Administratorii of tõsine privaatne e-kiri ettevõtetele see seisab sageli silmitsi paljude probleemide ja väljakutsetega. Alates lainetest Rämpspostist mis peavad olema teatud filtritega blokeeritud, kirjavahetuse turvalisus kohalikus meiliserveris ja kaugserverites, konfiguratsioon si SMTP teenuste jälgimine, POP, IMAP, pluss palju ja palju muid üksikasju SPF, DKIM ja DMARC konfiguratsioon järgima turvalise e-posti parimaid tavasid.
Palju probleeme saata e-kirju või kaubasaaja teie pakkujatele / teie pakkujatelt, ilmuvad piirkonna vale konfiguratsiooni tõttu DNS, kuidas on meiliteenusega.
Selleks, et domeeninimelt e-kirju saata, peab see nii olema majutatud meiliserveris Õigesti konfigureeritud ja domeeninime, et omada DNS-tsoone eest SPF, MX, DMARC laiendus SI dkim laiendus halduris õigesti seadistatud TXT DNS domeenist.
Tänases artiklis keskendume üsna levinud probleemile eraettevõtte meiliserverid. Meili ei saa Gmaili saata, Yahoo! või iCloud.
Kupriinid
Aadressile @ Gmail.com saadetud kirjad lükatakse automaatselt tagasi. "Kirja saatmine ebaõnnestus: tagastame teate saatjale"
Mul tekkis hiljuti probleem ettevõtte e-posti domeen, kust saadetakse regulaarselt e-kirju teistele ettevõtetele ja eraisikutele, kellest osadel on aadressid @ Gmail.com. Kõik Gmaili kontodele saadetud kirjad tagastati kohe saatjale. "Kirja saatmine ebaõnnestus: tagastame teate saatjale".
Veateade tagastati e-posti serverile EXIM näeb välja selline:
1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26 https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtpSelle stsenaariumi puhul pole tegemist millegi väga tõsisega, näiteks lisage rämpspostiloendisse saatva domeeni nimi või IP-aadress globaalne või o suur konfiguratsiooniviga e-posti teenustest serveris (EXIM).
Isegi kui paljud seda teadet nähes mõtlevad kohe rämpspostile või SMTP konfiguratsiooniveale, tekitab probleemi see piirkond. TXT DNS domeenist. Enamasti ei ole DKIM DNS-i tsoonis konfigureeritud või ei edastata seda domeeni DNS-i halduris õigesti. Selle probleemiga puutuvad sageli kokku need, kes seda kasutavad CloudFlare DNS-haldurina ja unustage läbida TXT DNS: mail._domainkey (dkim laiendus), DMARC laiendus si SPF.
Nagu Gmaili tagasilükkamisteade ütleb, on saatja domeeni autentsus ja autentimine ebaõnnestunud. “See sõnum ei sisalda autentimisteavet või ei läbi \ n550-5.7.26 autentimise kontrolle. ” See tähendab, et domeenil ei ole DNS TXT konfigureeritud, et tagada adressaadi meiliserveri usaldusväärsus. Gmail, meie skriptis.
Kui lisame selle cPanelile aktiivse meiliteenusega veebidomeeni VestaCP, luuakse automaatselt ka vastava domeeni DNS-tsoonis olevad failid. DNS-tsoon, mis sisaldab meiliteenuse konfiguratsiooni: MX, SPF, dkim laiendus, DMARC laiendus.
Olukorras, kus valime domeeni haldajaks CloudFlare DNS, tuleb meili domeeni korrektseks tööks kopeerida domeeni hostimiskonto DNS-ala CloudFlare'i. See oli ülaltoodud stsenaariumi probleem. Kolmanda osapoole DNS-halduris DKIM-i registreerimist ei eksisteeri, kuigi see on olemas kohaliku serveri DNS-halduris.
Mis on DKIM ja miks meilid tagasi lükatakse, kui meil seda funktsiooni meilidomeenis pole?
DomainKeys Identified Mail (DKIM) on standardne e-posti domeeni autentimise lahendus, mis lisab a digitaalallkirju iga saadetud sõnum. Sihtserverid saavad DKIM-i kaudu kontrollida, kas sõnum pärineb saatja domeenist, mitte teisest domeenist, mis kasutab maskina saatja identiteeti. Kõigi eelduste kohaselt, kui teil on domeen abcdqwertyCom ilma DKIM-ita võidakse teie domeeninime kasutades e-kirju saata teistest serveritest. Kui soovite identiteedivargust, mida tehnilises mõttes nimetatakse e-posti võltsimine.
Levinud tehnika e-kirjade saatmisel Phishing si spam.
Samuti saab DKIM-i kaudu tagada, et sõnumi sisu ei muutunud pärast selle saatmist saatja poolt.
DKIM-i korrektne seadistamine meilisüsteemi ranges hostis ja DNS-alas välistab ka võimaluse, et teie kirjad võivad adressaadini jõuda rämpspostini või ei jõua üldse.
