Konfiguracija SPF, DKIM in DMARC

Ta priročnik vam bo pokazal postopek konfiguriranja SPF, DKIM in DMARC – treh ključnih komponent za izboljšanje učinkovitosti pošiljanja e-pošte.

Pravilna konfiguracija SPF, DKIM in DMARC bo povečala zaupanje poštnih strežnikov in zmanjšala verjetnost, da bodo vaša sporočila prišla med neželeno pošto.

• SPF (Sender Policy Framework) je varnostni ukrep, ki preprečuje drugim pošiljanje e-pošte v vašem imenu. Določa, kateri naslovi IP smejo pošiljati e-pošto in kateri ne.
• DKIM (DomainKeys Identified Mail) je metoda za preverjanje pristnosti sporočil. Ko je vsako elektronsko sporočilo poslano, je podpisano z zasebnim ključem in nato preverjeno na prejemnem poštnem strežniku (ali ponudniku internetnih storitev) z javnim ključem DNS.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) uporablja SPF in DKIM za preverjanje pristnosti pošte, kar zmanjšuje neželeno pošto in lažno predstavljanje.

Konfiguracija SPF (ogrodje pravilnika pošiljatelja)

1.1. Če želite konfigurirati SPF, morate v nastavitve DNS vaše domene dodati zapis TXT.

1.2. To je naslednja sintaksa zapisa SPF:

• v=spf1: določa različico SPF, ki jo uporabljate. Danes se uporablja samo SPF1.
• ip4:[IP_vašega_poštnega_strežnika]: Označuje, da je naslov IP vašega poštnega strežnika dovoljen za pošiljanje e-pošte v imenu vaše domene.
• a: Določa, da če ima domena zapis A (naslov IPv4) v DNS, lahko strežnik, določen v tem zapisu, pošlje e-pošto v imenu domene.
• mx: Označuje, da če ima domena zapis MX (izmenjava pošte) v DNS, lahko strežnik, določen v tem zapisu, pošilja e-pošto v imenu domene.
• ~vse: Označuje, da lahko le strežniki v zapisu SPF pošiljajo e-pošto v imenu domene. Če e-poštno sporočilo prihaja z drugega strežnika, bo označeno kot "mehko ujemanje" (~), kar pomeni, da je lahko sprejeto, vendar označeno kot možna neželena pošta.

Ti elementi skupaj tvorijo SPF, ki je videti takole:

Ime: [Vaša_domena]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Zamenjajte [Your_Mail_Server_IP] z naslovom IP vašega e-poštnega strežnika.

Konfiguracija DKIM (DomainKeys Identified Mail).

2.1. Najprej namestite opendkim in opendkim-tools. Postopek namestitve je odvisen od operacijskega sistema:

Za CentOS:

yum install opendkim -y

Za Debian/Ubuntu:

apt install opendkim opendkim-tools -y

2.2. Nato zaženite storitev opendkim in omogočite njen zagon med zagonom:

systemctl start opendkim
systemctl enable opendkim

2.3. Ustvarite imenik za shranjevanje ključev:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Ustvarite ključe z orodjem opendkim-genkey:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Ne pozabite zamenjati 'yourdomain.com' s svojim pravim imenom domene.

2.5. Nastavite ustrezna dovoljenja za ključe:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Zdaj moramo konfigurirati opendkim. Odprite datoteko /etc/opendkim.conf in dodajte naslednje nastavitve:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Dodajte svojo domeno v datoteko /etc/opendkim/TrustedHosts

127.0.0.1
localhost
*.yourdomain.com

2.8. Uredite datoteko /etc/opendkim/KeyTable, da bo videti takole:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Spremenite datoteko /etc/opendkim/SigningTable. Da bi izgledal takole

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Če uporabljate Debian/Ubuntu, podajte vrata opendkim:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Znova zaženite storitev opendkim, da bodo spremembe uveljavljene:

systemctl restart opendkim

2.12. Končno dodajte javni ključ konfiguracijam DNS vaše domene. Ključi so v /etc/opendkim/keys/yourdomain.com/dkim.txt.

Konfiguracija DMARC (Domain-based Message Authentication, Reporting & Conformance).

3.1. Če želite konfigurirati DMARC, dodajte zapis TXT v nastavitve svoje domene:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

Zamenjajte [Your_Domain] z imenom svoje domene.

Konfiguracija PTR (Pointer Record).

4.1. Zapis PTR, znan tudi kot povratni zapis DNS, se uporablja za pretvorbo naslova IP v ime domene. To je pomembno za poštne strežnike, ker lahko nekateri strežniki zavrnejo sporočila brez zapisa PTR.

4.2. Zapis PTR je običajno konfiguriran v nastavitvah ponudnika internetnih storitev ali ponudnika gostovanja. Če imate dostop do teh nastavitev, lahko nastavite zapis PTR tako, da navedete naslov IP vašega strežnika in njegovo ustrezno ime domene.

4.3. Če nimate dostopa do nastavitev zapisa PTR, se obrnite na svojega ponudnika internetnih storitev ali ponudnika gostovanja z zahtevo za konfiguracijo zapisa PTR.

4.4. Ko namestite PTR, ga lahko preverite z ukazom dig v Linuxu:

dig -x your_server_IP

Zamenjajte 'your_server_IP' z naslovom IP vašega strežnika. Odgovor mora vsebovati ime vaše domene.

Po dokončanju vseh korakov konfiguracije SPF, DKIM in DMARC bo poštni strežnik veliko manj verjetno označil vaša sporočila kot neželeno pošto – zagotovil bo, da bodo vaša pisma prispela do prejemnikov.