SPF, DKIM և DMARC կոնֆիգուրացիա

Այս ուղեցույցը ձեզ ցույց կտա SPF-ի, DKIM-ի և DMARC-ի կազմաձևման գործընթացը՝ երեք կարևոր բաղադրիչ՝ էլփոստի ուղարկման արդյունավետությունը բարելավելու համար:

SPF-ի, DKIM-ի և DMARC-ի ճիշտ կազմաձևումը կբարձրացնի փոստի սերվերների վստահությունը և նվազագույնի կհասցնի ձեր նամակագրությունների սպամ մտնելու հավանականությունը:

• SPF-ը (Sender Policy Framework) անվտանգության միջոց է, որը նախատեսված է կանխելու ուրիշների կողմից էլ-նամակներ ուղարկելը ձեր անունից: Այն որոշում է, թե որ IP հասցեներին է թույլատրվում ուղարկել նամակներ, իսկ որոնք՝ ոչ:
• DKIM-ը (DomainKeys Identified Mail) հաղորդագրությունների նույնականացման մեթոդ է: Երբ յուրաքանչյուր նամակ ուղարկվում է, այն ստորագրվում է մասնավոր բանալիով և այնուհետև ստուգվում է ստացող փոստի սերվերում (կամ ինտերնետ ծառայության մատակարարում)՝ DNS հանրային բանալիով:
• DMARC-ը (Դոմենի վրա հիմնված հաղորդագրությունների նույնականացում, հաշվետվություն և համապատասխանություն) օգտագործում է SPF և DKIM փոստի նույնականացման համար՝ նվազեցնելով սպամի և ֆիշինգի հարձակումները:

SPF կոնֆիգուրացիա (Ուղարկողի քաղաքականության շրջանակ)

1.1. SPF-ը կարգավորելու համար TXT գրառումը պետք է ավելացվի ձեր տիրույթի DNS կարգավորումներում:

1.2. Սա SPF գրառումի հետևյալ շարահյուսությունն է.

• v=spf1. որոշում է ձեր կողմից օգտագործվող SPF տարբերակը: Այսօր օգտագործվում է միայն SPF1:
• ip4:[Your_Mail_Server_IP]. Դա ցույց է տալիս, որ ձեր փոստի սերվերի IP հասցեն թույլատրվում է ուղարկել նամակներ ձեր տիրույթի անունից:
• ա. Այն սահմանում է, որ եթե տիրույթն ունի A գրառում (IPv4 հասցե) DNS-ում, ապա այդ գրառման մեջ նշված սերվերը կարող է նամակ ուղարկել տիրույթի անունից:
• mx. Ցույց է տալիս, որ եթե տիրույթն ունի MX (փոստի փոխանակում) գրառում DNS-ում, ապա այս գրառումում նշված սերվերը կարող է նամակ ուղարկել տիրույթի անունից:
• ~all: Դա ցույց է տալիս, որ միայն SPF գրառումներում գտնվող սերվերները կարող են նամակ ուղարկել տիրույթի անունից: Եթե ​​նամակը գալիս է այլ սերվերից, այն կնշվի որպես «փափուկ համընկնում» (~), ինչը նշանակում է, որ այն կարող է ընդունվել, բայց նշվելու է որպես հնարավոր սպամ:

Այս տարրերը միասին կազմում են SPF, որն ունի հետևյալ տեսքը.

Անուն՝ [Your_Domain]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Փոխարինեք [Your_Mail_Server_IP]-ը ձեր էլփոստի սերվերի IP հասցեով:

DKIM (DomainKeys Identified Mail) կոնֆիգուրացիա

2.1. Նախ տեղադրեք opendkim և opendkim-tools: Տեղադրման գործընթացը կախված է օպերացիոն համակարգից.

CentOS-ի համար.

yum install opendkim -y

Debian/Ubuntu-ի համար.

apt install opendkim opendkim-tools -y

2.2. Հաջորդը, գործարկեք opendkim ծառայությունը և միացրեք դրա գործարկումը բեռնման ժամանակ.

systemctl start opendkim
systemctl enable opendkim

2.3. Ստեղծեք տեղեկատու բանալիների պահպանման համար.

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Ստեղծեք բանալիներ՝ օգտագործելով opendkim-genkey գործիքը.

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Մի մոռացեք «yourdomain.com»-ը փոխարինել ձեր իրական տիրույթի անունով:

2.5. Սահմանեք համապատասխան թույլտվություններ ստեղների համար.

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Այժմ մենք պետք է կարգավորենք opendkim-ը: Բացեք /etc/opendkim.conf ֆայլը և ավելացրեք հետևյալ կարգավորումները.

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Ավելացրեք ձեր տիրույթը /etc/opendkim/TrustedHosts ֆայլին

127.0.0.1
localhost
*.yourdomain.com

2.8. Խմբագրեք /etc/opendkim/KeyTable ֆայլը՝ այսպիսի տեսք ունենալու համար.

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Փոխեք /etc/opendkim/SigningTable ֆայլը: Այսպիսի տեսք ունենալու համար

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Եթե ​​դուք օգտագործում եք Debian/Ubuntu, նշեք opendkim պորտը.

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Վերագործարկեք opendkim ծառայությունը, որպեսզի փոփոխությունները կիրառվեն.

systemctl restart opendkim

2.12. Վերջապես, ավելացրեք հանրային բանալին ձեր տիրույթի DNS կոնֆիգուրացիաներին: Ստեղները գտնվում են /etc/opendkim/keys/yourdomain.com/dkim.txt-ում:

DMARC (տիրույթի վրա հիմնված հաղորդագրությունների նույնականացում, հաշվետվություն և համապատասխանություն) կազմաձևում

3.1. DMARC-ը կարգավորելու համար ձեր տիրույթի կարգավորումներում ավելացրեք TXT գրառում.

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Փոխարինեք [Your_Domain]-ը ձեր տիրույթի անունով:

PTR (Pointer Record) կոնֆիգուրացիա

4.1. PTR գրառումը, որը նաև հայտնի է որպես հակադարձ DNS գրառում, օգտագործվում է IP հասցեն դոմենի անուն փոխակերպելու համար: Սա կարևոր է փոստի սերվերների համար, քանի որ որոշ սերվերներ կարող են մերժել հաղորդագրությունները առանց PTR գրառումների:

4.2. PTR գրառումը սովորաբար կազմաձևվում է ինտերնետ ծառայություններ մատուցողի կամ հոսթինգ մատակարարի կարգավորումներում: Եթե ​​դուք մուտք ունեք այս կարգավորումներին, կարող եք ստեղծել PTR գրառում՝ նշելով ձեր սերվերի IP հասցեն և դրա համապատասխան տիրույթի անունը:

4.3. Եթե ​​դուք մուտք չունեք PTR ձայնագրման կարգավորումներին, դիմեք ձեր ինտերնետային ծառայության մատակարարին կամ հոսթինգ մատակարարին PTR գրառումների կազմաձևման հարցումով:

4.4. PTR-ը տեղադրելուց հետո կարող եք ստուգել այն Linux-ում dig հրամանի միջոցով.

dig -x your_server_IP

Փոխարինեք «your_server_IP»-ը ձեր սերվերի IP հասցեով: Պատասխանը պետք է ներառի ձեր տիրույթի անունը:

SPF-ի, DKIM-ի և DMARC-ի կազմաձևման բոլոր քայլերն ավարտելուց հետո էլփոստի սերվերը շատ ավելի քիչ հավանական է, որ ձեր նամակագրությունը նշի որպես սպամ, դա երաշխավորում է, որ ձեր նամակները հասնում են հասցեատերերին: