Αυτός ο οδηγός θα σας δείξει τη διαδικασία διαμόρφωσης SPF, DKIM και DMARC – τρία ζωτικής σημασίας στοιχεία για τη βελτίωση της απόδοσης αποστολής email.
Η σωστή διαμόρφωση των SPF, DKIM και DMARC θα αυξήσει την εμπιστοσύνη των διακομιστών αλληλογραφίας και θα ελαχιστοποιήσει την πιθανότητα τα μηνύματα αλληλογραφίας σας να εισέλθουν σε ανεπιθύμητα μηνύματα.
- Το SPF (Sender Policy Framework) είναι ένα μέτρο ασφαλείας που έχει σχεδιαστεί για να εμποδίζει άλλους να στέλνουν email εκ μέρους σας. Καθορίζει ποιες διευθύνσεις IP επιτρέπεται να στέλνουν email και ποιες όχι.
- Το DKIM (DomainKeys Identified Mail) είναι μια μέθοδος ελέγχου ταυτότητας μηνυμάτων. Όταν αποστέλλεται κάθε email, υπογράφεται με το ιδιωτικό κλειδί και στη συνέχεια επαληθεύεται στον διακομιστή αλληλογραφίας λήψης (ή στον πάροχο υπηρεσιών Διαδικτύου) με το δημόσιο κλειδί DNS.
- Το DMARC (Domain-based Message Authentication, Reporting & Conformance) χρησιμοποιεί SPF και DKIM για έλεγχο ταυτότητας αλληλογραφίας, μειώνοντας τις επιθέσεις ανεπιθύμητης αλληλογραφίας και phishing.
Διαμόρφωση SPF (Πλαίσιο πολιτικής αποστολέα)
1.1. Για να διαμορφώσετε το SPF, πρέπει να προστεθεί μια εγγραφή TXT στις ρυθμίσεις DNS του τομέα σας.
1.2. Αυτή είναι η ακόλουθη σύνταξη της εγγραφής SPF:
- v=spf1: καθορίζει μια έκδοση SPF που χρησιμοποιείται από εσάς. Σήμερα χρησιμοποιείται μόνο SPF1.
- ip4:[Your_Mail_Server_IP]: Υποδεικνύει ότι η διεύθυνση IP του διακομιστή αλληλογραφίας σας επιτρέπεται να στέλνει email εκ μέρους του τομέα σας.
- a: Καθορίζει ότι εάν ένας τομέας έχει μια εγγραφή A (διεύθυνση IPv4) στο DNS, ο διακομιστής που καθορίζεται σε αυτήν την εγγραφή μπορεί να στείλει email εκ μέρους του τομέα.
- mx: Υποδεικνύει ότι εάν ένας τομέας έχει εγγραφή MX (ανταλλαγή αλληλογραφίας) σε DNS, ο διακομιστής που καθορίζεται σε αυτήν την εγγραφή μπορεί να στείλει email εκ μέρους του τομέα.
- ~all: Υποδεικνύει ότι μόνο οι διακομιστές στην εγγραφή SPF μπορούν να στείλουν email για λογαριασμό του τομέα. Εάν το email προέρχεται από άλλο διακομιστή, θα επισημανθεί ως "soft match" (~), που σημαίνει ότι μπορεί να γίνει αποδεκτό, αλλά να επισημανθεί ως πιθανό spam.
Μαζί, αυτά τα στοιχεία σχηματίζουν ένα SPF που μοιάζει με αυτό:
Όνομα: [Your_Domain]
v=spf1 ip4:[Your_Mail_Server_IP] a mx ~allΑντικαταστήστε το [Your_Mail_Server_IP] με τη διεύθυνση IP του διακομιστή email σας.
Διαμόρφωση DKIM (DomainKeys Identified Mail).
