Šajā rokasgrāmatā tiks parādīts SPF, DKIM un DMARC konfigurēšanas process — trīs svarīgi komponenti, lai uzlabotu e-pasta sūtīšanas veiktspēju.
Pareiza SPF, DKIM un DMARC konfigurācija palielinās pasta serveru uzticību un samazinās iespējamību, ka jūsu pasta sūtījumi nonāks surogātpasta sūtījumos.
- SPF (Sender Policy Framework) ir drošības pasākums, kas paredzēts, lai neļautu citiem sūtīt e-pastus jūsu vārdā. Tas nosaka, no kurām IP adresēm ir atļauts sūtīt e-pastus un kuras nav.
- DKIM (DomainKeys Identified Mail) ir ziņojumu autentifikācijas metode. Kad katrs e-pasts tiek nosūtīts, tas tiek parakstīts ar privāto atslēgu un pēc tam tiek pārbaudīts saņēmējā pasta serverī (vai interneta pakalpojumu sniedzējā) ar DNS publisko atslēgu.
- DMARC (Domain-based Message Authentication, Reporting & Conformance) pasta autentifikācijai izmanto SPF un DKIM, tādējādi samazinot surogātpasta un pikšķerēšanas uzbrukumus.
SPF konfigurācija (sūtītāja politikas ietvars)
1.1. Lai konfigurētu SPF, domēna DNS iestatījumiem ir jāpievieno TXT ieraksts.
1.2. Šī ir šāda SPF ieraksta sintakse:
- v=spf1: nosaka jūsu izmantoto SPF versiju. Mūsdienās tiek izmantots tikai SPF1.
- ip4:[Jūsu_pasta_servera_IP]: tas norāda, ka jūsu pasta servera IP adresei ir atļauts sūtīt e-pastu jūsu domēna vārdā.
- a: Tas norāda, ka, ja domēnam ir A ieraksts (IPv4 adrese) DNS, šajā ierakstā norādītais serveris var nosūtīt e-pastu domēna vārdā.
- mx: norāda, ka, ja domēnam ir MX (pasta apmaiņas) ieraksts DNS, šajā ierakstā norādītais serveris var sūtīt e-pastu domēna vārdā.
- ~all: tas norāda, ka tikai serveri SPF ierakstā var sūtīt e-pastu domēna vārdā. Ja e-pasts nāk no cita servera, tas tiks atzīmēts kā "soft match" (~), kas nozīmē, ka to var pieņemt, bet atzīmēt kā iespējamo surogātpastu.
Šie elementi kopā veido SPF, kas izskatās šādi:
Vārds: [jūsu_domēns]
v=spf1 ip4:[Your_Mail_Server_IP] a mx ~allAizstājiet [Your_Mail_Server_IP] ar sava e-pasta servera IP adresi.
DKIM (DomainKeys Identified Mail) konfigurācija
2.1. Vispirms instalējiet opendkim un opendkim-tools. Instalēšanas process ir atkarīgs no operētājsistēmas:
CentOS:
yum install opendkim -yDebian/Ubuntu:
apt install opendkim opendkim-tools -y2.2. Pēc tam palaidiet opendkim pakalpojumu un iespējojiet tā palaišanu sāknēšanas laikā:
systemctl start opendkim
systemctl enable opendkim2.3. Izveidojiet direktoriju atslēgu glabāšanai:
mkdir -p /etc/opendkim/keys/yourdomain.com2.4. Ģenerējiet atslēgas, izmantojot rīku opendkim-genkey:
opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkimNeaizmirstiet aizstāt “yourdomain.com” ar savu īsto domēna nosaukumu.
2.5. Iestatiet atbilstošās atļaujas atslēgām:
chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com2.6. Tagad mums ir jākonfigurē opendkim. Atveriet failu /etc/opendkim.conf un pievienojiet šādus iestatījumus:
AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost2.7. Pievienojiet savu domēnu failam /etc/opendkim/TrustedHosts
127.0.0.1
localhost
*.yourdomain.com2.8. Rediģējiet /etc/opendkim/KeyTable failu, lai tas izskatītos šādi:
dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private2.9. Mainiet failu /etc/opendkim/SigningTable. Lai izskatītos šādi
*@yourdomain.com dkim._domainkey.yourdomain.com2.10. Ja izmantojat Debian/Ubuntu, norādiet portu opendkim:
echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim2.11. Restartējiet opendkim pakalpojumu, lai tiktu piemērotas izmaiņas:
systemctl restart opendkim2.12. Visbeidzot pievienojiet publisko atslēgu sava domēna DNS konfigurācijām. Atslēgas atrodas mapē /etc/opendkim/keys/yourdomain.com/dkim.txt.
DMARC (Domain-based Message Authentication, Reporting & Conformance) konfigurācija
3.1. Lai konfigurētu DMARC, pievienojiet TXT ierakstu saviem domēna iestatījumiem:
Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=noneAizstājiet [Your_Domain] ar sava domēna nosaukumu.
PTR (pointer Record) konfigurācija
4.1. PTR ieraksts, kas pazīstams arī kā reversais DNS ieraksts, tiek izmantots, lai pārveidotu IP adresi par domēna nosaukumu. Tas ir svarīgi pasta serveriem, jo daži serveri var noraidīt ziņojumus bez PTR ieraksta.
4.2. PTR ieraksts parasti tiek konfigurēts interneta pakalpojumu sniedzēja vai mitināšanas pakalpojumu sniedzēja iestatījumos. Ja jums ir piekļuve šiem iestatījumiem, varat iestatīt PTR ierakstu, norādot sava servera IP adresi un tai atbilstošo domēna nosaukumu.
4.3. Ja jums nav piekļuves PTR ieraksta iestatījumiem, sazinieties ar savu interneta pakalpojumu sniedzēju vai mitināšanas pakalpojumu sniedzēju, iesniedzot PTR ieraksta konfigurācijas pieprasījumu.
4.4. Pēc PTR instalēšanas varat to pārbaudīt, izmantojot Linux komandu dig:
dig -x your_server_IPAizstājiet “your_server_IP” ar sava servera IP adresi. Atbildē jāiekļauj jūsu domēna nosaukums.
Pēc visu SPF, DKIM un DMARC konfigurēšanas darbību pabeigšanas pasta serveris daudz retāk atzīmēs jūsu pasta sūtījumus kā surogātpastu — tas garantēs, ka jūsu vēstules sasniegs adresātus.
