SPF, DKIM og DMARC konfiguration

Denne vejledning viser dig processen med at konfigurere SPF, DKIM og DMARC – tre vitale komponenter til at forbedre e-mail-afsendelsesydelsen.

Korrekt konfiguration af SPF, DKIM og DMARC vil øge tilliden til mailservere og minimere sandsynligheden for, at dine udsendelser havner i spam.

• SPF (Sender Policy Framework) er en sikkerhedsforanstaltning designet til at forhindre andre i at sende e-mails på dine vegne. Det bestemmer, hvilke IP-adresser der må sende e-mails, og hvilke der ikke må.
• DKIM (DomainKeys Identified Mail) er en meddelelsesgodkendelsesmetode. Når hver e-mail sendes, signeres den med den private nøgle og bekræftes derefter på den modtagende mailserver (eller internetudbyderen) med den offentlige DNS-nøgle.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) bruger SPF og DKIM til e-mail-godkendelse, hvilket reducerer spam og phishing-angreb.

SPF-konfiguration (Sender Policy Framework)

1.1. For at konfigurere SPF skal en TXT-post tilføjes til dit domænes DNS-indstillinger.

1.2. Dette er følgende syntaks for SPF-posten:

• v=spf1: bestemmer en SPF-version, du bruger. I dag bruges kun SPF1.
• ip4:[Din_Mail_Server_IP]: Det angiver, at din mailserver IP-adresse har tilladelse til at sende e-mail på vegne af dit domæne.
• a: Det specificerer, at hvis et domæne har en A-record (IPv4-adresse) i DNS, kan den server, der er angivet i denne post, sende e-mail på vegne af domænet.
• mx: Indikerer, at hvis et domæne har en MX-post (mail exchange) i DNS, kan serveren angivet i denne post sende e-mail på vegne af domænet.
• ~alle: Det indikerer, at kun servere i SPF-posten kan sende e-mail på vegne af domænet. Hvis mailen kommer fra en anden server, vil den blive markeret som et "soft match" (~), hvilket betyder, at den kan accepteres, men markeres som mulig spam.

Sammen danner disse elementer en SPF, der ser sådan ud:

Navn: [Dit_domæne]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Erstat [Din_Mail_Server_IP] med din e-mail-server IP-adresse.

DKIM (DomainKeys Identified Mail) konfiguration

2.1. Installer først opendkim og opendkim-tools. Installationsprocessen afhænger af operativsystemet:

For CentOS:

yum install opendkim -y

Til Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. Start derefter opendkim-tjenesten og aktiver dens lancering under opstart:

systemctl start opendkim
systemctl enable opendkim

2.3. Opret en mappe til nøgleopbevaring:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Generer nøgler ved hjælp af opendkim-genkey værktøj:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Glem ikke at erstatte 'ditdomæne.com' med dit rigtige domænenavn.

2.5. Indstil passende tilladelser for nøgler:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Nu skal vi konfigurere opendkim. Åbn filen /etc/opendkim.conf og tilføj følgende indstillinger:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Tilføj dit domæne til filen /etc/opendkim/TrustedHosts

127.0.0.1
localhost
*.yourdomain.com

2.8. Rediger /etc/opendkim/KeyTable-filen, så den ser sådan ud:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Skift filen /etc/opendkim/SigningTable. For at se sådan ud

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Hvis du bruger Debian/Ubuntu, angiv porten opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Genstart opendkim-tjenesten, for at ændringer kan anvendes:

systemctl restart opendkim

2.12. Tilføj endelig den offentlige nøgle til dit domænes DNS-konfigurationer. Nøglerne er i /etc/opendkim/keys/yourdomain.com/dkim.txt.

DMARC-konfiguration (Domain-based Message Authentication, Reporting & Conformance).

3.1. For at konfigurere DMARC skal du tilføje en TXT-post til dine domæneindstillinger:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Erstat [Dit_Domæne] med dit domænenavn.

PTR (Pointer Record) konfiguration

4.1. En PTR-record, også kendt som en omvendt DNS-record, bruges til at transformere en IP-adresse til et domænenavn. Dette er vigtigt for mailservere, fordi nogle servere kan afvise beskeder uden en PTR-record.

4.2. PTR-posten konfigureres normalt i indstillingerne for internetudbyderen eller hostingudbyderen. Hvis du har adgang til disse indstillinger, kan du oprette en PTR-record ved at angive din servers IP-adresse og dens tilhørende domænenavn.

4.3. Hvis du ikke har adgang til PTR-registreringsindstillingerne, skal du kontakte din internetudbyder eller hostingudbyder med en anmodning om konfiguration af PTR-post.

4.4. Efter installation af PTR kan du kontrollere det ved hjælp af dig-kommandoen i Linux:

dig -x your_server_IP

Erstat 'din_server_IP' med din servers IP-adresse. Svaret skal indeholde dit domænenavn.

Efter at have gennemført alle trinene til at konfigurere SPF, DKIM og DMARC, vil mailserveren være meget mindre tilbøjelig til at markere dine udsendelser som spam – det vil garantere, at dine breve når frem til modtagerne.