Configurație SPF, DKIM și DMARC

Acest ghid vă va arăta procesul de configurare a SPF, DKIM și DMARC – trei componente vitale pentru a îmbunătăți performanța trimiterii de e-mail.

Configurarea corectă a SPF, DKIM și DMARC va crește încrederea serverelor de e-mail și va minimiza probabilitatea ca mesajele dvs. de e-mail să ajungă în spam.

• SPF (Sender Policy Framework) este o măsură de securitate concepută pentru a împiedica alte persoane să trimită e-mailuri în numele tău. Stabilește care adrese IP au permisiunea de a trimite e-mailuri și care nu.
• DKIM (DomainKeys Identified Mail) este o metodă de autentificare a mesajelor. Când fiecare e-mail este trimis, acesta este semnat cu cheia privată și apoi verificat la serverul de e-mail destinatar (sau furnizorul de servicii Internet) cu cheia publică DNS.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) folosește SPF și DKIM pentru autentificarea e-mailului, reducând spam-ul și atacurile de phishing.

Configurare SPF (Sender Policy Framework)

1.1. Pentru a configura SPF, trebuie adăugată o înregistrare TXT la setările DNS ale domeniului dvs.

1.2. Aceasta este următoarea sintaxă a înregistrării SPF:

• v=spf1: determină o versiune SPF utilizată de dvs. Astăzi este folosit doar SPF1.
• ip4:[Your_Mail_Server_IP]: Indică faptul că adresa IP a serverului tău de e-mail are permisiunea de a trimite e-mail în numele domeniului tău.
• a: Specifică că, dacă un domeniu are o înregistrare A (adresă IPv4) în DNS, serverul specificat în acea înregistrare poate trimite e-mail în numele domeniului.
• mx: indică faptul că, dacă un domeniu are o înregistrare MX (schimb de e-mail) în DNS, serverul specificat în această înregistrare poate trimite e-mail în numele domeniului.
• ~all: indică faptul că numai serverele din înregistrarea SPF pot trimite e-mail în numele domeniului. Dacă e-mailul provine de la alt server, acesta va fi marcat ca „potrivire soft” (~), ceea ce înseamnă că poate fi acceptat, dar marcat ca posibil spam.

Împreună, aceste elemente formează un SPF care arată astfel:

Nume: [Domeniul_dvs.]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Înlocuiți [Your_Mail_Server_IP] cu adresa IP a serverului dvs. de e-mail.

Configurație DKIM (DomainKeys Identified Mail).

2.1. Mai întâi instalați opendkim și opendkim-tools. Procesul de instalare depinde de sistemul de operare:

Pentru CentOS:

yum install opendkim -y

Pentru Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. Apoi, porniți serviciul opendkim și activați lansarea acestuia în timpul pornirii:

systemctl start opendkim
systemctl enable opendkim

2.3. Creați un director pentru stocarea cheilor:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Generați chei folosind instrumentul opendkim-genkey:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Nu uitați să înlocuiți „domeniul dumneavoastră.com” cu numele real de domeniu.

2.5. Setați permisiunile corespunzătoare pentru chei:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Acum trebuie să configuram opendkim. Deschideți fișierul /etc/opendkim.conf și adăugați următoarele setări:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Adăugați domeniul dvs. în fișierul /etc/opendkim/TrustedHosts

127.0.0.1
localhost
*.yourdomain.com

2.8. Editați fișierul /etc/opendkim/KeyTable pentru a arăta astfel:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Schimbați fișierul /etc/opendkim/SigningTable. Ca să arate așa

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Dacă utilizați Debian/Ubuntu, specificați portul opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Reporniți serviciul opendkim pentru ca modificările să fie aplicate:

systemctl restart opendkim

2.12. În cele din urmă, adăugați cheia publică la configurațiile DNS ale domeniului dvs. Cheile sunt în /etc/opendkim/keys/yourdomain.com/dkim.txt.

Configurație DMARC (Domain-based Message Authentication, Reporting & Conformance).

3.1. Pentru a configura DMARC, adăugați o înregistrare TXT la setările domeniului dvs.:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Înlocuiți [Domeniul_dvs.] cu numele domeniului dvs.

Configurație PTR (Pointer Record).

4.1. O înregistrare PTR, cunoscută și ca înregistrare DNS inversă, este utilizată pentru a transforma o adresă IP într-un nume de domeniu. Acest lucru este important pentru serverele de e-mail, deoarece unele servere pot respinge mesaje fără o înregistrare PTR.

4.2. Înregistrarea PTR este de obicei configurată în setările furnizorului de servicii de internet sau furnizorului de găzduire. Dacă aveți acces la aceste setări, puteți configura o înregistrare PTR specificând adresa IP a serverului dvs. și numele de domeniu corespunzător.

4.3. Dacă nu aveți acces la setările de înregistrare PTR, contactați furnizorul dvs. de servicii de internet sau furnizorul de găzduire cu o solicitare de configurare a înregistrării PTR.

4.4. După instalarea PTR, îl puteți verifica folosind comanda dig în Linux:

dig -x your_server_IP

Înlocuiește „your_server_IP” cu adresa IP a serverului tău. Răspunsul ar trebui să includă numele dvs. de domeniu.

După finalizarea tuturor pașilor de configurare a SPF, DKIM și DMARC, serverul de e-mail va fi mult mai puțin probabil să vă marcheze mesajele ca spam – va garanta că scrisorile dvs. ajung la destinatari.