DKIM-i näide on:
mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"Muidugi, DKIM-i väärtus, mis on saadud RSA krüpteerimisalgoritm on iga domeeninime jaoks unikaalne ja selle saab uuesti luua hosti meiliserverist.
DKIM installimine ja õigesti seadistamine TXT DNS haldur, on väga võimalik lahendada Gmaili kontodele tagastatud kirjade probleem. Vähemalt vea "Posti kohaletoimetamine ebaõnnestus" korral:
"SMTP error kaugpostiserverist pärast andmete konveierlõppu: 550-5.7.26 Sellel sõnumil pole autentimisteavet või see ei läbi \ n550-5.7.26 autentimiskontrolle. Meie kasutajate parimaks kaitsmiseks rämpsposti eest on sõnum \ n550-5.7.26 blokeeritud.
Lühikokkuvõttena DKIM lisab igale saadetud sõnumile digiallkirja, mis võimaldab sihtserveritel kontrollida saatja autentsust. Kui sõnum tuli teie ettevõttelt ja kolmanda osapoole aadressi ei kasutatud teie identiteedi kasutamiseks.
gmail (Google) võib-olla lükkab kõik sõnumid automaatselt tagasi pärit domeenidest, millel pole sellist DKIM-i digitaalset semantikat.
Mis on SPF ja miks on see turvalise meili saatmise jaoks oluline?
Täpselt nagu DKIM ja SPF eesmärk on ennetada andmepüügisõnumid si e-posti võltsimine. Nii ei märgita saadetud kirju enam rämpspostiks.
Saatjapoliitika raamistik (SPF) on standardne meetod selle domeeni autentimiseks, kust sõnumeid saadetakse. SPF-kirjed on seatud väärtusele TXT DNS-i haldur teie domeenist ja see kirje määrab domeeninime, IP-aadressi või domeenid, millel on õigus saata meilisõnumeid teie või teie organisatsiooni domeeninime kasutades.
SPF-ita domeen võib lubada rämpspostitajatel saata e-kirju teistest serveritest, kasutades oma domeeninime maskina. Nii saavad nad levida valeinformatsioon või nõuda tundlikke andmeid teie organisatsiooni nimel
Muidugi saab teie nimel sõnumeid saata ka teistest serveritest, kuid need märgitakse rämpspostiks või lükatakse tagasi, kui seda serverit või domeeninime teie domeeni SPF TXT-kirjes ei täpsustata.
SPF-väärtus DNS-halduris näeb välja selline:
@ : "v=spf1 a mx ip4:x.x.x.x ?all"Kui "ip4" on teie meiliserveris IPv4.
Kuidas määrata SPF-i mitme domeeni jaoks?
Kui tahame volitada teisi domeene meie domeeni nimel e-kirju saatma, määrame need väärtusega "include"SPF TXT-s:
v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~allSee tähendab, et meilisõnumeid saab saata ka meie domeeninimelt aadressile example1.com ja example2.com.
See on väga kasulik plaat, kui meil on näiteks üks e-poes Aadressil"example1.com", Aga me tahame, et sõnumid veebipoest klientidele lahkuksid ettevõtte domeeni aadress, see olevus"example.com“. Sisse SPF TXT "example.com" jaoks, kui on vaja täpsustada koos IP-ga ja "include: example1.com". Et organisatsiooni nimel saaks sõnumeid saata.
Kuidas määrata IPv4 ja IPv6 jaoks SPF?
Meil on mõlemaga meiliserver IPv4 ja IPv6, on väga oluline, et mõlemad IP-d oleksid SPF TXT-s määratud.
v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~allJärgmisena pärast "ip" käskkiri "include"Tarnimiseks lubatud domeenide lisamiseks.
Mida see tähendab "~all","-all"Ja"+allSPF-ist?
Nagu ülalpool öeldud, saavad teenusepakkujad (ISP-d) endiselt teie organisatsiooni nimel meile vastu võtta isegi siis, kui need on saadetud domeenilt või IP-st, mida SPF-poliitikas pole täpsustatud. Märgend "kõik" annab sihtserveritele teada, kuidas neid sõnumeid muudelt volitamata domeenidelt käsitleda ja teie või teie organisatsiooni nimel sõnumeid saata.
~all : Kui sõnum saabub domeenist, mida SPT TXT loendis ei ole, võetakse sõnumid sihtserveris vastu, kuid need märgitakse rämpspostiks või kahtlasteks. Nende suhtes kohaldatakse adressaadi pakkuja rämpspostivastaste filtrite parimaid tavasid.
-all : see on SPF-kirjele lisatud rangeim silt. Kui domeeni pole loendis, märgitakse sõnum volitatuks ja teenusepakkuja lükkab selle tagasi. Ka seda ei toimetata macrämpspostis.
+all : Väga harva kasutatav ja üldse mitte soovitatav, see silt võimaldab teistel teie või teie organisatsiooni nimel e-kirju saata. Enamik teenusepakkujaid lükkab automaatselt tagasi kõik meilisõnumid, mis pärinevad SPF TXT-ga domeenidest.+all“. Just sellepärast, et saatja autentsust ei saa kontrollida, välja arvatud pärast "e-kirja päise" kontrolli.
