本指南將向您展示配置 SPF、DKIM 和 DMARC 的流程—這三個元件可提高電子郵件傳送效能。
正確配置 SPF、DKIM 和 DMARC 將增加郵件伺服器的信任度並最大限度地降低您的郵件進入垃圾郵件的可能性。
- SPF(寄件者策略架構)是一種旨在防止他人以您名義發送電子郵件的安全措施。它決定哪些 IP 位址可以發送電子郵件,哪些不可以。
- DKIM(網域金鑰識別郵件)是一種訊息認證方法。每封電子郵件發送時,都會使用私鑰進行簽名,然後在接收郵件伺服器(或網路服務供應商)使用 DNS 公鑰進行驗證。
- DMARC(基於網域的訊息認證、報告和一致性)使用 SPF 和 DKIM 進行郵件認證,減少垃圾郵件和網路釣魚攻擊。
SPF 設定(寄件者策略框架)
1.1.要設定 SPF,必須將 TXT 記錄加入到您網域的 DNS 設定中。
1.2.這是 SPF 記錄的以下語法:
- v=spf1:確定您使用的 SPF 版本。今天只使用SPF1。
- ip4:[Your_Mail_Server_IP]:表示您的郵件伺服器IP位址被允許代表您的網域傳送電子郵件。
- a:指定如果網域在 DNS 中具有 A 記錄(IPv4 位址),則該記錄中指定的伺服器可以代表該網域傳送電子郵件。
- mx:表示如果網域在 DNS 中具有 MX(郵件交換)記錄,則該記錄中指定的伺服器可以代表該網域發送電子郵件。
- ~all:表示只有 SPF 記錄中的伺服器才能代表該網域傳送電子郵件。如果電子郵件來自另一台伺服器,它將被標記為「軟匹配」(~),這意味著它可以被接受,但被標記為可能的垃圾郵件。
這些元素共同構成如下所示的 SPF:
名稱:[您的網域]
v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all將 [Your_Mail_Server_IP] 替換為您的電子郵件伺服器 IP 位址。
DKIM(網域金鑰識別郵件)配置
2.1.首先安裝 opendkim 和 opendkim-tools。安裝過程取決於作業系統:
對於 CentOS:
yum install opendkim -y對於 Debian/Ubuntu:
apt install opendkim opendkim-tools -y2.2.接下來,啟動 opendkim 服務並允許其在啟動期間啟動:
systemctl start opendkim
systemctl enable opendkim2.3.建立用於儲存密鑰的目錄:
mkdir -p /etc/opendkim/keys/yourdomain.com2.4.使用 opendkim-genkey 工具產生金鑰:
opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim不要忘記用您的真實網域替換“yourdomain.com”。
2.5.為密鑰設定適當的權限:
chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com2.6.現在我們需要設定 opendkim。開啟檔案 /etc/opendkim.conf 並新增以下設定:
AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost2.7.將您的網域加入 /etc/opendkim/TrustedHosts 文件
127.0.0.1
localhost
*.yourdomain.com2.8.編輯 /etc/opendkim/KeyTable 文件,如下所示:
dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private2.9.更改 /etc/opendkim/SigningTable 檔案。為了看起來像這樣
*@yourdomain.com dkim._domainkey.yourdomain.com2.10.如果您使用 Debian/Ubuntu,請指定連接埠 opendkim:
echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim2.11.重新啟動 opendkim 服務以套用變更:
systemctl restart opendkim2.12.最後,將公鑰加入您網域的 DNS 配置中。金鑰位於 /etc/opendkim/keys/yourdomain.com/dkim.txt。
DMARC(基於網域的訊息認證、報告和一致性)配置
3.1.要設定 DMARC,請將 TXT 記錄新增至您的網域設定:
Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none將 [Your_Domain] 替換為您的網域。
PTR(指針記錄)配置
4.1. PTR 記錄,也稱為反向 DNS 記錄,用於將 IP 位址轉換為網域名稱。這對於郵件伺服器很重要,因為某些伺服器可能會拒絕沒有 PTR 記錄的訊息。
4.2. PTR 記錄通常在網路服務供應商或主機服務供應商的設定中配置。如果您有權存取這些設置,則可以透過指定伺服器的 IP 位址及其對應的網域名稱來設定 PTR 記錄。
4.3.如果您無權存取 PTR 記錄設置,請聯絡您的網際網路服務供應商或主機服務供應商並提出 PTR 記錄配置請求。
4.4.安裝 PTR 後,您可以使用 Linux 中的 dig 指令檢查它:
dig -x your_server_IP將“your_server_IP”替換為您的伺服器的 IP 位址。回應應包含您的網域。
完成配置 SPF、DKIM 和 DMARC 的所有步驟後,郵件伺服器將您的郵件標記為垃圾郵件的可能性就會大大降低 - 它可以保證您的信件能夠到達收件者。