2.1. Πρώτα εγκαταστήστε το opendkim και το opendkim-tools. Η διαδικασία εγκατάστασης εξαρτάται από το λειτουργικό σύστημα:
Για το CentOS:
yum install opendkim -yΓια Debian/Ubuntu:
apt install opendkim opendkim-tools -y2.2. Στη συνέχεια, ξεκινήστε την υπηρεσία opendkim και ενεργοποιήστε την εκκίνησή της κατά την εκκίνηση:
systemctl start opendkim
systemctl enable opendkim2.3. Δημιουργήστε έναν κατάλογο για αποθήκευση κλειδιών:
mkdir -p /etc/opendkim/keys/yourdomain.com2.4. Δημιουργήστε κλειδιά χρησιμοποιώντας το εργαλείο opendkim-genkey:
opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkimΜην ξεχάσετε να αντικαταστήσετε το 'yourdomain.com' με το πραγματικό σας όνομα τομέα.
2.5. Ορίστε τα κατάλληλα δικαιώματα για τα κλειδιά:
chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com2.6. Τώρα πρέπει να ρυθμίσουμε το opendkim. Ανοίξτε το αρχείο /etc/opendkim.conf και προσθέστε τις ακόλουθες ρυθμίσεις:
AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost2.7. Προσθέστε τον τομέα σας στο αρχείο /etc/opendkim/TrustedHosts
127.0.0.1
localhost
*.yourdomain.com2.8. Επεξεργαστείτε το αρχείο /etc/opendkim/KeyTable για να μοιάζει με αυτό:
dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private2.9. Αλλάξτε το αρχείο /etc/opendkim/SigningTable. Για να φαίνεται έτσι
*@yourdomain.com dkim._domainkey.yourdomain.com2.10. Εάν χρησιμοποιείτε Debian/Ubuntu, καθορίστε τη θύρα opendkim:
echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim2.11. Επανεκκινήστε την υπηρεσία opendkim για να εφαρμοστούν οι αλλαγές:
systemctl restart opendkim2.12. Τέλος, προσθέστε το δημόσιο κλειδί στις διαμορφώσεις DNS του τομέα σας. Τα κλειδιά βρίσκονται στο /etc/opendkim/keys/yourdomain.com/dkim.txt.
Διαμόρφωση DMARC (Domain-based Message Authentication, Reporting & Conformance)
3.1. Για να διαμορφώσετε το DMARC, προσθέστε μια εγγραφή TXT στις ρυθμίσεις του τομέα σας:
Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=noneΑντικαταστήστε το [Your_Domain] με το όνομα του τομέα σας.
Διαμόρφωση PTR (Pointer Record).
4.1. Μια εγγραφή PTR, γνωστή και ως αντίστροφη εγγραφή DNS, χρησιμοποιείται για τη μετατροπή μιας διεύθυνσης IP σε όνομα τομέα. Αυτό είναι σημαντικό για διακομιστές αλληλογραφίας, επειδή ορισμένοι διακομιστές ενδέχεται να απορρίψουν μηνύματα χωρίς εγγραφή PTR.
4.2. Η εγγραφή PTR συνήθως διαμορφώνεται στις ρυθμίσεις του παρόχου υπηρεσιών διαδικτύου ή του παρόχου φιλοξενίας. Εάν έχετε πρόσβαση σε αυτές τις ρυθμίσεις, μπορείτε να ορίσετε μια εγγραφή PTR καθορίζοντας τη διεύθυνση IP του διακομιστή σας και το αντίστοιχο όνομα τομέα του.
4.3. Εάν δεν έχετε πρόσβαση στις ρυθμίσεις εγγραφής PTR, επικοινωνήστε με τον πάροχο υπηρεσιών διαδικτύου ή τον πάροχο φιλοξενίας με ένα αίτημα διαμόρφωσης εγγραφής PTR.
4.4. Μετά την εγκατάσταση του PTR, μπορείτε να το ελέγξετε χρησιμοποιώντας την εντολή dig στο Linux:
dig -x your_server_IPΑντικαταστήστε το 'your_server_IP' με τη διεύθυνση IP του διακομιστή σας. Η απάντηση θα πρέπει να περιλαμβάνει το όνομα τομέα σας.
Μετά την ολοκλήρωση όλων των βημάτων της διαμόρφωσης του SPF, του DKIM και του DMARC, ο διακομιστής αλληλογραφίας θα είναι πολύ λιγότερο πιθανό να επισημάνει τα μηνύματα αλληλογραφίας σας ως ανεπιθύμητα – θα εγγυηθεί ότι τα γράμματά σας θα φτάσουν στους παραλήπτες.
