Come configurare la zona DNS TXT per SPF, DKIM e DMARC e come impedire che i messaggi di posta elettronica aziendali vengano rifiutati da Gmail - Recapito della posta non riuscito

Administratorii de e-mail privata severa per affari spesso affronta molti problemi e sfide. Dalle onde di SPAM che devono essere bloccati da appositi filtri, sicurezza della corrispondenza nel server di posta elettronica locale e nei server remoti, configurazione si monitoraggio dei servizi SMTP, POP, IMAP, oltre a moltissimi altri dettagli Configurazione SPF, DKIM e DMARC seguire le migliori pratiche per l'invio sicuro di e-mail.

Molti problemi inviare messaggi di posta elettronica o destinatario verso/dai tuoi provider, compaiono a causa di una errata configurazione dell'area DNS, che dire del servizio di posta elettronica.

Affinché le email possano essere inviate da un nome di dominio, deve esserlo ospitato su un server di posta elettronica Configurato correttamente e nome di dominio per avere zone DNS per SPF, MX, DMARC SI DKIM impostato correttamente nel manager DNS TXT del dominio.

Nell'articolo di oggi ci concentreremo su un problema abbastanza comune server di posta elettronica aziendali privati. Impossibile inviare e-mail a Gmail, Yahoo! o iCloud.

I messaggi inviati a @Gmail.com vengono automaticamente rifiutati. "Recapito della posta fallito: restituzione del messaggio al mittente"

Di recente ho riscontrato un problema su un dominio di posta elettronica di un'azienda, da cui vengono regolarmente inviate e-mail ad altre società e a privati, alcuni dei quali hanno indirizzi @ Gmail.com. Tutti i messaggi inviati agli account Gmail sono stati immediatamente restituiti al mittente. "Recapito della posta fallito: restituzione del messaggio al mittente".

Messaggio di errore restituito al server di posta elettronica acceso EXIM Somiglia a questo:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

In questo scenario non è qualcosa di molto serio, come includere il nome di dominio di invio o l'IP di invio in un elenco di SPAM globale o o errore di configurazione grave di servizi di posta elettronica su server (EXIM).
Anche se molte persone vedono questo messaggio immediatamente quando pensano a SPAM o a un errore di configurazione SMTP, il problema è generato dall'area. DNS TXT del dominio. Il più delle volte, DKIM non è configurato nella zona DNS o non è passato correttamente nel gestore DNS del dominio. Questo problema è spesso riscontrato da coloro che lo utilizzano CloudFlare come DNS Manager e dimentica di passare DNS TXT: mail._domainkey (DKIM), DMARC si SPF.

Come ci dice il messaggio di rifiuto di Gmail, l'autenticità e l'autenticazione del dominio del mittente non sono riuscite. “Questo messaggio non contiene informazioni di autenticazione o non riesce a \ n550-5.7.26 superare i controlli di autenticazione. ” Ciò significa che il dominio non dispone di DNS TXT configurato per garantire la credibilità del server di posta elettronica del destinatario. Gmail, nel nostro script.

Quando aggiungiamo un dominio web con un servizio di posta attivo su cPanel o VestaCP, i file nella zona DNS di quel dominio vengono creati automaticamente. Zona DNS che include la configurazione del servizio di posta elettronica: MX, SPF, DKIM, DMARC.
Nella situazione in cui scegliamo il dominio come gestore DNS CloudFlare, l'area DNS dell'account di hosting del dominio deve essere copiata in CloudFlare affinché il dominio di posta elettronica funzioni correttamente. Questo era il problema nello scenario precedente. In un gestore DNS di terze parti, la registrazione DKIM non esiste, sebbene esista nel gestore DNS del server locale.

Che cos'è DKIM e perché le e-mail vengono rifiutate se non abbiamo questa funzione su un dominio e-mail?

Posta identificata DomainKeys (DKIM) è una soluzione standard di autenticazione del dominio di posta elettronica che aggiunge a Le firme digitali ogni messaggio inviato. I server di destinazione possono verificare tramite DKIM se il messaggio proviene dal dominio di diritto del mittente e non da un altro dominio che utilizza l'identità del mittente come maschera. Per tutti gli account, se hai il dominio abcdqwerty.com senza DKIM, le email possono essere inviate da altri server utilizzando il tuo nome di dominio. Lo è se vuoi un furto di identità, che in termini tecnici si chiama spoofing delle e-mail.
Una tecnica comune per l'invio di messaggi di posta elettronica phishing si carne in scatola.

È inoltre possibile garantire tramite DKIM che, il contenuto del messaggio non è stato modificato dopo che è stato inviato dal mittente.

Avere DKIM impostato correttamente sull'host rigoroso del sistema di posta elettronica e nell'area DNS elimina anche la possibilità che i tuoi messaggi raggiungano lo SPAM al destinatario o non arrivino affatto.

