SPF, DKIM i DMARC konfiguracija

Ovaj vodič će vam pokazati proces konfigurisanja SPF, DKIM i DMARC – tri vitalne komponente za poboljšanje performansi slanja e-pošte.

Pravilna konfiguracija SPF-a, DKIM-a i DMARC-a povećat će povjerenje u mail servere i minimizirati vjerovatnoću da vaše poruke e-pošte dođu u neželjenu poštu.

• SPF (Sender Policy Framework) je sigurnosna mjera osmišljena da spriječi druge da šalju e-poštu u vaše ime. Određuje kojim IP adresama je dozvoljeno slanje e-pošte, a koje ne.
• DKIM (DomainKeys Identified Mail) je metoda provjere autentičnosti poruke. Kada se svaki email pošalje, on se potpisuje privatnim ključem, a zatim se verifikuje na serveru e-pošte (ili Internet provajderu) DNS javnim ključem.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) koristi SPF i DKIM za autentifikaciju pošte, smanjujući spam i phishing napade.

SPF konfiguracija (Sender Policy Framework)

1.1. Da biste konfigurisali SPF, TXT zapis mora biti dodat u DNS postavke vaše domene.

1.2. Ovo je sljedeća sintaksa SPF zapisa:

• v=spf1: određuje SPF verziju koju koristite. Danas se koristi samo SPF1.
• ip4:[Vaš_Mail_Server_IP]: Označava da je IP adresi vašeg mail servera dozvoljeno slanje e-pošte u ime vaše domene.
• a: Određuje da ako domen ima A zapis (IPv4 adresu) u DNS-u, server naveden u tom zapisu može slati e-poštu u ime domena.
• mx: Označava da ako domen ima MX (razmjena pošte) zapis u DNS-u, server naveden u ovom zapisu može slati e-poštu u ime domena.
• ~all: Označava da samo serveri u SPF zapisu mogu slati e-poštu u ime domena. Ako e-pošta dolazi sa drugog servera, biće označena kao "meko podudaranje" (~), što znači da se može prihvatiti, ali označena kao moguća neželjena pošta.

Zajedno, ovi elementi formiraju SPF koji izgleda ovako:

Naziv: [Vaša_Domena]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Zamijenite [Your_Mail_Server_IP] IP adresom vašeg servera e-pošte.

DKIM (DomainKeys Identified Mail) konfiguracija

2.1. Prvo instalirajte opendkim i opendkim-tools. Proces instalacije zavisi od operativnog sistema:

Za CentOS:

yum install opendkim -y

Za Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. Zatim pokrenite opendkim servis i omogućite njegovo pokretanje tokom pokretanja:

systemctl start opendkim
systemctl enable opendkim

2.3. Kreirajte direktorij za pohranu ključeva:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Generirajte ključeve koristeći opendkim-genkey alat:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Ne zaboravite zamijeniti 'yourdomain.com' sa svojim pravim imenom domene.

2.5. Postavite odgovarajuća odobrenja za ključeve:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Sada treba da konfigurišemo opendkim. Otvorite datoteku /etc/opendkim.conf i dodajte sljedeće postavke:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Dodajte svoju domenu u /etc/opendkim/TrustedHosts datoteku

127.0.0.1
localhost
*.yourdomain.com

2.8. Uredite /etc/opendkim/KeyTable fajl da izgleda ovako:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Promijenite datoteku /etc/opendkim/SigningTable. Da bi izgledao ovako

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Ako koristite Debian/Ubuntu, navedite port opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Ponovo pokrenite opendkim servis da bi promjene bile primijenjene:

systemctl restart opendkim

2.12. Konačno, dodajte javni ključ u DNS konfiguracije vaše domene. Ključevi se nalaze u /etc/opendkim/keys/yourdomain.com/dkim.txt.

DMARC (Domena-based Message Authentication, Reporting & Conformance) konfiguracija

3.1. Da biste konfigurirali DMARC, dodajte TXT zapis u postavke vaše domene:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Zamijenite [Your_Domain] imenom vaše domene.

PTR (Pointer Record) konfiguracija

4.1. PTR zapis, poznat i kao obrnuti DNS zapis, koristi se za transformaciju IP adrese u ime domena. Ovo je važno za servere pošte jer neki serveri mogu odbiti poruke bez PTR zapisa.

4.2. PTR zapis se obično konfiguriše u postavkama internet provajdera ili hosting provajdera. Ako imate pristup ovim postavkama, možete postaviti PTR zapis tako što ćete navesti IP adresu vašeg servera i odgovarajuće ime domene.

4.3. Ako nemate pristup postavkama PTR zapisa, obratite se svom provajderu internet usluga ili hosting provajderu sa zahtjevom za konfiguraciju PTR zapisa.

4.4. Nakon instaliranja PTR-a, možete ga provjeriti pomoću komande dig u Linuxu:

dig -x your_server_IP

Zamijenite 'your_server_IP' IP adresom vašeg servera. Odgovor bi trebao sadržavati ime vašeg domena.

Nakon završetka svih koraka konfigurisanja SPF-a, DKIM-a i DMARC-a, manje je vjerovatno da će server za poštu označiti vaše poruke kao neželjenu poštu – to će garantovati da vaša pisma stignu do primaoca.