”. I SPF TXT för "example.com", som behövs för att ange bredvid IP och "inkludera: exempel1.com". Så att meddelanden kan skickas på uppdrag av organisationen.

Hur ställer jag in SPF för IPv4 och IPv6?

Vi har en mailserver med båda IPv4 och med IPv6, är det mycket viktigt att båda IP-adresserna anges i SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Därefter, efter "ip" direktivet "include”För att lägga till domäner som är auktoriserade för frakt.

Vad betyder det "~all","-all"Och"+allAv SPF?

Som nämnts ovan kan leverantörer (ISP) fortfarande ta emot e-postmeddelanden på uppdrag av din organisation även om de skickas från en domän eller IP som inte specificeras i SPF-policyn. Taggen "alla" talar om för destinationsservrar hur de ska hantera dessa meddelanden från andra obehöriga domäner och skicka meddelanden på uppdrag av dig eller din organisation.

~all : Om meddelandet tas emot från en domän som inte är listad i SPT TXT, kommer meddelandena att accepteras på destinationsservern, men de kommer att markeras som spam eller misstänkta. De kommer att omfattas av bästa praxis från mottagarens leverantörs anti-spam-filter.

-all : Detta är den strängaste taggen som lagts till i en SPF-post. Om domänen inte är listad kommer meddelandet att markeras som obehörigt och kommer att avvisas av leverantören. Den kommer inte heller att levereras maci spam.

+all : Används mycket sällan och rekommenderas inte alls, den här taggen tillåter andra att skicka e-post för dig eller din organisations vägnar. De flesta leverantörer avvisar automatiskt alla e-postmeddelanden som kommer från domäner med SPF TXT."+all". Just för att avsändarens äkthet inte kan verifieras, förutom efter en "e-posthuvud"-kontroll.

Sammanfattning: Vad betyder Sender Policy Framework (SPF)?

Auktoriserar via TXT/SPF DNS-zonen, IP:er och domännamn som kan skicka e-postmeddelanden från din domän eller ditt företag. Den tillämpar även de konsekvenser som gäller för meddelanden som skickas från obehöriga domäner.

Vad betyder DMARC och varför är det viktigt för din e-postserver?

DMARC-tillägg (Domänbaserad meddelandeautentiseringsrapportering och överensstämmelse) är nära kopplat till policystandarder SPF si dkim förlängning.
DMARC är en valideringssystem utformad för att skydda ditt eller ditt företags e-postdomännamn, praxis som e-postspoofing och phishing-bedrägerier.

Genom att använda Sender Policy Framework (SPF) och Domain Keys Identified Mail (DKIM) kontrollstandarder, lägger DMARC till en mycket viktig funktion. rapporterar.

När en domänägare publicerar DMARC i DNS TXT-området kommer han eller hon att få information om vem som skickar e-postmeddelanden på uppdrag av honom eller henne eller företaget som äger domänen skyddad av SPF och DKIM. Samtidigt kommer mottagarna av meddelandena att veta om och hur dessa riktlinjer för god praxis övervakas av ägaren till den sändande domänen.

En DMARC-post i DNS TXT kan vara:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

I DMARC kan du sätta fler villkor för att rapportera incidenter och e-postadresser för analys och rapporter. Det är tillrådligt att använda dedikerade e-postadresser för DMARC eftersom volymen av mottagna meddelanden kan vara betydande.

DMARC-taggar kan ställas in enligt policyn som du eller din organisation har infört:

v - version av det befintliga DMARC-protokollet.
p - tillämpa denna policy när DMARC inte kan verifieras för e-postmeddelanden. Det kan ha värdet: "none","quarantine"Eller"reject". Är använd "none” för att få rapporter om meddelandeflöde och pin-statussora.
rua – Det är en lista med webbadresser som internetleverantörer kan skicka feedback på i XML-format. Om vi ​​lägger till e-postadressen här blir länken:rua=mailto:feedback@example.com".
ruf - Listan över webbadresser som Internetleverantörer kan skicka rapporter om cyberincidenter och brott som begåtts på uppdrag av din organisation. Adressen kommer att vara:ruf=mailto:account-email@for.example.com".
rf - Rapporteringsformat för cyberbrott. Den kan formas"afrf"Eller"iodef".
pct - Instruerar internetleverantören att tillämpa DMARC-policyn endast för en viss procentandel av misslyckade meddelanden. Till exempel kan vi ha:pct=50%"Eller policyer"quarantine"Och"reject". Det kommer aldrig att accepteras."none".
adkim – Ange "Alignment Mode” för DKIM digitala signaturer. Detta innebär att matchningen av den digitala signaturen för en DKIM-post med domänen kontrolleras. adkim kan ha värdena: r (Relaxed) eller s (Strict).
aspf – På samma sätt som i ärendet adkim "Alignment" anges Mode” för SPF och stöder samma värden. r (Relaxed) eller s (Strict).
sp - Den här policyn gäller för att tillåta att underdomäner som härrör från organisationsdomänen använder domänens DMARC-värde. Detta undviker användningen av separata policyer för varje område. Det är praktiskt taget ett "jokertecken" för alla underdomäner.
ri - Det här värdet anger intervallet för vilket XML-rapporter tas emot för DMARC. I de flesta fall är rapportering att föredra på daglig basis.
fo - Alternativ för bedrägerirapporter. "Forensic options". De kan ha värden "0" för att rapportera incidenter när både SPF- och DKIM-verifieringen misslyckas, eller värdet "1" för scenariot där SPF eller DKIM inte existerar eller inte klarar verifieringen.

Därför, för att säkerställa att din eller ditt företags e-post når din inkorg, måste du överväga dessa tre standarder."bästa praxis för att skicka e-post". dkim förlängning, SPF si DMARC-tillägg. Alla dessa tre standarder tillhör DNS TXT och kan administreras från domänens DNS-hanterare.

Teknikentusiast, jag skriver med glädje på StealthSettings.com sedan 2006. Jag har omfattande erfarenhet av operativsystem: macOS, Windows och Linux, samt programmeringsspråk och bloggplattformar (WordPress) och för onlinebutiker (WooCommerce, Magento, PrestaShop).

Hur man » Anmärkningsvärt » Hur man ställer in DNS TXT-zonen för SPF, DKIM och DMARC och hur man förhindrar att företags-e-postmeddelanden avvisas av Gmail - Postleverans misslyckades

1 tanke på "Hur man konfigurerar TXT DNS-zonen för SPF, DKIM och DMARC och hur man undviker att e-postmeddelanden från företag avvisas av Gmail - Postleverans misslyckades"

Lämna en kommentar