Гэта кіраўніцтва пакажа вам працэс наладжвання SPF, DKIM і DMARC – трох жыццёва важных кампанентаў для паляпшэння прадукцыйнасці адпраўкі электроннай пошты.
Правільная налада SPF, DKIM і DMARC павысіць давер паштовых сервераў і мінімізуе верагоднасць траплення вашых рассыланняў у спам.
- SPF (Sender Policy Framework) - гэта мера бяспекі, прызначаная для таго, каб іншыя не маглі адпраўляць электронныя лісты ад вашага імя. Ён вызначае, з якіх IP-адрасоў дазволена адпраўляць электронныя лісты, а з якіх не.
- DKIM (DomainKeys Identified Mail) - гэта метад аўтэнтыфікацыі паведамленняў. Калі кожны электронны ліст адпраўляецца, ён падпісваецца закрытым ключом, а затым правяраецца на паштовым серверы, які прымае (або ў інтэрнэт-правайдэра) з дапамогай адкрытага ключа DNS.
- DMARC (Даменная аўтэнтыфікацыя паведамленняў, справаздачнасць і адпаведнасць) выкарыстоўвае SPF і DKIM для аўтэнтыфікацыі пошты, памяншаючы спам і фішынгавыя атакі.
Канфігурацыя SPF (Sender Policy Framework)
1.1. Каб наладзіць SPF, неабходна дадаць запіс TXT у налады DNS вашага дамена.
1.2. Гэта наступны сінтаксіс запісу SPF:
- v=spf1: вызначае версію SPF, якую вы выкарыстоўваеце. Сёння выкарыстоўваецца толькі SPF1.
- ip4:[Your_Mail_Server_IP]: паказвае, што IP-адрас вашага паштовага сервера мае права адпраўляць электронную пошту ад імя вашага дамена.
- a: Гэта паказвае, што калі дамен мае запіс A (адрас IPv4) у DNS, сервер, указаны ў гэтым запісе, можа адпраўляць электронную пошту ад імя дамена.
- mx: Паказвае, што калі дамен мае запіс MX (абмен паштовай скрыняй) у DNS, сервер, указаны ў гэтым запісе, можа адпраўляць электронную пошту ад імя дамена.
- ~усё: паказвае, што толькі серверы ў запісе SPF могуць адпраўляць электронную пошту ад імя дамена. Калі ліст прыходзіць з іншага сервера, ён будзе пазначаны як "мяккае супадзенне" (~), што азначае, што яго можна прыняць, але пазначыць як магчымы спам.
Разам гэтыя элементы ўтвараюць SPF, які выглядае так:
Імя: [Ваш_дамен]
v=spf1 ip4:[Your_Mail_Server_IP] a mx ~allЗаменіце [Your_Mail_Server_IP] на IP-адрас вашага сервера электроннай пошты.
Канфігурацыя DKIM (DomainKeys Identified Mail).
2.1. Спачатку ўсталюйце opendkim і opendkim-tools. Працэс ўстаноўкі залежыць ад аперацыйнай сістэмы:
Для CentOS:
yum install opendkim -yДля Debian/Ubuntu:
apt install opendkim opendkim-tools -y2.2. Далей запусціце службу opendkim і ўключыце яе запуск падчас загрузкі:
systemctl start opendkim
systemctl enable opendkim2.3. Стварыце каталог для захоўвання ключоў:
mkdir -p /etc/opendkim/keys/yourdomain.com2.4. Стварыце ключы з дапамогай інструмента opendkim-genkey:
opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkimНе забудзьцеся замяніць 'yourdomain.com' вашым сапраўдным даменным імем.
2.5. Усталюйце адпаведныя дазволы для ключоў:
chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com2.6. Цяпер нам трэба наладзіць opendkim. Адкрыйце файл /etc/opendkim.conf і дадайце наступныя налады:
AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost2.7. Дадайце свой дамен у файл /etc/opendkim/TrustedHosts
127.0.0.1
localhost
*.yourdomain.com2.8. Адрэдагуйце файл /etc/opendkim/KeyTable так, каб ён выглядаў так:
dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private2.9. Зменіце файл /etc/opendkim/SigningTable. Для таго, каб выглядаць так
*@yourdomain.com dkim._domainkey.yourdomain.com2.10. Калі вы карыстаецеся Debian/Ubuntu, укажыце порт opendkim:
echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim2.11. Перазапусціце службу opendkim, каб змяненні былі прыменены:
systemctl restart opendkim2.12. Нарэшце, дадайце адкрыты ключ у канфігурацыі DNS вашага дамена. Ключы знаходзяцца ў /etc/opendkim/keys/yourdomain.com/dkim.txt.
Канфігурацыя DMARC (праверка сапраўднасці паведамленняў на аснове дамена, справаздачнасць і адпаведнасць).
3.1. Каб наладзіць DMARC, дадайце запіс TXT у налады вашага дамена:
Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=noneЗаменіце [Ваш_дамен] імем вашага дамена.
Канфігурацыя PTR (запіс указальніка).
4.1. Запіс PTR, таксама вядомы як зваротны запіс DNS, выкарыстоўваецца для пераўтварэння IP-адраса ў даменнае імя. Гэта важна для паштовых сервераў, таму што некаторыя серверы могуць адхіляць паведамленні без запісу PTR.
4.2. Запіс PTR звычайна наладжваецца ў наладах інтэрнэт-правайдэра або хостынг-правайдэра. Калі ў вас ёсць доступ да гэтых налад, вы можаце наладзіць запіс PTR, указаўшы IP-адрас вашага сервера і адпаведнае даменнае імя.
4.3. Калі ў вас няма доступу да налад запісу PTR, звярніцеся да пастаўшчыка інтэрнэт-паслуг або хостынг-правайдэра з запытам на канфігурацыю запісу PTR.
4.4. Пасля ўстаноўкі PTR вы можаце праверыць яго з дапамогай каманды dig у Linux:
dig -x your_server_IPЗаменіце 'your_server_IP' на IP-адрас вашага сервера. Адказ павінен уключаць ваша даменнае імя.
Пасля завяршэння ўсіх этапаў налады SPF, DKIM і DMARC паштовы сервер будзе значна радзей пазначаць вашыя рассыланні як спам - гэта гарантуе, што вашыя лісты дойдуць да адрасатаў.
