Ffurfweddiad SPF, DKIM a DMARC

Bydd y canllaw hwn yn dangos i chi'r broses o ffurfweddu SPF, DKIM a DMARC - tair cydran hanfodol i wella perfformiad anfon e-bost.

Bydd cyfluniad priodol SPF, DKIM a DMARC yn cynyddu ymddiriedaeth gweinyddwyr post ac yn lleihau'r tebygolrwydd y bydd eich post yn mynd i mewn i sbam.

• Mae SPF (Fframwaith Polisi Anfonwyr) yn fesur diogelwch sydd wedi'i gynllunio i atal eraill rhag anfon e-byst ar eich rhan. Mae'n pennu pa gyfeiriadau IP sy'n cael anfon e-byst a pha rai sydd ddim.
• Mae DKIM (DomainKeys Identified Mail) yn ddull dilysu neges. Pan anfonir pob e-bost, caiff ei lofnodi gyda'r allwedd breifat ac yna ei wirio yn y gweinydd post derbyn (neu ddarparwr gwasanaeth Rhyngrwyd) gyda'r allwedd gyhoeddus DNS.
• Mae DMARC (Dilysu Neges ar Sail Parth, Adrodd a Chydymffurfiaeth) yn defnyddio SPF a DKIM ar gyfer dilysu post, gan leihau ymosodiadau sbam a gwe-rwydo.

Ffurfwedd SPF (Fframwaith Polisi Anfonwr)

1.1. I ffurfweddu SPF, rhaid ychwanegu cofnod TXT at osodiadau DNS eich parth.

1.2. Dyma'r gystrawen ganlynol o gofnod SPF:

• v=spf1: yn pennu fersiwn SPF a ddefnyddir gennych chi. Heddiw dim ond SPF1 a ddefnyddir.
• ip4:[Your_Mail_Server_IP]: Mae'n dynodi bod cyfeiriad IP eich gweinydd post yn cael anfon e-bost ar ran eich parth.
• a: Mae'n nodi, os oes gan barth gofnod A (cyfeiriad IPv4) yn DNS, gall y gweinydd a nodir yn y cofnod hwnnw anfon e-bost ar ran y parth.
• mx: Yn nodi os oes gan barth gofnod MX (cyfnewid post) yn DNS, gall y gweinydd a nodir yn y cofnod hwn anfon e-bost ar ran y parth.
• ~ Pawb: Mae'n nodi mai dim ond gweinyddwyr yn y cofnod SPF all anfon e-bost ar ran y parth. Os daw'r e-bost o weinydd arall, bydd yn cael ei farcio fel "match meddal" (~), sy'n golygu y gellir ei dderbyn, ond ei nodi fel sbam posibl.

Gyda'i gilydd, mae'r elfennau hyn yn ffurfio SPF sy'n edrych fel hyn:

Enw: [Eich_Domain]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Disodli [Your_Mail_Server_IP] gyda chyfeiriad IP eich gweinydd e-bost.

Ffurfweddiad DKIM (DomainKeys Identified Mail).

2.1. Gosodwch opendkim ac opendkim-tools yn gyntaf. Mae'r broses osod yn dibynnu ar y system weithredu:

Ar gyfer CentOS:

yum install opendkim -y

Ar gyfer Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. Nesaf, dechreuwch y gwasanaeth opendkim a galluogi ei lansiad yn ystod y cychwyn:

systemctl start opendkim
systemctl enable opendkim

2.3. Creu cyfeiriadur ar gyfer storio allweddi:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Cynhyrchu allweddi gan ddefnyddio teclyn opendkim-genkey:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Peidiwch ag anghofio rhoi eich enw parth go iawn yn lle 'yourdomain.com'.

2.5. Gosod caniatadau priodol ar gyfer allweddi:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Nawr mae angen i ni ffurfweddu opendkim. Agorwch y ffeil /etc/opendkim.conf ac ychwanegwch y gosodiadau canlynol:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Ychwanegwch eich parth at ffeil /etc/opendkim/TrustedHosts

127.0.0.1
localhost
*.yourdomain.com

2.8. Golygu ffeil /etc/opendkim/KeyTable i edrych fel hyn:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Newidiwch y ffeil /etc/opendkim/SigningTable. Er mwyn edrych fel hyn

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Os ydych yn defnyddio Debian/Ubuntu, nodwch y porthladd opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Ailgychwyn y gwasanaeth opendkim er mwyn i newidiadau gael eu cymhwyso:

systemctl restart opendkim

2.12. Yn olaf, ychwanegwch yr allwedd gyhoeddus i gyfluniadau DNS eich parth. Mae'r allweddi yn /etc/opendkim/keys/yourdomain.com/dkim.txt.

Ffurfweddiad DMARC (Dilysu Neges ar Sail Parth, Adrodd a Chydymffurfiaeth).

3.1. I ffurfweddu DMARC, ychwanegwch gofnod TXT at eich gosodiadau parth:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Disodli [Eich_Domain] gydag enw eich parth.

Cyfluniad PTR (Pointer Record).

4.1. Defnyddir cofnod PTR, a elwir hefyd yn gofnod DNS gwrthdro, i drawsnewid cyfeiriad IP i enw parth. Mae hyn yn bwysig i weinyddion post oherwydd gall rhai gweinyddwyr wrthod negeseuon heb gofnod PTR.

4.2. Mae'r cofnod PTR fel arfer wedi'i ffurfweddu yng ngosodiadau'r darparwr gwasanaeth rhyngrwyd neu'r darparwr cynnal. Os oes gennych chi fynediad i'r gosodiadau hyn, gallwch chi sefydlu cofnod PTR trwy nodi cyfeiriad IP eich gweinydd a'i enw parth cyfatebol.

4.3. Os nad oes gennych fynediad i'r gosodiadau cofnod PTR, cysylltwch â'ch darparwr gwasanaeth rhyngrwyd neu'ch darparwr gwesteiwr gyda chais ffurfweddu cofnod PTR.

4.4. Ar ôl gosod PTR, gallwch ei wirio gan ddefnyddio'r gorchymyn cloddio yn Linux:

dig -x your_server_IP

Amnewid 'your_server_IP' gyda chyfeiriad IP eich gweinydd. Dylai'r ymateb gynnwys eich enw parth.

Ar ôl cwblhau'r holl gamau o ffurfweddu SPF, DKIM a DMARC, bydd y gweinydd post yn llawer llai tebygol o nodi eich post fel sbam - bydd yn gwarantu bod eich llythyrau'n cyrraedd y derbynwyr.