Filia programo Knowledgebase
Resendante Datumcentroj Politiko pri misuzo
kaplinio - hamburgero
Kontrolpanelokontrolpanelo
Servilo por sugestojadministradoSSLISP-manaĝeroVPS VindozoVPS LinuksoVPS por VPN
Knowledgebase Simplaj instrukcioj por labori kun la servo Profitserver
ĉefa Knowledgebase SPF, DKIM kaj DMARC-agordo

SPF, DKIM kaj DMARC-agordo

Ĉi tiu gvidilo montros al vi la procezon de agordo de SPF, DKIM kaj DMARC - tri esencaj komponantoj por plibonigi la rendimenton de sendo de retpoŝto.

Ĝusta agordo de SPF, DKIM kaj DMARC pliigos la fidon de poŝtserviloj kaj minimumigos la verŝajnecon de viaj poŝtelsendaĵoj enirantaj spamon.

  • SPF (Sender Policy Framework) estas sekureca mezuro dizajnita por malhelpi aliajn sendi retpoŝtojn en via nomo. Ĝi determinas, kiuj IP-adresoj rajtas sendi retpoŝtojn kaj kiuj ne.
  • DKIM (DomainKeys Identified Mail) estas mesaĝo-aŭtentikigmetodo. Kiam ĉiu retpoŝto estas sendita, ĝi estas subskribita per la privata ŝlosilo kaj poste kontrolita ĉe la ricevanta poŝtservilo (aŭ provizanto de retservo) per la publika ŝlosilo DNS.
  • DMARC (Domain-bazita Mesaĝa Aŭtentigo, Raportado kaj Konformo) uzas SPF kaj DKIM por poŝta aŭtentikigo, reduktante spamon kaj phishing atakojn.
Enhavtabelo
Minimumigi

SPF-agordo (Sender Policy Framework)

1.1. Por agordi SPF, TXT-rekordo devas esti aldonita al la DNS-agordoj de via domajno.

1.2. Jen la sekva sintakso de la SPF-rekordo:

  • v=spf1: determinas SPF-version uzatan de vi. Hodiaŭ nur SPF1 estas uzata.
  • ip4:[Your_Mail_Server_IP]: Ĝi indikas, ke via retpoŝta servilo IP-adreso rajtas sendi retpoŝton nome de via domajno.
  • a: Ĝi precizigas, ke se domajno havas A-rekordon (IPv4-adreso) en DNS, la servilo specifita en tiu rekordo povas sendi retpoŝton nome de la domajno.
  • mx: Indikas ke se domajno havas MX (poŝtoŝanĝo) rekordon en DNS, la servilo specifita en ĉi tiu rekordo povas sendi retpoŝton nome de la domajno.
  • ~ĉiuj: Ĝi indikas, ke nur serviloj en la SPF-rekordo povas sendi retpoŝton nome de la domajno. Se la retpoŝto venas de alia servilo, ĝi estos markita kiel "mola kongruo" (~), kio signifas, ke ĝi povas esti akceptita, sed markita kiel ebla spamo.

Kune, ĉi tiuj elementoj formas SPF kiu aspektas jene:

Nomo: [Via_Domajno]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Anstataŭigu [Your_Mail_Server_IP] per via retpoŝta servilo IP-adreso.

DKIM (DomainKeys Identified Mail) agordo

2.1. Unue instalu opendkim kaj opendkim-tools. La instala procezo dependas de la operaciumo:

Por CentOS:

yum install opendkim -y

Por Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. Poste, lanĉu la servon opendkim kaj ebligu ĝian lanĉon dum lanĉo:

systemctl start opendkim
systemctl enable opendkim

2.3. Kreu dosierujon por stokado de ŝlosiloj:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Generu ŝlosilojn per opendkim-genkey-ilo:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Ne forgesu anstataŭigi 'yourdomain.com' per via reala domajna nomo.

2.5. Agordu taŭgajn permesojn por ŝlosiloj:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Nun ni devas agordi opendkim. Malfermu la dosieron /etc/opendkim.conf kaj aldonu la sekvajn agordojn:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Aldonu vian domajnon al /etc/opendkim/TrustedHosts dosiero

127.0.0.1
localhost
*.yourdomain.com

2.8. Redaktu /etc/opendkim/KeyTable-dosieron por aspekti jene:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Ŝanĝu la dosieron /etc/opendkim/SigningTable. Por aspekti tiel

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Se vi uzas Debian/Ubuntu, specifu la havenon opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Rekomencu la servon opendkim por ke ŝanĝoj estu aplikataj:

systemctl restart opendkim

2.12. Fine, aldonu la publikan ŝlosilon al la DNS-agordoj de via domajno. La ŝlosiloj estas en /etc/opendkim/keys/yourdomain.com/dkim.txt.

Agordo DMARC (Domain-bazita Mesaĝa Aŭtentigo, Raportado kaj Konformo).

3.1. Por agordi DMARC, aldonu TXT-rekordon al viaj domajnaj agordoj:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Anstataŭigu [Via_Domajno] per la nomo de via domajno.

PTR (Pointer Record) agordo

4.1. PTR-rekordo, ankaŭ konata kiel inversa DNS-rekordo, estas uzata por transformi IP-adreson al domajna nomo. Ĉi tio estas grava por poŝtserviloj ĉar iuj serviloj povas malakcepti mesaĝojn sen PTR-rekordo.

4.2. La PTR-rekordo estas kutime agordita en la agordoj de la provizanto de retservo aŭ gastiganta provizanto. Se vi havas aliron al ĉi tiuj agordoj, vi povas agordi PTR-rekordon specifante la IP-adreson de via servilo kaj ĝian respondan domajnan nomon.

4.3. Se vi ne havas aliron al la PTR-rekorda agordo, kontaktu vian interretan servoprovizanton aŭ gastigantan provizanton kun PTR-rekorda agorda peto.

4.4. Post instalo de PTR, vi povas kontroli ĝin per la dig-komando en Linukso:

dig -x your_server_IP

Anstataŭigu 'your_server_IP' per la IP-adreso de via servilo. La respondo devus inkluzivi vian domajnan nomon.

Post plenumi ĉiujn paŝojn de agordo de SPF, DKIM kaj DMARC, la poŝtservilo multe malpli markos viajn poŝtelsendaĵojn kiel spamon - ĝi garantios, ke viaj leteroj atingos la ricevantojn.

❮ Antaŭa artikolo SPF, DKIM kaj DMARC-agordo
Sekva artikolo ❯ Kiel krei kaj agordi DNS-rekordojn en DNS-Manaĝero

Demandu nin pri VPS

Ni ĉiam pretas respondi viajn demandojn je ajna tempo de tago aŭ nokto.
ProfitServer
@profitserver
Aliĝu ĉe kanalo