SPF-, DKIM- en DMARC-configuratie

Deze handleiding laat u zien hoe u SPF, DKIM en DMARC configureert: drie essentiële componenten om de prestaties van e-mailverzending te verbeteren.

Een juiste configuratie van SPF, DKIM en DMARC vergroot het vertrouwen van mailservers en verkleint de kans dat uw e-mails in de spamfolder terechtkomen.

• SPF (Sender Policy Framework) is een beveiligingsmaatregel die is ontworpen om te voorkomen dat anderen namens u e-mails versturen. Het bepaalt welke IP-adressen e-mails mogen versturen en welke niet.
• DKIM (DomainKeys Identified Mail) is een berichtverificatiemethode. Wanneer elke e-mail wordt verzonden, wordt deze ondertekend met de privésleutel en vervolgens geverifieerd bij de ontvangende mailserver (of internetprovider) met de openbare DNS-sleutel.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) gebruikt SPF en DKIM voor e-mailauthenticatie, waardoor spam en phishingaanvallen worden verminderd.

SPF-configuratie (Sender Policy Framework)

1.1. Om SPF te configureren, moet u een TXT-record toevoegen aan de DNS-instellingen van uw domein.

1.2. Dit is de volgende syntaxis van het SPF-record:

• v=spf1: bepaalt een SPF-versie die u gebruikt. Vandaag wordt alleen SPF1 gebruikt.
• ip4:[Your_Mail_Server_IP]: Dit geeft aan dat het IP-adres van uw mailserver e-mail mag verzenden namens uw domein.
• a: Hiermee wordt aangegeven dat als een domein een A-record (IPv4-adres) in DNS heeft, de server die in dat record is opgegeven, e-mail namens het domein kan verzenden.
• mx: Geeft aan dat als een domein een MX-record (mail exchange) in DNS heeft, de server die in dit record is opgegeven, e-mail namens het domein kan verzenden.
• ~all: Dit geeft aan dat alleen servers in het SPF-record e-mail namens het domein kunnen verzenden. Als de e-mail van een andere server komt, wordt deze gemarkeerd als een "soft match" (~), wat betekent dat deze kan worden geaccepteerd, maar gemarkeerd als mogelijke spam.

Samen vormen deze elementen een SPF die er als volgt uitziet:

Naam: [Uw_Domein]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Vervang [Your_Mail_Server_IP] door het IP-adres van uw e-mailserver.

DKIM (DomainKeys Identified Mail) configuratie

2.1. Installeer eerst opendkim en opendkim-tools. Het installatieproces is afhankelijk van het besturingssysteem:

Voor CentOS:

yum install opendkim -y

Voor Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. Start vervolgens de opendkim-service en schakel de lancering ervan tijdens het opstarten in:

systemctl start opendkim
systemctl enable opendkim

2.3. Maak een directory voor het opslaan van sleutels:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Genereer sleutels met behulp van de opendkim-genkey tool:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Vergeet niet om 'uwdomein.com' te vervangen door uw echte domeinnaam.

2.5. Stel de juiste machtigingen in voor sleutels:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Nu moeten we opendkim configureren. Open het bestand /etc/opendkim.conf en voeg de volgende instellingen toe:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Voeg uw domein toe aan het bestand /etc/opendkim/TrustedHosts

127.0.0.1
localhost
*.yourdomain.com

2.8. Bewerk het bestand /etc/opendkim/KeyTable zodat het er zo uitziet:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Wijzig het bestand /etc/opendkim/SigningTable. Om er zo uit te zien

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Als u Debian/Ubuntu gebruikt, specificeer dan de poort opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Start de opendkim-service opnieuw, zodat de wijzigingen worden toegepast:

systemctl restart opendkim

2.12. Voeg ten slotte de openbare sleutel toe aan de DNS-configuraties van uw domein. De sleutels staan ​​in /etc/opendkim/keys/yourdomain.com/dkim.txt.

DMARC-configuratie (Domain-based Message Authentication, Reporting & Conformance)

3.1. Om DMARC te configureren, voegt u een TXT-record toe aan uw domeininstellingen:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Vervang [Uw_Domein] door de naam van uw domeinnaam.

PTR (Pointer Record) configuratie

4.1. Een PTR-record, ook wel bekend als een reverse DNS-record, wordt gebruikt om een ​​IP-adres om te zetten in een domeinnaam. Dit is belangrijk voor mailservers, omdat sommige servers berichten zonder PTR-record kunnen weigeren.

4.2. Het PTR-record wordt meestal geconfigureerd in de instellingen van de internetprovider of hostingprovider. Als u toegang hebt tot deze instellingen, kunt u een PTR-record instellen door het IP-adres van uw server en de bijbehorende domeinnaam op te geven.

4.3. Als u geen toegang hebt tot de PTR-recordinstellingen, neem dan contact op met uw internetprovider of hostingprovider en vraag om een ​​configuratieverzoek voor PTR-records.

4.4. Nadat u PTR hebt geïnstalleerd, kunt u dit controleren met de opdracht dig in Linux:

dig -x your_server_IP

Vervang 'your_server_IP' met het IP-adres van uw server. Het antwoord moet uw domeinnaam bevatten.

Nadat u alle stappen voor het configureren van SPF, DKIM en DMARC hebt voltooid, is de kans veel kleiner dat de mailserver uw e-mails als spam markeert. U weet dan zeker dat uw e-mails de ontvangers bereiken.