Kokkuvõte: Mida tähendab saatjapoliitika raamistik (SPF)?
Autoriseerib TXT / SPF DNS-tsooni, IP-de ja domeeninimede kaudu, mis võivad teie domeenist või ettevõttest meilisõnumeid saata. See rakendab ka tagajärgi, mis kehtivad volitamata domeenidest saadetud sõnumitele.
Mida DMARC tähendab ja miks on see teie meiliserveri jaoks oluline?
DMARC laiendus (Domeenipõhine sõnumite autentimise aruandlus ja vastavus) on tihedalt seotud poliitikastandarditega SPF si dkim laiendus.
DMARC on a valideerimissüsteem mõeldud kaitsma teie või teie ettevõtte e-posti domeeninimi, tavad nagu e-kirjade võltsimine ja andmepüügipettused.
Kasutades Sender Policy Frameworki (SPF) ja domeenivõtmete tuvastatud kirja (DKIM) juhtimisstandardeid, lisab DMARC väga olulise funktsiooni. aruanded.
Kui domeeniomanik avaldab DMARC-i DNS-i TXT-alal, saab ta teavet selle kohta, kes saadab e-kirju tema või ettevõtte nimel, kellele kuulub SPF-i ja DKIM-iga kaitstud domeen. Samas saavad kirjade saajad teada, kas ja kuidas neid hea tava poliitikaid saatva domeeni omanik jälgib.
DNS TXT DMARC-kirje võib olla:
V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;DMARC-is saate seada rohkem tingimusi intsidentidest teatamiseks ning analüüside ja aruannete jaoks e-posti aadresse. DMARC-i jaoks on soovitatav kasutada spetsiaalseid e-posti aadresse, kuna vastuvõetud sõnumite hulk võib olla märkimisväärne.
DMARC-märgendeid saab määrata vastavalt teie või teie organisatsiooni kehtestatud eeskirjadele.
v - olemasoleva DMARC-protokolli versioon. p - rakendage seda reeglit, kui DMARC-i ei saa e-kirjade puhul kinnitada. Sellel võib olla väärtus: "none","quarantine"Või"reject“. Kasutatakse "none", et saada aruandeid sõnumivoo ja PIN-koodi oleku kohtasora.rua - See on URL-ide loend, mille kohta Interneti-teenuse pakkujad saavad XML-vormingus tagasisidet saata. Kui lisame siia e-posti aadressi, on link järgmine:rua=mailto:feedback@example.com".ruf - URL-ide loend, millel Interneti-teenuse pakkujad saavad saata aruandeid teie organisatsiooni nimel toime pandud küberintsidentide ja kuritegude kohta. Aadress on:ruf=mailto:account-email@for.example.com". rf - Küberkuritegevuse aruandluse vorming. Seda saab kujundada"afrf"Või"iodef". pct - Annab Interneti-teenuse pakkujale korralduse rakendada DMARC-poliitikat ainult teatud protsendi ebaõnnestunud sõnumite puhul. Näiteks võib meil olla:pct=50%"Või poliitikad"quarantine"Ja"reject“. Seda ei võeta kunagi vastu."none". adkim – Määrake „Joondamine Mode” DKIM-i digitaalallkirjade jaoks. See tähendab, et kontrollitakse DKIM-kirje digiallkirja ja domeeni vastavust. adkim võivad olla väärtused: r (Relaxed) või s (Strict). aspf - Samamoodi nagu juhtumil adkim "Joondus" on täpsustatud Mode” SPF-i jaoks ja toetab samu väärtusi. r (Relaxed) või s (Strict). sp - See reegel kehtib, et lubada organisatsiooni domeenist tuletatud alamdomeenidel kasutada domeeni DMARC-väärtust. See väldib iga valdkonna jaoks eraldi poliitika kasutamist. See on praktiliselt kõigi alamdomeenide metamärk. ri - See väärtus määrab intervalli, mille järel DMARC jaoks XML-aruandeid vastu võetakse. Enamasti eelistatakse aruandlust igapäevaselt. fo - Pettusearuannete võimalused. “Kohtuekspertiisi options“. Neil võib olla väärtus "0", et teavitada juhtudest, kui nii SPF-i kui ka DKIM-i kinnitamine ebaõnnestub, või väärtus "1" stsenaariumi jaoks, kus SPF-i või DKIM-i pole olemas või see ei läbi kinnitust.
Seetõttu, et teie või teie ettevõtte e-kirjad teie postkasti jõuaksid, peate arvestama nende kolme standardiga.e-kirjade saatmise parimad tavad". dkim laiendus, SPF si DMARC laiendus. Kõik kolm standardit on seotud DNS TXT-ga ja neid saab hallata domeeni DNS-haldurist.
1 mõte teemal "Kuidas konfigureerida TXT DNS-i tsooni SPF-i, DKIM-i ja DMARC-i jaoks ning kuidas vältida ettevõtte meilisõnumite tagasilükkamist Gmaili poolt – meilide kohaletoimetamine ebaõnnestus"