Configuración SPF, DKIM e DMARC

Esta guía mostrarache o proceso de configuración de SPF, DKIM e DMARC: tres compoñentes vitais para mellorar o rendemento do envío de correo electrónico.

A configuración adecuada de SPF, DKIM e DMARC aumentará a confianza dos servidores de correo e minimizará a probabilidade de que os seus envíos de correo entren no correo lixo.

• SPF (Sender Policy Framework) é unha medida de seguridade deseñada para evitar que outras persoas envíen correos electrónicos no teu nome. Determina que enderezos IP poden enviar correos electrónicos e cales non.
• DKIM (DomainKeys Identified Mail) é un método de autenticación de mensaxes. Cando se envía cada correo electrónico, asínase coa clave privada e despois verifícase no servidor de correo receptor (ou provedor de servizos de Internet) coa clave pública DNS.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) usa SPF e DKIM para a autenticación de correo, reducindo os ataques de spam e phishing.

Configuración SPF (Marco de políticas de remitente)

1.1. Para configurar SPF, hai que engadir un rexistro TXT á configuración de DNS do teu dominio.

1.2. Esta é a seguinte sintaxe do rexistro SPF:

• v=spf1: determina unha versión SPF utilizada por vostede. Hoxe só se usa SPF1.
• ip4:[Your_Mail_Server_IP]: indica que o enderezo IP do teu servidor de correo pode enviar correo electrónico en nome do teu dominio.
• a: Especifica que se un dominio ten un rexistro A (enderezo IPv4) en DNS, o servidor especificado nese rexistro pode enviar correo electrónico en nome do dominio.
• mx: indica que se un dominio ten un rexistro MX (intercambio de correo) en DNS, o servidor especificado neste rexistro pode enviar correo electrónico en nome do dominio.
• ~todos: indica que só os servidores do rexistro SPF poden enviar correo electrónico en nome do dominio. Se o correo electrónico procede doutro servidor, marcarase como "coincidencia suave" (~), o que significa que se pode aceptar, pero marcado como posible spam.

Xuntos, estes elementos forman un SPF que se ve así:

Nome: [O teu_dominio]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Substitúe [Your_Mail_Server_IP] co enderezo IP do teu servidor de correo electrónico.

Configuración de DKIM (Correo identificado de DomainKeys).

2.1. Primeiro instale opendkim e opendkim-tools. O proceso de instalación depende do sistema operativo:

Para CentOS:

yum install opendkim -y

Para Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. A continuación, inicie o servizo opendkim e active o seu lanzamento durante o inicio:

systemctl start opendkim
systemctl enable opendkim

2.3. Crea un directorio para o almacenamento de claves:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Xera claves usando a ferramenta opendkim-genkey:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Non esquezas substituír "yourdomain.com" polo teu nome de dominio real.

2.5. Establece os permisos axeitados para as claves:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Agora necesitamos configurar opendkim. Abre o ficheiro /etc/opendkim.conf e engade a seguinte configuración:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Engade o teu dominio ao ficheiro /etc/opendkim/TrustedHosts

127.0.0.1
localhost
*.yourdomain.com

2.8. Edite o ficheiro /etc/opendkim/KeyTable para que se vexa así:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Cambia o ficheiro /etc/opendkim/SigningTable. Para verse así

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Se usa Debian/Ubuntu, especifique o porto opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Reinicie o servizo opendkim para que se apliquen os cambios:

systemctl restart opendkim

2.12. Finalmente, engade a chave pública ás configuracións DNS do teu dominio. As claves están en /etc/opendkim/keys/yourdomain.com/dkim.txt.

Configuración DMARC (autenticación, informes e conformidade de mensaxes baseadas en dominios).

3.1. Para configurar DMARC, engade un rexistro TXT á configuración do teu dominio:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Substitúe [O teu_dominio] co nome do teu dominio.

Configuración de PTR (Pointer Record).

4.1. Un rexistro PTR, tamén coñecido como rexistro DNS inverso, úsase para transformar un enderezo IP nun nome de dominio. Isto é importante para os servidores de correo porque algúns servidores poden rexeitar mensaxes sen un rexistro PTR.

4.2. O rexistro PTR adoita configurarse na configuración do fornecedor de servizos de Internet ou do fornecedor de hospedaxe. Se tes acceso a esta configuración, podes configurar un rexistro PTR especificando o enderezo IP do teu servidor e o nome de dominio correspondente.

4.3. Se non ten acceso á configuración do rexistro PTR, póñase en contacto co seu fornecedor de servizos de Internet ou provedor de hospedaxe cunha solicitude de configuración de rexistro PTR.

4.4. Despois de instalar PTR, podes comprobalo usando o comando dig en Linux:

dig -x your_server_IP

Substitúe "your_server_IP" polo enderezo IP do teu servidor. A resposta debe incluír o teu nome de dominio.

Despois de completar todos os pasos de configuración de SPF, DKIM e DMARC, será moito menos probable que o servidor de correo marque os teus envíos como correo non desexado: garantirá que as túas cartas cheguen aos destinatarios.