SPF, DKIM және DMARC конфигурациясы

Бұл нұсқаулық SPF, DKIM және DMARC конфигурациялау процесін көрсетеді – электрондық поштаны жіберу өнімділігін жақсарту үшін маңызды үш құрамдас.

SPF, DKIM және DMARC дұрыс конфигурациясы пошта серверлерінің сенімін арттырады және пошта жөнелтілімдерінің спамға түсу ықтималдығын азайтады.

• SPF (Sender Policy Framework) — басқалардың сіздің атыңыздан электрондық хаттарды жіберуін болдырмауға арналған қауіпсіздік шарасы. Ол қандай IP мекенжайларына электрондық поштаны жіберуге рұқсат етілгенін және қайсысы жоқ екенін анықтайды.
• DKIM (DomainKeys Identified Mail) хабардың аутентификация әдісі болып табылады. Әрбір электрондық пошта жіберілген кезде, оған жеке кілтпен қол қойылады, содан кейін қабылдаушы пошта серверінде (немесе Интернет қызмет провайдерінде) DNS ашық кілтімен тексеріледі.
• DMARC (доменге негізделген хабарлама аутентификациясы, есеп беру және сәйкестік) спам мен фишинг шабуылдарын азайта отырып, поштаның аутентификациясы үшін SPF және DKIM пайдаланады.

SPF конфигурациясы (Sender Policy Framework)

1.1. SPF конфигурациялау үшін доменіңіздің DNS параметрлеріне TXT жазбасын қосу керек.

1.2. Бұл SPF жазбасының келесі синтаксисі:

• v=spf1: сіз пайдаланған SPF нұсқасын анықтайды. Бүгінгі күні тек SPF1 қолданылады.
• ip4:[Your_Mail_Server_IP]: Бұл сіздің пошта серверіңіздің IP мекенжайы доменіңіз атынан электрондық поштаны жіберуге рұқсат етілгенін көрсетеді.
• a: Егер доменде DNS жүйесінде A жазбасы (IPv4 мекенжайы) болса, сол жазбада көрсетілген сервер домен атынан электрондық поштаны жібере алатынын көрсетеді.
• mx: Егер доменде DNS жүйесінде MX (пошта алмасу) жазбасы болса, осы жазбада көрсетілген сервер домен атынан электрондық поштаны жібере алатынын көрсетеді.
• ~барлығы: бұл тек SPF жазбасындағы серверлер домен атынан электрондық поштаны жібере алатынын көрсетеді. Егер электрондық пошта басқа серверден келсе, ол «жұмсақ сәйкестік» (~) ретінде белгіленеді, яғни оны қабылдауға болады, бірақ мүмкін спам ретінде белгіленеді.

Бұл элементтер бірге SPF құрайды, ол келесідей:

Аты: [Your_Domain]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

[Your_Mail_Server_IP] мекенжайын электрондық пошта серверінің IP мекенжайымен ауыстырыңыз.

DKIM (DomainKeys Identified Mail) конфигурациясы

2.1. Алдымен opendkim және opendkim-құралдарын орнатыңыз. Орнату процесі операциялық жүйеге байланысты:

CentOS үшін:

yum install opendkim -y

Debian/Ubuntu үшін:

apt install opendkim opendkim-tools -y

2.2. Содан кейін opendkim қызметін іске қосыңыз және оны жүктеу кезінде іске қосыңыз:

systemctl start opendkim
systemctl enable opendkim

2.3. Кілттерді сақтау үшін каталог жасаңыз:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. opendkim-genkey құралын пайдаланып кілттерді жасаңыз:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

«yourdomain.com» дегенді нақты домендік атпен ауыстыруды ұмытпаңыз.

2.5. Кілттерге сәйкес рұқсаттарды орнатыңыз:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Енді opendkim конфигурациялауымыз керек. /etc/opendkim.conf файлын ашыңыз және келесі параметрлерді қосыңыз:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Доменіңізді /etc/opendkim/TrustedHosts файлына қосыңыз

127.0.0.1
localhost
*.yourdomain.com

2.8. /etc/opendkim/KeyTable файлын келесідей етіп өңдеңіз:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. /etc/opendkim/SigningTable файлын өзгертіңіз. Осылай көріну үшін

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Debian/Ubuntu пайдалансаңыз, opendkim портын көрсетіңіз:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Өзгерістерді қолдану үшін opendkim қызметін қайта іске қосыңыз:

systemctl restart opendkim

2.12. Соңында, ашық кілтті доменіңіздің DNS конфигурацияларына қосыңыз. Кілттер /etc/opendkim/keys/yourdomain.com/dkim.txt ішінде.

DMARC (домен негізіндегі хабар аутентификациясы, есеп беру және сәйкестік) конфигурациясы

3.1. DMARC конфигурациялау үшін домен параметрлеріне TXT жазбасын қосыңыз:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

[Your_Domain] дегенді домен атымен ауыстырыңыз.

PTR (көрсеткіш жазбасы) конфигурациясы

4.1. PTR жазбасы, сонымен қатар кері DNS жазбасы ретінде белгілі, IP мекенжайын домендік атқа түрлендіру үшін пайдаланылады. Бұл пошта серверлері үшін маңызды, себебі кейбір серверлер PTR жазбасы жоқ хабарларды қабылдамауы мүмкін.

4.2. PTR жазбасы әдетте интернет провайдерінің немесе хостинг провайдерінің параметрлерінде конфигурацияланады. Бұл параметрлерге рұқсатыңыз болса, сервердің IP мекенжайын және оған сәйкес домен атауын көрсету арқылы PTR жазбасын орнатуға болады.

4.3. PTR жазбасының параметрлеріне кіру мүмкіндігіңіз болмаса, PTR жазбасын конфигурациялау сұрауы арқылы интернет провайдеріне немесе хостинг провайдеріне хабарласыңыз.

4.4. PTR орнатқаннан кейін оны Linux жүйесіндегі dig пәрмені арқылы тексеруге болады:

dig -x your_server_IP

'your_server_IP' параметрін сервердің IP мекенжайымен ауыстырыңыз. Жауап сіздің домен атыңызды қамтуы керек.

SPF, DKIM және DMARC конфигурациялаудың барлық қадамдарын орындағаннан кейін пошта сервері сіздің пошта жөнелтілімдерін спам ретінде белгілеу ықтималдығы аз болады – бұл сіздің хаттарыңыздың алушыларға жетуіне кепілдік береді.