Цей посібник покаже вам процес налаштування SPF, DKIM і DMARC – трьох життєво важливих компонентів для покращення ефективності надсилання електронних листів.
Правильна настройка SPF, DKIM і DMARC підвищить довіру поштових серверів і мінімізує ймовірність потрапляння ваших розсилок у спам.
- SPF (Sender Policy Framework) — це захід безпеки, призначений для запобігання надсиланню електронних листів від вашого імені іншими особами. Він визначає, з яких IP-адрес дозволено надсилати електронні листи, а з яких ні.
- DKIM (DomainKeys Identified Mail) — це метод автентифікації повідомлень. Коли кожен електронний лист надсилається, він підписується закритим ключем, а потім перевіряється на поштовому сервері одержувача (або в Інтернет-провайдері) за допомогою відкритого ключа DNS.
- DMARC (Доменна автентифікація повідомлень, звітування та відповідність) використовує SPF і DKIM для автентифікації електронної пошти, зменшуючи спам і фішингові атаки.
Конфігурація SPF (Sender Policy Framework)
1.1. Щоб налаштувати SPF, потрібно додати запис TXT до налаштувань DNS вашого домену.
1.2. Це такий синтаксис запису SPF:
- v=spf1: визначає версію SPF, яку ви використовуєте. Сьогодні використовується тільки SPF1.
- ip4:[Your_Mail_Server_IP]: вказує на те, що IP-адреса вашого поштового сервера може надсилати електронні листи від імені вашого домену.
- a: Це вказує, що якщо домен має запис A (адреса IPv4) у DNS, сервер, указаний у цьому записі, може надсилати електронні листи від імені домену.
- mx: вказує, що якщо домен має запис MX (обмін поштою) у DNS, сервер, указаний у цьому записі, може надсилати електронні листи від імені домену.
- ~все: це означає, що лише сервери в записі SPF можуть надсилати електронну пошту від імені домену. Якщо електронний лист надходить з іншого сервера, він буде позначений як «м’який збіг» (~), що означає, що його можна прийняти, але позначити як можливий спам.
Разом ці елементи утворюють SPF, який виглядає так:
Ім'я: [Ваш_домен]
v=spf1 ip4:[Your_Mail_Server_IP] a mx ~allЗамініть [Your_Mail_Server_IP] на IP-адресу вашого сервера електронної пошти.
Конфігурація DKIM (DomainKeys Identified Mail).
2.1. Спочатку встановіть opendkim і opendkim-tools. Процес встановлення залежить від операційної системи:
Для CentOS:
yum install opendkim -yДля Debian/Ubuntu:
apt install opendkim opendkim-tools -y2.2. Далі запускаємо службу opendkim і вмикаємо її запуск під час завантаження:
systemctl start opendkim
systemctl enable opendkim2.3. Створіть каталог для зберігання ключів:
mkdir -p /etc/opendkim/keys/yourdomain.com2.4. Згенеруйте ключі за допомогою інструменту opendkim-genkey:
opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkimНе забудьте замінити "yourdomain.com" своїм справжнім доменним іменем.
2.5. Встановіть відповідні дозволи для ключів:
chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com2.6. Тепер нам потрібно налаштувати opendkim. Відкрийте файл /etc/opendkim.conf і додайте такі параметри:
AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost2.7. Додайте свій домен до файлу /etc/opendkim/TrustedHosts
127.0.0.1
localhost
*.yourdomain.com2.8. Відредагуйте файл /etc/opendkim/KeyTable таким чином:
dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private2.9. Змініть файл /etc/opendkim/SigningTable. Для того, щоб виглядати так
*@yourdomain.com dkim._domainkey.yourdomain.com2.10. Якщо ви використовуєте Debian/Ubuntu, вкажіть порт opendkim:
echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim2.11. Перезапустіть службу opendkim, щоб зміни були застосовані:
systemctl restart opendkim2.12. Нарешті, додайте відкритий ключ до конфігурацій DNS вашого домену. Ключі знаходяться в /etc/opendkim/keys/yourdomain.com/dkim.txt.
Конфігурація DMARC (автентифікація повідомлень на основі домену, звітування та відповідність).
3.1. Щоб налаштувати DMARC, додайте запис TXT до налаштувань домену:
Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=noneЗамініть [Ваш_домен] іменем свого домену.
Конфігурація PTR (Pointer Record).
4.1. Запис PTR, також відомий як зворотний запис DNS, використовується для перетворення IP-адреси на доменне ім’я. Це важливо для поштових серверів, оскільки деякі сервери можуть відхиляти повідомлення без запису PTR.
4.2. Запис PTR зазвичай налаштовується в налаштуваннях інтернет-провайдера або хостинг-провайдера. Якщо у вас є доступ до цих налаштувань, ви можете налаштувати запис PTR, вказавши IP-адресу вашого сервера та відповідне доменне ім’я.
4.3. Якщо ви не маєте доступу до налаштувань запису PTR, зверніться до свого постачальника послуг Інтернету або хостинг-провайдера із запитом на налаштування запису PTR.
4.4. Після встановлення PTR ви можете перевірити його за допомогою команди dig у Linux:
dig -x your_server_IPЗамініть 'your_server_IP' на IP-адресу вашого сервера. Відповідь має містити ваше доменне ім’я.
Після завершення всіх етапів налаштування SPF, DKIM і DMARC поштовий сервер буде набагато рідше позначати ваші розсилки як спам – це гарантує, що ваші листи дійдуть до адресатів.
