Configuració SPF, DKIM i DMARC

Aquesta guia us mostrarà el procés de configuració de SPF, DKIM i DMARC: tres components vitals per millorar el rendiment de l'enviament de correu electrònic.

La configuració adequada de SPF, DKIM i DMARC augmentarà la confiança dels servidors de correu i reduirà al mínim la probabilitat que els vostres missatges de correu entrin en correu brossa.

• SPF (Sender Policy Framework) és una mesura de seguretat dissenyada per evitar que altres enviïn correus electrònics en nom vostre. Determina quines adreces IP poden enviar correus electrònics i quines no.
• DKIM (DomainKeys Identified Mail) és un mètode d'autenticació de missatges. Quan s'envia cada correu electrònic, es signa amb la clau privada i després es verifica al servidor de correu receptor (o proveïdor de serveis d'Internet) amb la clau pública DNS.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) utilitza SPF i DKIM per a l'autenticació de correu, reduint els atacs de correu brossa i de pesca.

Configuració SPF (Sender Policy Framework)

1.1. Per configurar SPF, cal afegir un registre TXT a la configuració de DNS del vostre domini.

1.2. Aquesta és la següent sintaxi del registre SPF:

• v=spf1: determina una versió SPF que utilitzeu. Avui només s'utilitza SPF1.
• ip4:[Your_Mail_Server_IP]: indica que l'adreça IP del vostre servidor de correu pot enviar correu electrònic en nom del vostre domini.
• a: Especifica que si un domini té un registre A (adreça IPv4) al DNS, el servidor especificat en aquest registre pot enviar correu electrònic en nom del domini.
• mx: indica que si un domini té un registre MX (intercanvi de correu) a DNS, el servidor especificat en aquest registre pot enviar correu electrònic en nom del domini.
• ~tot: indica que només els servidors del registre SPF poden enviar correu electrònic en nom del domini. Si el correu electrònic prové d'un altre servidor, es marcarà com a "coincidència suau" (~), el que significa que es pot acceptar, però marcat com a possible correu brossa.

Junts, aquests elements formen un SPF que té aquest aspecte:

Nom: [El vostre_domini]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Substituïu [Your_Mail_Server_IP] per l'adreça IP del vostre servidor de correu electrònic.

Configuració de DKIM (DomainKeys Identified Mail).

2.1. Primer instal·leu opendkim i opendkim-tools. El procés d'instal·lació depèn del sistema operatiu:

Per a CentOS:

yum install opendkim -y

Per a Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. A continuació, inicieu el servei opendkim i activeu el seu llançament durant l'arrencada:

systemctl start opendkim
systemctl enable opendkim

2.3. Creeu un directori per a l'emmagatzematge de claus:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Genereu claus amb l'eina opendkim-genkey:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

No oblideu substituir "yourdomain.com" pel vostre nom de domini real.

2.5. Establiu els permisos adequats per a les claus:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Ara hem de configurar opendkim. Obriu el fitxer /etc/opendkim.conf i afegiu la configuració següent:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Afegiu el vostre domini al fitxer /etc/opendkim/TrustedHosts

127.0.0.1
localhost
*.yourdomain.com

2.8. Editeu el fitxer /etc/opendkim/KeyTable perquè es vegi així:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Canvieu el fitxer /etc/opendkim/SigningTable. Per semblar així

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Si utilitzeu Debian/Ubuntu, especifiqueu el port opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Reinicieu el servei opendkim per tal que s'apliquin els canvis:

systemctl restart opendkim

2.12. Finalment, afegiu la clau pública a les configuracions DNS del vostre domini. Les claus es troben a /etc/opendkim/keys/yourdomain.com/dkim.txt.

Configuració DMARC (Autenticació de missatges basada en dominis, informes i conformitat).

3.1. Per configurar DMARC, afegiu un registre TXT a la configuració del vostre domini:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Substituïu [El vostre_domini] pel nom del vostre domini.

Configuració PTR (Registre de punter).

4.1. Un registre PTR, també conegut com a registre DNS invers, s'utilitza per transformar una adreça IP en un nom de domini. Això és important per als servidors de correu perquè alguns servidors poden rebutjar missatges sense un registre PTR.

4.2. El registre PTR normalment es configura a la configuració del proveïdor de serveis d'Internet o proveïdor d'allotjament. Si teniu accés a aquesta configuració, podeu configurar un registre PTR especificant l'adreça IP del vostre servidor i el seu nom de domini corresponent.

4.3. Si no teniu accés a la configuració del registre PTR, poseu-vos en contacte amb el vostre proveïdor de serveis d'Internet o proveïdor d'allotjament amb una sol·licitud de configuració del registre PTR.

4.4. Després d'instal·lar PTR, podeu comprovar-ho mitjançant l'ordre dig a Linux:

dig -x your_server_IP

Substituïu "your_server_IP" per l'adreça IP del vostre servidor. La resposta ha d'incloure el vostre nom de domini.

Després de completar tots els passos de configuració de SPF, DKIM i DMARC, serà molt menys probable que el servidor de correu marqui els vostres missatges de correu brossa com a correu brossa: garantirà que les vostres cartes arribin als destinataris.