Un esempio di DKIM è:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Naturalmente, il valore DKIM ottenuto da Algoritmo di crittografia RSA è univoco per ogni nome di dominio e può essere rigenerato dal server di posta elettronica dell'host.

Avere DKIM installato e impostato correttamente in DNS TXT manager, è molto possibile risolvere il problema dei messaggi restituiti agli account Gmail. Almeno per l'errore "Recapito della posta non riuscito":

“SMTP error dal server di posta remoto dopo la fine della pipeline dei dati: 550-5.7.26 Questo messaggio non contiene informazioni di autenticazione o non riesce a \ n550-5.7.26 superare i controlli di autenticazione. Per proteggere al meglio i nostri utenti dallo spam, il messaggio \ n550-5.7.26 è stato bloccato. ”

Come breve riassunto, DKIM aggiunge una firma digitale a ogni messaggio inviato, che consente ai server di destinazione di verificare l'autenticità del mittente. Se il messaggio proveniva dalla tua azienda e l'indirizzo di terze parti non è stato utilizzato per utilizzare la tua identità.

Gmail (Google) forse rifiuta automaticamente tutti i messaggi provenienti da domini che non hanno una tale semantica digitale DKIM.

Che cos'è SPF e perché è importante per l'invio sicuro di e-mail?

Proprio come DKIM, e SPF mira a prevenire messaggi di phishing si spoofing delle e-mail. In questo modo, i messaggi inviati non verranno più contrassegnati come spam.

Framework criteri mittente (SPF) è un metodo standard per autenticare il dominio da cui vengono inviati i messaggi. Le voci SPF sono impostate su Gestore DNS TXT del tuo dominio e questa voce specificherà il nome di dominio, l'IP o i domini a cui è consentito inviare messaggi di posta elettronica utilizzando il tuo nome di dominio o quello della tua organizzazione.

Un dominio senza SPF può consentire agli spammer di inviare e-mail da altri server, usando il tuo nome di dominio come maschera. In questo modo possono diffondersi falsa informazione o possono essere richiesti dati sensibili per conto della tua organizzazione

Naturalmente, i messaggi possono ancora essere inviati per tuo conto da altri server, ma verranno contrassegnati come spam o rifiutati se quel server o nome di dominio non è specificato nella voce TXT SPF del tuo dominio.

Un valore SPF nel gestore DNS è simile al seguente:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Dove "ip4" è IPv4 sul tuo server di posta elettronica.

Come faccio a impostare SPF per più domini?

Se vogliamo autorizzare altri domini a inviare messaggi di posta elettronica per conto del nostro dominio, li indicheremo con il valore "include”In SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Ciò significa che i messaggi di posta elettronica possono anche essere inviati dal nostro nome di dominio a esempio1.com e esempio2.com.
È un record molto utile se ne abbiamo per esempio uno negozio Sull'indirizzo"esempio1.com", Ma vogliamo che i messaggi dal negozio online ai clienti se ne vadano indirizzo del dominio aziendale, questo essere "example.com“. Nel TXT SPF per "example.com", come necessario per specificare accanto a IP e "include: example1.com". In modo che i messaggi possano essere inviati per conto dell'organizzazione.

Come si imposta SPF per IPv4 e IPv6?

Abbiamo un server di posta con entrambi IPv4 e con IPv6, è molto importante che entrambi gli IP siano specificati nell'SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Successivamente, dopo "ip" la direttiva "include”Per aggiungere domini autorizzati alla spedizione.

Cosa significa "~all","-all"E"+allDell'SPF?

Come indicato in precedenza, i provider (ISP) possono comunque ricevere e-mail per conto della tua organizzazione anche se vengono inviate da un dominio o IP non specificato nella policy SPF. Il tag "all" indica ai server di destinazione come gestire questi messaggi da altri domini non autorizzati e inviare messaggi per conto tuo o della tua organizzazione.

~all : Se il messaggio viene ricevuto da un dominio non elencato nel TXT SPT, i messaggi verranno accettati sul server di destinazione, ma verranno contrassegnati come spam o sospetti. Saranno soggetti alle migliori pratiche dei filtri anti-spam del provider del destinatario.

-all : questo è il tag più rigoroso aggiunto a una voce SPF. Se il dominio non è elencato, il messaggio verrà contrassegnato come non autorizzato e verrà rifiutato dal provider. Non verrà nemmeno consegnato macnello spam.

+all : utilizzato molto raramente e per nulla consigliato, questo tag consente ad altri di inviare e-mail per conto tuo o della tua organizzazione. La maggior parte dei provider rifiuta automaticamente tutti i messaggi di posta elettronica provenienti da domini con SPF TXT.+all“. Proprio perché non è possibile verificare l'autenticità del mittente, se non dopo un controllo "intestazione email".

