Šiame vadove bus parodytas SPF, DKIM ir DMARC konfigūravimo procesas – trys svarbūs komponentai, skirti pagerinti el. pašto siuntimo našumą.
Tinkama SPF, DKIM ir DMARC konfigūracija padidins pasitikėjimą pašto serveriais ir sumažins tikimybę, kad jūsų laiškai pateks į šlamštą.
- SPF (Sender Policy Framework) yra saugos priemonė, skirta neleisti kitiems siųsti el. laiškų jūsų vardu. Ji nustato, kuriais IP adresais leidžiama siųsti el. laiškus, o kurie ne.
- DKIM (DomainKeys Identified Mail) yra pranešimų autentifikavimo metodas. Kai kiekvienas el. laiškas siunčiamas, jis pasirašomas privačiu raktu ir patvirtinamas gaunančiojo pašto serveryje (arba interneto paslaugų teikėje) naudojant DNS viešąjį raktą.
- DMARC (domenu pagrįstas pranešimų autentifikavimas, ataskaitų teikimas ir atitiktis) naudoja SPF ir DKIM pašto autentifikavimui, taip sumažinant nepageidaujamo pašto ir sukčiavimo atakas.
SPF konfigūracija (Siuntėjo politikos sistema)
1.1. Norint konfigūruoti SPF, prie domeno DNS nustatymų reikia pridėti TXT įrašą.
1.2. Tai yra tokia SPF įrašo sintaksė:
- v=spf1: nustato jūsų naudojamą SPF versiją. Šiandien naudojamas tik SPF1.
- ip4:[Jūsų_pašto_serverio_IP]: Tai rodo, kad jūsų pašto serverio IP adresui leidžiama siųsti el. laiškus jūsų domeno vardu.
- a: Nurodoma, kad jei domenas turi A įrašą (IPv4 adresą) DNS, tame įraše nurodytas serveris gali siųsti el. laiškus domeno vardu.
- mx: Nurodo, kad jei domenas turi MX (mail Exchange) įrašą DNS, šiame įraše nurodytas serveris gali siųsti el. laiškus domeno vardu.
- ~visi: nurodo, kad tik SPF įraše esantys serveriai gali siųsti el. laiškus domeno vardu. Jei laiškas ateina iš kito serverio, jis bus pažymėtas kaip „soft match“ (~), o tai reiškia, kad jis gali būti priimtas, bet pažymėtas kaip galimas nepageidaujamas el.
Kartu šie elementai sudaro SPF, kuris atrodo taip:
Vardas: [Jūsų_domenas]
v=spf1 ip4:[Your_Mail_Server_IP] a mx ~allPakeiskite [Your_Mail_Server_IP] savo el. pašto serverio IP adresu.
DKIM (DomainKeys Identified Mail) konfigūracija
2.1. Pirmiausia įdiekite opendkim ir opendkim-tools. Diegimo procesas priklauso nuo operacinės sistemos:
„CentOS“:
yum install opendkim -y„Debian“ / „Ubuntu“:
apt install opendkim opendkim-tools -y2.2. Tada paleiskite „opendkim“ paslaugą ir įgalinkite jos paleidimą įkrovos metu:
systemctl start opendkim
systemctl enable opendkim2.3. Sukurkite raktų saugojimo katalogą:
mkdir -p /etc/opendkim/keys/yourdomain.com2.4. Sukurkite raktus naudodami įrankį opendkim-genkey:
opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkimNepamirškite pakeisti „yourdomain.com“ tikruoju domeno pavadinimu.
2.5. Nustatykite atitinkamus raktų leidimus:
chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com2.6. Dabar turime sukonfigūruoti opendkim. Atidarykite failą /etc/opendkim.conf ir pridėkite šiuos nustatymus:
AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost2.7. Pridėkite savo domeną prie /etc/opendkim/TrustedHosts failo
127.0.0.1
localhost
*.yourdomain.com2.8. Redaguokite /etc/opendkim/KeyTable failą, kad jis atrodytų taip:
dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private2.9. Pakeiskite failą /etc/opendkim/SigningTable. Kad atrodytum taip
*@yourdomain.com dkim._domainkey.yourdomain.com2.10. Jei naudojate Debian/Ubuntu, nurodykite prievadą opendkim:
echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim2.11. Iš naujo paleiskite opendkim paslaugą, kad būtų pritaikyti pakeitimai:
systemctl restart opendkim2.12. Galiausiai pridėkite viešąjį raktą prie domeno DNS konfigūracijų. Raktai yra /etc/opendkim/keys/yourdomain.com/dkim.txt.
DMARC (domenu pagrįstas pranešimų autentifikavimas, ataskaitų teikimas ir atitiktis) konfigūracija
3.1. Norėdami sukonfigūruoti DMARC, pridėkite TXT įrašą prie domeno nustatymų:
Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=nonePakeiskite [Your_Domain] savo domeno pavadinimu.
PTR (pointer Record) konfigūracija
4.1. PTR įrašas, taip pat žinomas kaip atvirkštinis DNS įrašas, naudojamas IP adresui paversti domeno vardu. Tai svarbu pašto serveriams, nes kai kurie serveriai gali atmesti pranešimus be PTR įrašo.
4.2. PTR įrašas paprastai sukonfigūruojamas interneto paslaugų teikėjo arba prieglobos paslaugų teikėjo nustatymuose. Jei turite prieigą prie šių nustatymų, galite nustatyti PTR įrašą, nurodydami savo serverio IP adresą ir atitinkamą domeno pavadinimą.
4.3. Jei neturite prieigos prie PTR įrašo nustatymų, susisiekite su savo interneto paslaugų teikėju arba prieglobos paslaugų teikėju ir pateikite PTR įrašo konfigūracijos užklausą.
4.4. Įdiegę PTR, galite tai patikrinti naudodami komandą dig sistemoje Linux:
dig -x your_server_IPPakeiskite „your_server_IP“ savo serverio IP adresu. Atsakyme turi būti nurodytas jūsų domeno vardas.
Atlikus visus SPF, DKIM ir DMARC konfigūravimo veiksmus, pašto serveris daug rečiau pažymės jūsų laiškus kaip šlamštą – tai garantuos, kad jūsų laiškai pasieks gavėjus.
