SPF, DKIM an DMARC Konfiguratioun

Dëse Guide weist Iech de Prozess vun der Konfiguratioun vun SPF, DKIM и DMARC - dräi vital Komponenten fir d'E-Mail-Sendleistung ze verbesseren.

Richteg Konfiguratioun vu SPF, DKIM и DMARC wäert d'Vertraue vu Mail-Server erhéijen an d'Wahrscheinlechkeet vun Äre Mailouts minimiséieren an Spam kommen.

• SPF (Sender Policy Framework) ass eng Sécherheetsmoossnam entwéckelt fir ze verhënneren datt anerer E-Mailen op Ärem Numm schécken. Et bestëmmt wéi eng IP Adressen erlaabt sinn E-Mailen ze schécken an déi net.
• DKIM (DomainKeys Identified Mail) ass eng Message Authentifikatiounsmethod. Wann all E-Mail geschéckt gëtt, gëtt se mam private Schlëssel ënnerschriwwen an dann um Empfangsmailserver (oder Internetserviceprovider) mam DNS ëffentleche Schlëssel verifizéiert.
• DMARC (Domain-baséiert Message Authentication, Reporting & Conformance) benotzt SPF an DKIM fir Mail Authentifikatioun, reduzéiert Spam a Phishing Attacken.

SPF Konfiguratioun (Sender Policy Framework)

1.1. Fir SPF ze konfiguréieren, muss en TXT-Rekord an den DNS-Astellunge vun Ärem Domain hinzugefügt ginn.

1.2. Dëst ass déi folgend Syntax vum SPF Rekord:

• v = spf1: bestëmmt eng SPF Versioun vun Iech benotzt. Haut gëtt nëmmen SPF1 benotzt.
• ip4:[Your_Mail_Server_IP]: Et weist datt Är Mailserver IP Adress erlaabt ass E-Mail am Numm vun Ärem Domain ze schécken.
• a: Et spezifizéiert datt wann en Domain en A-Rekord (IPv4-Adress) an DNS huet, de Server, deen an deem Rekord spezifizéiert ass, E-Mail am Numm vum Domain schécken kann.
• mx: Gëtt un datt wann en Domain en MX (Mailaustausch) Rekord an DNS huet, kann de Server deen an dësem Rekord spezifizéiert ass E-Mail am Numm vum Domain schécken.
• ~all: Et weist datt nëmmen Serveren am SPF Rekord E-Mail am Numm vum Domain schécken kënnen. Wann d'E-Mail vun engem anere Server kënnt, gëtt se als "Soft Match" (~) markéiert, dat heescht datt et akzeptéiert ka ginn, awer als méiglech Spam markéiert.

Zesummen bilden dës Elementer en SPF deen esou ausgesäit:

Numm: [Är_Domain]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Ersetzt [Your_Mail_Server_IP] mat Ärer E-Mail Server IP Adress.

DKIM (DomainKeys Identified Mail) Konfiguratioun

2.1. Installéiert als éischt opendkim an opendkim-Tools. Den Installatiounsprozess hänkt vum Betribssystem of:

Fir CentOS:

yum install opendkim -y

Fir Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. Als nächst, start den opendkim Service an aktivéiert säi Start beim Boot:

systemctl start opendkim
systemctl enable opendkim

2.3. Erstellt e Verzeichnis fir Schlëssellagerung:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Generéiere Schlësselen mat opendkim-genkey Tool:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Vergiesst net 'yourdomain.com' mat Ärem richtegen Domain Numm ze ersetzen.

2.5. Setzt entspriechend Permissiounen fir Schlësselen:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Elo musse mir opendkim konfiguréieren. Öffnen d'Datei /etc/opendkim.conf a füügt déi folgend Astellunge derbäi:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Füügt Ären Domain un /etc/opendkim/TrustedHosts Datei

127.0.0.1
localhost
*.yourdomain.com

2.8. Änneren /etc/opendkim/KeyTable Datei fir esou ze kucken:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Ännert d'Datei /etc/opendkim/SigningTable. Fir esou ausgesinn

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Wann Dir Debian/Ubuntu benotzt, gitt den Hafen opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Restart den opendkim Service fir datt d'Ännerungen applizéiert ginn:

systemctl restart opendkim

2.12. Füügt endlech den ëffentleche Schlëssel un d'DNS Konfiguratiounen vun Ärem Domain. D'Schlëssele sinn an /etc/opendkim/keys/yourdomain.com/dkim.txt.

DMARC (Domain-baséiert Message Authentication, Reporting & Conformance) Konfiguratioun

3.1. Fir DMARC ze konfiguréieren, füügt en TXT-Rekord an Är Domain-Astellunge bäi:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Ersetzt [Your_Domain] mat Ärem Domain Numm.

PTR (Pointer Record) Konfiguratioun

4.1. E PTR Rekord, och bekannt als Reverse DNS Record, gëtt benotzt fir eng IP Adress an en Domain Numm ze transforméieren. Dëst ass wichteg fir Mail Serveren well verschidde Server Messagen ouni PTR Rekord refuséieren.

4.2. De PTR-Rekord ass normalerweis an den Astellunge vum Internetserviceprovider oder Hostingprovider konfiguréiert. Wann Dir Zougang zu dësen Astellungen hutt, kënnt Dir e PTR-Rekord opstellen andeems Dir Är IP Adress vun Ärem Server a säin entspriechende Domain Numm spezifizéiert.

4.3. Wann Dir keen Zougang zu de PTR-Rekord-Astellungen hutt, kontaktéiert Ären Internet-Provider oder Hosting-Provider mat enger PTR-Rekordkonfiguratiounsufro.

4.4. Nodeems Dir PTR installéiert hutt, kënnt Dir et iwwerpréiwen mat dem Dig Kommando am Linux:

dig -x your_server_IP

Ersetzt 'your_server_IP' mat der IP Adress vun Ärem Server. D'Äntwert soll Ären Domain Numm enthalen.

Nodeems Dir all d'Schrëtt vun der Konfiguratioun vun SPF, DKIM an DMARC ofgeschloss hutt, wäert de Mailserver vill manner wahrscheinlech Är Mailouts als Spam markéieren - et garantéiert datt Är Bréiwer d'Empfänger erreechen.