Sommario: Che cosa significa Sender Policy Framework (SPF)?

Autorizza attraverso la zona DNS TXT/SPF, IP e nomi di dominio che possono inviare messaggi di posta elettronica dal tuo dominio o azienda. Si applicano anche le conseguenze che si applicano ai messaggi inviati da domini non autorizzati.

Cosa significa DMARC e perché è importante per il tuo server di posta?

DMARC (Reporting e conformità dell'autenticazione dei messaggi basata sul dominio) è strettamente legato alle norme politiche SPF si DKIM.
DMARC è un sistema di validazione progettato per proteggere il tuo nome di dominio e-mail o quello della tua azienda, pratiche come lo spoofing e-mail e truffe di phishing.

Utilizzando gli standard di controllo Sender Policy Framework (SPF) e Domain Keys Identified Mail (DKIM), DMARC aggiunge una funzionalità molto importante. rapporti.

Quando un proprietario di dominio pubblica DMARC nell'area DNS TXT, ottiene informazioni su chi invia messaggi di posta elettronica per conto suo o della società proprietaria del dominio protetto da SPF e DKIM. Allo stesso tempo, i destinatari dei messaggi sapranno se e come queste politiche di best practice sono monitorate dal proprietario del dominio di invio.

Un record DMARC in DNS TXT può essere:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

In DMARC puoi inserire più condizioni per la segnalazione di incidenti e indirizzi e-mail per analisi e rapporti. Si consiglia di utilizzare indirizzi e-mail dedicati per DMARC poiché il volume dei messaggi ricevuti potrebbe essere significativo.

I tag DMARC possono essere impostati in base alla politica imposta da te o dalla tua organizzazione:

v - versione del protocollo DMARC esistente.
p - applicare questa politica quando non è possibile verificare DMARC per i messaggi di posta elettronica. Può avere il valore: “none","quarantine"O"reject“. Viene usato "none”Per ottenere rapporti sul flusso e sullo stato dei messaggi.
rua - È un elenco di URL su cui gli ISP possono inviare feedback in formato XML. Se aggiungiamo l'indirizzo e-mail qui, il link sarà:rua=mailto:feedback@example.com".
ruf - L'elenco degli URL su cui gli ISP possono inviare segnalazioni di incidenti informatici e crimini commessi per conto della tua organizzazione.L'indirizzo sarà:ruf=mailto:account-email@for.example.com".
rf - Formato di segnalazione della criminalità informatica. Si può modellare"afrf"O"iodef".
pct - Indica all'ISP di applicare la politica DMARC solo per una determinata percentuale di messaggi non riusciti. Ad esempio, potremmo avere:pct=50%"O politiche"quarantine"E"reject“. Non sarà mai accettato".none".
adkim - Specifica la "Modalità di allineamento" per le firme digitali DKIM. Ciò significa che viene verificata la firma digitale di una voce DKIM con il dominio. adkim può avere i valori: r (Relaxed) o s (Strict).
aspf - Allo stesso modo del caso adkim "Modalità allineamento" è specificata per SPF e supporta gli stessi valori. r (Relaxed) o s (Strict).
sp - Questa politica si applica per consentire ai sottodomini derivati ​​dal dominio dell'organizzazione di utilizzare il valore DMARC del dominio. Ciò evita l'uso di politiche separate per ciascuna area. È praticamente un "carattere jolly" per tutti i sottodomini.
ri - Questo valore imposta l'intervallo di ricezione dei report XML per DMARC. Nella maggior parte dei casi, è preferibile la segnalazione su base giornaliera.
fo - Opzioni per le segnalazioni di frode. “Legale options“. Possono avere valori "0" per segnalare incidenti quando sia la verifica SPF che DKIM falliscono, o il valore "1" per lo scenario in cui SPF o DKIM non esistono o non superano la verifica.

Pertanto, per garantire che le e-mail della tua o della tua azienda raggiungano la tua casella di posta, devi considerare questi tre standard. "best practices per l'invio di email". DKIM, SPF si DMARC. Tutti e tre questi standard sono DNS TXT e possono esserlo admindal gestore DNS del dominio.

Appassionato di tecnologia, mi piace testare e scrivere tutorial sui sistemi operativi macOS, Linux, Windows, circa WordPress, WooCommerce e configurare i server web LEMP (Linux, NGINX, MySQL e PHP). scrivo StealthSettings.com dal 2006, e qualche anno dopo ho iniziato a scrivere su iHowTo.Tips tutorial e notizie sui dispositivi nell'ecosistema Apple: iPhone, iPad, Apple Guarda, HomePod, iMac, MacBook, AirPods e accessori.

Lascia un tuo commento