SPF-, DKIM- ja DMARC-kokoonpano

Tämä opas näyttää sinulle SPF:n, DKIM:n ja DMARC:n määritysprosessin – kolme tärkeää komponenttia sähköpostin lähetystehokkuuden parantamiseksi.

SPF:n, DKIM:n ja DMARC:n oikea määritys lisää sähköpostipalvelimien luottamusta ja minimoi todennäköisyyden, että postisi joutuvat roskapostiin.

• SPF (Sender Policy Framework) on turvatoimenpide, joka on suunniteltu estämään muita lähettämästä sähköposteja puolestasi. Se määrittää, mitkä IP-osoitteet saavat lähettää sähköposteja ja mitkä eivät.
• DKIM (DomainKeys Identified Mail) on viestien todennusmenetelmä. Kun jokainen sähköposti lähetetään, se allekirjoitetaan yksityisellä avaimella ja vahvistetaan sitten vastaanottavassa sähköpostipalvelimessa (tai Internet-palveluntarjoajassa) julkisella DNS-avaimella.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) käyttää SPF:ää ja DKIM:ää sähköpostin todentamiseen, mikä vähentää roskaposti- ja tietojenkalasteluhyökkäyksiä.

SPF-määritys (Sender Policy Framework)

1.1. SPF:n määrittämistä varten TXT-tietue on lisättävä verkkotunnuksesi DNS-asetuksiin.

1.2. Tämä on seuraava SPF-tietueen syntaksi:

• v=spf1: määrittää käyttämäsi SPF-version. Nykyään käytössä on vain SPF1.
• ip4:[Sähköpostipalvelimesi_IP]: Osoittaa, että sähköpostipalvelimesi IP-osoite saa lähettää sähköpostia verkkotunnuksesi puolesta.
• a: Se määrittää, että jos toimialueella on A-tietue (IPv4-osoite) DNS:ssä, tietueessa määritetty palvelin voi lähettää sähköpostia toimialueen puolesta.
• mx: Osoittaa, että jos toimialueella on MX (mail Exchange) -tietue DNS:ssä, tässä tietueessa määritetty palvelin voi lähettää sähköpostia toimialueen puolesta.
• ~kaikki: Se osoittaa, että vain SPF-tietueen palvelimet voivat lähettää sähköpostia toimialueen puolesta. Jos sähköposti tulee toiselta palvelimelta, se merkitään "pehmeäksi vastaavuudeksi" (~), mikä tarkoittaa, että se voidaan hyväksyä, mutta se merkitään mahdolliseksi roskapostiksi.

Yhdessä nämä elementit muodostavat SPF:n, joka näyttää tältä:

Nimi: [oma_verkkotunnus]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Korvaa [Sähköpostipalvelimesi_IP] sähköpostipalvelimesi IP-osoitteella.

DKIM (DomainKeys Identified Mail) -määritys

2.1. Asenna ensin opendkim ja opendkim-tools. Asennusprosessi riippuu käyttöjärjestelmästä:

CentOS:lle:

yum install opendkim -y

Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. Käynnistä seuraavaksi opendkim-palvelu ja ota se käyttöön käynnistyksen aikana:

systemctl start opendkim
systemctl enable opendkim

2.3. Luo hakemisto avainten säilytystä varten:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Luo avaimet opendkim-genkey-työkalulla:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Älä unohda korvata "yourdomain.com" oikealla verkkotunnuksellasi.

2.5. Aseta avaimille sopivat käyttöoikeudet:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Nyt meidän on määritettävä opendkim. Avaa tiedosto /etc/opendkim.conf ja lisää seuraavat asetukset:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Lisää verkkotunnuksesi /etc/opendkim/TrustedHosts-tiedostoon

127.0.0.1
localhost
*.yourdomain.com

2.8. Muokkaa /etc/opendkim/KeyTable-tiedostoa näyttämään tältä:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Muuta /etc/opendkim/SigningTable-tiedostoa. Jotta voisi näyttää tältä

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Jos käytät Debian/Ubuntua, määritä portti opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Käynnistä opendkim-palvelu uudelleen, jotta muutokset tulevat voimaan:

systemctl restart opendkim

2.12. Lisää lopuksi julkinen avain verkkotunnuksesi DNS-määrityksiin. Avaimet ovat hakemistossa /etc/opendkim/keys/yourdomain.com/dkim.txt.

DMARC (Domain-based Message Authentication, Reporting & Conformance) -määritys

3.1. Määritä DMARC lisäämällä TXT-tietue verkkotunnuksesi asetuksiin:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Korvaa [Your_Domain] verkkotunnuksesi nimellä.

PTR (Pointer Record) -konfiguraatio

4.1. PTR-tietuetta, joka tunnetaan myös nimellä käänteinen DNS-tietue, käytetään muuttamaan IP-osoite toimialueen nimeksi. Tämä on tärkeää sähköpostipalvelimille, koska jotkut palvelimet saattavat hylätä viestit ilman PTR-tietuetta.

4.2. PTR-tietue määritetään yleensä Internet-palveluntarjoajan tai hosting-palveluntarjoajan asetuksissa. Jos sinulla on pääsy näihin asetuksiin, voit määrittää PTR-tietueen määrittämällä palvelimesi IP-osoitteen ja sitä vastaavan toimialueen nimen.

4.3. Jos sinulla ei ole pääsyä PTR-tietueen asetuksiin, ota yhteyttä Internet-palveluntarjoajaasi tai isännöintipalveluntarjoajaasi ja pyydä PTR-tietueen määrityspyyntö.

4.4 PTR:n asentamisen jälkeen voit tarkistaa sen dig-komennolla Linuxissa:

dig -x your_server_IP

Korvaa "your_server_IP" palvelimesi IP-osoitteella. Vastauksessa tulee sisältää verkkotunnuksesi.

Kun olet suorittanut kaikki SPF:n, DKIM:n ja DMARC:n määritysvaiheet, postipalvelin ei todennäköisesti merkitse postisi roskapostiksi – se takaa, että kirjeesi saapuvat vastaanottajille.