СПФ, ДКИМ и ДМАРЦ конфигурација

Овај водич ће вам показати процес конфигурисања СПФ, ДКИМ и ДМАРЦ – три виталне компоненте за побољшање перформанси слања е-поште.

Правилна конфигурација СПФ-а, ДКИМ-а и ДМАРЦ-а повећаће поверење сервера поште и минимизирати вероватноћу да ваше поруке е-поште доспеју у нежељену пошту.

• СПФ (Сендер Полици Фрамеворк) је безбедносна мера дизајнирана да спречи друге да шаљу е-пошту у ваше име. Он одређује којим ИП адресама је дозвољено слање е-поште, а које не.
• ДКИМ (ДомаинКеис Идентифиед Маил) је метод провјере аутентичности поруке. Када се свака е-пошта пошаље, она се потписује приватним кључем, а затим се верификује на серверу е-поште (или Интернет провајдеру) ДНС јавним кључем.
• ДМАРЦ (Домен-басед Мессаге Аутхентицатион, Репортинг & Цонформанце) користи СПФ и ДКИМ за аутентификацију поште, смањујући спам и пхисхинг нападе.

СПФ конфигурација (оквир смерница пошиљаоца)

1.1. Да бисте конфигурисали СПФ, ТКСТ запис мора бити додат у ДНС подешавања вашег домена.

1.2. Ово је следећа синтакса СПФ записа:

• в=спф1: одређује СПФ верзију коју користите. Данас се користи само СПФ1.
• ип4:[Ваш_Маил_Сервер_ИП]: Означава да је ИП адреси вашег сервера поште дозвољено да шаље е-пошту у име вашег домена.
• а: Одређује да ако домен има А запис (ИПв4 адресу) у ДНС-у, сервер наведен у том запису може да шаље е-пошту у име домена.
• мк: Означава да ако домен има МКС (размену поште) запис у ДНС-у, сервер наведен у овом запису може да шаље е-пошту у име домена.
• ~алл: Означава да само сервери у СПФ запису могу слати е-пошту у име домена. Ако е-пошта долази са другог сервера, биће означена као „меко подударање“ (~), што значи да може бити прихваћена, али означена као могућа нежељена пошта.

Заједно, ови елементи формирају СПФ који изгледа овако:

Име: [Ваш_Домен]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

Замените [Иоур_Маил_Сервер_ИП] ИП адресом вашег сервера е-поште.

ДКИМ (ДомаинКеис Идентифиед Маил) конфигурација

2.1. Прво инсталирајте опендким и опендким-тоолс. Процес инсталације зависи од оперативног система:

За ЦентОС:

yum install opendkim -y

За Дебиан/Убунту:

apt install opendkim opendkim-tools -y

2.2. Затим покрените опендким услугу и омогућите њено покретање током покретања:

systemctl start opendkim systemctl enable opendkim

2.3. Направите директоријум за складиштење кључева:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. Генеришите кључеве користећи опендким-генкеи алат:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

Не заборавите да замените 'иоурдомаин.цом' са својим правим именом домена.

2.5. Подесите одговарајуће дозволе за кључеве:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Сада морамо да конфигуришемо опендким. Отворите датотеку /етц/опендким.цонф и додајте следећа подешавања:

AutoRestart Yes AutoRestartRate 10/1h Umask 002 Syslog Yes SyslogSuccess Yes LogWhy Yes Canonicalization relaxed/simple ExternalIgnoreList refile:/etc/opendkim/TrustedHosts InternalHosts refile:/etc/opendkim/TrustedHosts KeyTable refile:/etc/opendkim/KeyTable SigningTable refile:/etc/opendkim/SigningTable Mode sv PidFile /var/run/opendkim/opendkim.pid SignatureAlgorithm rsa-sha256 UserID opendkim:opendkim Socket inet:8891@localhost

2.7. Додајте свој домен у /етц/опендким/ТрустедХостс датотеку

127.0.0.1 localhost *.yourdomain.com

2.8. Уредите датотеку /етц/опендким/КеиТабле да изгледа овако:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. Промените датотеку /етц/опендким/СигнингТабле. Да би изгледао овако

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Ако користите Дебиан/Убунту, наведите порт опендким:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Поново покрените опендким услугу да би промене биле примењене:

systemctl restart opendkim

2.12. На крају, додајте јавни кључ у ДНС конфигурације вашег домена. Кључеви се налазе у /етц/опендким/кеис/иоурдомаин.цом/дким.ткт.

ДМАРЦ (Домен-басед Мессаге Аутхентицатион, Репортинг & Цонформанце) конфигурација

3.1. Да бисте конфигурисали ДМАРЦ, додајте ТКСТ запис у подешавања вашег домена:

Name: _dmarc.[Your_Domain]. Значение: v=DMARC1; p=none; aspf=r; sp=none

Замените [Иоур_Домаин] именом вашег домена.

ПТР (Поинтер Рецорд) конфигурација

4.1. ПТР запис, познат и као обрнути ДНС запис, користи се за трансформацију ИП адресе у име домена. Ово је важно за сервере поште јер неки сервери могу одбити поруке без ПТР записа.

4.2. ПТР запис се обично конфигурише у подешавањима интернет провајдера или хостинг провајдера. Ако имате приступ овим подешавањима, можете да подесите ПТР запис тако што ћете навести ИП адресу вашег сервера и одговарајуће име домена.

4.3. Ако немате приступ подешавањима ПТР записа, обратите се свом провајдеру интернет услуга или хостинг провајдеру са захтевом за конфигурацију ПТР записа.

4.4. Након инсталирања ПТР-а, можете га проверити помоћу команде диг у Линуку:

dig -x your_server_IP

Замените 'иоур_сервер_ИП' ИП адресом вашег сервера. Одговор треба да садржи име вашег домена.

Након завршетка свих корака конфигурисања СПФ-а, ДКИМ-а и ДМАРЦ-а, мање је вероватно да ће сервер за пошту означити ваше поруке као нежељену пошту – то ће гарантовати да ваша писма стигну до прималаца.