SPF, DKIM და DMARC კონფიგურაცია

ეს სახელმძღვანელო გაჩვენებთ SPF, DKIM და DMARC-ის კონფიგურაციის პროცესს - სამი მნიშვნელოვანი კომპონენტი ელფოსტის გაგზავნის მუშაობის გასაუმჯობესებლად.

SPF, DKIM და DMARC-ის სწორი კონფიგურაცია გაზრდის ფოსტის სერვერების ნდობას და მინიმუმამდე დააყენებს თქვენი ფოსტის სპამში მოხვედრის ალბათობას.

• SPF (გამგზავნის პოლიტიკის ჩარჩო) არის უსაფრთხოების ღონისძიება, რომელიც შექმნილია იმისთვის, რომ თავიდან აიცილოს სხვებმა თქვენი სახელით ელ.ფოსტის გაგზავნა. ის განსაზღვრავს, თუ რომელ IP მისამართებს აქვთ ელფოსტის გაგზავნა და რომელი არა.
• DKIM (DomainKeys Identified Mail) არის შეტყობინების ავთენტიფიკაციის მეთოდი. როდესაც თითოეული ელფოსტა იგზავნება, ის ხელმოწერილია პირადი გასაღებით და შემდეგ დამოწმებულია მიმღებ ფოსტის სერვერზე (ან ინტერნეტ სერვისის პროვაიდერში) DNS საჯარო გასაღებით.
• DMARC (დომენზე დაფუძნებული შეტყობინებების ავთენტიფიკაცია, მოხსენება და შესაბამისობა) იყენებს SPF-ს და DKIM-ს ფოსტის ავთენტიფიკაციისთვის, სპამისა და ფიშინგის შეტევების შესამცირებლად.

SPF კონფიგურაცია (გამგზავნის პოლიტიკის ჩარჩო)

1.1. SPF-ის კონფიგურაციისთვის, TXT ჩანაწერი უნდა დაემატოს თქვენი დომენის DNS პარამეტრებს.

1.2. ეს არის SPF ჩანაწერის შემდეგი სინტაქსი:

• v=spf1: განსაზღვრავს თქვენს მიერ გამოყენებულ SPF ვერსიას. დღეს მხოლოდ SPF1 გამოიყენება.
• ip4:[Your_Mail_Server_IP]: ეს მიუთითებს, რომ თქვენი ფოსტის სერვერის IP მისამართს აქვს ნებადართული ელფოსტის გაგზავნა თქვენი დომენის სახელით.
• a: განსაზღვრავს, რომ თუ დომენს აქვს A ჩანაწერი (IPv4 მისამართი) DNS-ში, ამ ჩანაწერში მითითებულ სერვერს შეუძლია ელფოსტის გაგზავნა დომენის სახელით.
• mx: მიუთითებს, რომ თუ დომენს აქვს MX (ფოსტის გაცვლის) ჩანაწერი DNS-ში, ამ ჩანაწერში მითითებულ სერვერს შეუძლია ელფოსტის გაგზავნა დომენის სახელით.
• ~all: ეს მიუთითებს, რომ მხოლოდ SPF ჩანაწერში არსებულ სერვერებს შეუძლიათ ელფოსტის გაგზავნა დომენის სახელით. თუ ელ.წერილი სხვა სერვერიდან მოდის, ის მოინიშნება როგორც „რბილი შესატყვისი“ (~), რაც ნიშნავს, რომ მისი მიღება შესაძლებელია, მაგრამ მონიშნულია, როგორც შესაძლო სპამი.

ეს ელემენტები ერთად ქმნიან SPF-ს, რომელიც ასე გამოიყურება:

სახელი: [Your_Domain]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

შეცვალეთ [Your_Mail_Server_IP] თქვენი ელ.ფოსტის სერვერის IP მისამართით.

