SPF, DKIM жана DMARC конфигурациясы

Бул колдонмо сизге SPF, DKIM жана DMARC конфигурациялоо процессин көрсөтөт – электрондук почтаны жөнөтүү ишин жакшыртуу үчүн үч маанилүү компонент.

SPF, DKIM жана DMARC туура конфигурациялоо почта серверлеринин ишенимин жогорулатат жана жөнөтүүлөрүңүздүн спамга түшүп калуу ыктымалдыгын азайтат.

• SPF (Sender Policy Framework) башкалардын сиздин атыңыздан электрондук каттарды жөнөтүүсүнө жол бербөө үчүн иштелип чыккан коопсуздук чарасы. Ал кайсы IP даректерге электрондук каттарды жөнөтүүгө уруксат берилгенин жана кайсынысы жок экенин аныктайт.
• DKIM (DomainKeys Identified Mail) бул билдирүүнүн аныктыгын текшерүү ыкмасы. Ар бир электрондук почта жөнөтүлгөндө, ага купуя ачкыч менен кол коюлуп, андан кийин DNS ачык ачкычы менен кабыл алуучу почта серверинде (же Интернет-кызмат провайдеринде) текшерилет.
• DMARC (Доменге негизделген билдирүүнүн аныктыгын текшерүү, отчеттуулук жана шайкештик) спам жана фишинг чабуулдарын азайтып, почтанын аныктыгын текшерүү үчүн SPF жана DKIM колдонот.

SPF конфигурациясы (Жөнөтүүчү саясатынын алкагы)

1.1. SPF конфигурациялоо үчүн домениңиздин DNS жөндөөлөрүнө TXT жазуусу кошулушу керек.

1.2. Бул SPF жазуусунун төмөнкү синтаксиси:

• v=spf1: сиз колдонгон SPF версиясын аныктайт. Бүгүнкү күндө бир гана SPF1 колдонулат.
• ip4:[Your_Mail_Server_IP]: Бул сиздин почта сервериңиздин IP дареги сиздин домениңиздин атынан электрондук кат жөнөтүүгө уруксат берилгенин көрсөтөт.
• a: Эгер домендин DNSте A жазуусу (IPv4 дареги) болсо, ал жазууда көрсөтүлгөн сервер домендин атынан электрондук кат жөнөтө аларын көрсөтөт.
• mx: Эгер домендин DNS ичинде MX (почта алмашуу) жазуусу бар болсо, бул жазууда көрсөтүлгөн сервер домендин атынан электрондук кат жөнөтө аларын көрсөтөт.
• ~all: Бул SPF жазуусундагы серверлер гана домендин атынан электрондук кат жөнөтө аларын көрсөтөт. Эгер электрондук почта башка серверден келсе, ал "жумшак дал келүү" (~) катары белгиленет, бул аны кабыл алууга болот, бирок мүмкүн болгон спам катары белгиленет.

Бул элементтер биргелешип, төмөнкүдөй көрүнгөн SPF түзөт:

Аты: [Your_Domain]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

[Your_Mail_Server_IP] электрондук почта сервериңиздин IP дареги менен алмаштырыңыз.

DKIM (DomainKeys Identified Mail) конфигурациясы

2.1. Алгач opendkim жана opendkim-инструменттерин орнотуңуз. Орнотуу процесси операциялык системага жараша болот:

CentOS үчүн:

yum install opendkim -y

Debian/Ubuntu үчүн:

apt install opendkim opendkim-tools -y

2.2. Андан кийин, opendkim кызматын иштетиңиз жана жүктөө учурунда аны ишке киргизиңиз:

systemctl start opendkim
systemctl enable opendkim

2.3. Ачкычтарды сактоо үчүн каталог түзүңүз:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. opendkim-genkey куралын колдонуп ачкычтарды жаратыңыз:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

"yourdomain.com" дегенди чыныгы домен атыңыз менен алмаштырууну унутпаңыз.

2.5. Ачкычтарга тиешелүү уруксаттарды коюңуз:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Эми биз opendkimди конфигурациялашыбыз керек. /etc/opendkim.conf файлын ачып, төмөнкү орнотууларды кошуңуз:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Домениңизди /etc/opendkim/TrustedHosts файлына кошуңуз

127.0.0.1
localhost
*.yourdomain.com

2.8. /etc/opendkim/KeyTable файлын төмөнкүдөй кылып түзөтүңүз:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. /etc/opendkim/SigningTable файлын өзгөртүңүз. Ушундай көрүнүү үчүн

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Эгер сиз Debian/Ubuntu колдонсоңуз, opendkim портун көрсөтүңүз:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Өзгөртүүлөр колдонулушу үчүн opendkim кызматын кайра иштетиңиз:

systemctl restart opendkim

2.12. Акырында, домениңиздин DNS конфигурацияларына коомдук ачкычты кошуңуз. Ачкычтар /etc/opendkim/keys/yourdomain.com/dkim.txt ичинде.

DMARC (Доменге негизделген билдирүүнүн аныктыгын текшерүү, отчеттуулук жана шайкештик) конфигурациясы

3.1. DMARC конфигурациялоо үчүн, домен жөндөөлөрүңүзгө TXT жазуусун кошуңуз:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

[Your_Domain] дегенди домениңиздин аты менен алмаштырыңыз.

PTR (Pointer Record) конфигурациясы

4.1. PTR жазуусу, ошондой эле тескери DNS жазуусу катары белгилүү, IP даректи домендик атка өзгөртүү үчүн колдонулат. Бул почта серверлери үчүн маанилүү, анткени кээ бир серверлер PTR жазуусу жок билдирүүлөрдү четке кагышы мүмкүн.

4.2. PTR жазуусу адатта интернет провайдеринин же хостинг провайдеринин орнотууларында конфигурацияланат. Эгер бул жөндөөлөргө кирүү мүмкүнчүлүгүңүз болсо, сервериңиздин IP дарегин жана ага тиешелүү домен атын көрсөтүү менен PTR жазуусун орното аласыз.

4.3. Эгерде сизде PTR жаздыруу орнотууларына кирүү мүмкүнчүлүгүңүз жок болсо, PTR жаздыруу конфигурациясынын талабы менен интернет провайдериңизге же хостинг провайдериңизге кайрылыңыз.

4.4. PTR орноткондон кийин, сиз аны Linux'тагы dig буйругун колдонуп текшере аласыз:

dig -x your_server_IP

'your_server_IP'' сервериңиздин IP дареги менен алмаштырыңыз. Жооп домениңизди камтышы керек.

SPF, DKIM жана DMARC конфигурациялоонун бардык кадамдарын аткаргандан кийин, почта сервери сиздин жөнөтүүлөрүңүздү спам катары белгилөө ыктымалы азыраак болот – бул сиздин каттарыңыз алуучуларга жетээрине кепилдик берет.