DKIM (DomainKeys Identified Mail) კონფიგურაცია

2.1. ჯერ დააინსტალირეთ opendkim და opendkim-tools. ინსტალაციის პროცესი დამოკიდებულია ოპერაციულ სისტემაზე:

CentOS-ისთვის:

yum install opendkim -y

Debian/Ubuntu-სთვის:

apt install opendkim opendkim-tools -y

2.2. შემდეგი, გაუშვით opendkim სერვისი და ჩართეთ მისი გაშვება ჩატვირთვისას:

systemctl start opendkim
systemctl enable opendkim

2.3. შექმენით დირექტორია გასაღებების შესანახად:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. შექმენით გასაღებები opendkim-genkey ინსტრუმენტის გამოყენებით:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

არ დაგავიწყდეთ შეცვალოთ 'yourdomain.com' თქვენი ნამდვილი დომენის სახელით.

2.5. დააყენეთ შესაბამისი ნებართვები გასაღებებისთვის:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. ახლა ჩვენ გვჭირდება opendkim-ის კონფიგურაცია. გახსენით ფაილი /etc/opendkim.conf და დაამატეთ შემდეგი პარამეტრები:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. დაამატეთ თქვენი დომენი /etc/opendkim/TrustedHosts ფაილში

127.0.0.1
localhost
*.yourdomain.com

2.8. შეცვალეთ /etc/opendkim/KeyTable ფაილი ასე რომ გამოიყურებოდეს:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. შეცვალეთ /etc/opendkim/SigningTable ფაილი. რათა ასე გამოიყურებოდე

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. თუ იყენებთ Debian/Ubuntu-ს, მიუთითეთ opendkim პორტი:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. გადატვირთეთ opendkim სერვისი, რათა მოხდეს ცვლილებები:

systemctl restart opendkim

2.12. და ბოლოს, დაამატეთ საჯარო გასაღები თქვენი დომენის DNS კონფიგურაციებს. გასაღებები არის /etc/opendkim/keys/yourdomain.com/dkim.txt-ში.

DMARC (დომენზე დაფუძნებული შეტყობინებების ავთენტიფიკაცია, მოხსენება და შესაბამისობა) კონფიგურაცია

3.1. DMARC-ის კონფიგურაციისთვის დაამატეთ TXT ჩანაწერი თქვენი დომენის პარამეტრებში:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

შეცვალეთ [Your_Domain] თქვენი დომენის სახელით.

PTR (Pointer Record) კონფიგურაცია

4.1. PTR ჩანაწერი, რომელიც ასევე ცნობილია როგორც საპირისპირო DNS ჩანაწერი, გამოიყენება IP მისამართის დომენის სახელად გარდაქმნისთვის. ეს მნიშვნელოვანია ფოსტის სერვერებისთვის, რადგან ზოგიერთმა სერვერმა შეიძლება უარყოს შეტყობინებები PTR ჩანაწერის გარეშე.

4.2. PTR ჩანაწერი ჩვეულებრივ კონფიგურირებულია ინტერნეტ სერვისის პროვაიდერის ან ჰოსტინგის პროვაიდერის პარამეტრებში. თუ თქვენ გაქვთ წვდომა ამ პარამეტრებზე, შეგიძლიათ დააყენოთ PTR ჩანაწერი თქვენი სერვერის IP მისამართის და მისი შესაბამისი დომენის სახელის მითითებით.

4.3. თუ არ გაქვთ წვდომა PTR ჩანაწერის პარამეტრებზე, დაუკავშირდით თქვენს ინტერნეტ სერვისის პროვაიდერს ან ჰოსტინგის პროვაიდერს PTR ჩანაწერის კონფიგურაციის მოთხოვნით.

4.4. PTR-ის ინსტალაციის შემდეგ, შეგიძლიათ შეამოწმოთ იგი Linux-ში dig ბრძანების გამოყენებით:

dig -x your_server_IP

შეცვალეთ 'your_server_IP' თქვენი სერვერის IP მისამართით. პასუხი უნდა შეიცავდეს თქვენი დომენის სახელს.

SPF-ის, DKIM-ისა და DMARC-ის კონფიგურაციის ყველა საფეხურის დასრულების შემდეგ, ფოსტის სერვერი გაცილებით ნაკლებად მონიშნავს თქვენს წერილებს სპამად – ეს გარანტიას იძლევა, რომ თქვენი წერილები მიაღწევს მიმღებებს.