Administratorii trong số email riêng tư nghiêm trọng cho doanh nghiệp nó thường phải đối mặt với nhiều vấn đề và thách thức. Từ những làn sóng của SPAM phải bị chặn bởi các bộ lọc cụ thể, bảo mật thư từ trong máy chủ e-mail cục bộ và máy chủ từ xa, cấu hình si giám sát các dịch vụ SMTP, POP, IMAP, cộng với rất nhiều và rất nhiều chi tiết khác Cấu hình SPF, DKIM và DMARC để tuân theo các phương pháp hay nhất để gửi thư điện tử an toàn.
Nhiều vấn đề gửi tin nhắn e-mail hoặc người nhận hàng đến / từ các nhà cung cấp của bạn, xuất hiện do cấu hình khu vực không chính xác DNS, những gì về dịch vụ e-mail.
Để email được gửi từ một tên miền, nó phải được lưu trữ trên một máy chủ email Được định cấu hình đúng và tên miền có vùng DNS vì SPF, MX, DMARC SI phần mở rộng dkim đặt chính xác trong trình quản lý TXT DNS của miền.
Trong bài viết hôm nay chúng ta sẽ tập trung vào một vấn đề khá phổ biến máy chủ email doanh nghiệp tư nhân. Không thể gửi email tới Gmail, Yahoo! hoặc iCloud.
Nội dung
Thư được gửi đến @ Gmail.com sẽ tự động bị từ chối. “Gửi thư không thành công: trả lại thư cho người gửi”
Gần đây tôi đã gặp sự cố trên miền email của một công ty, từ đó các e-mail thường xuyên được gửi đến các công ty khác và cho các cá nhân, một số người trong số họ có địa chỉ @ Gmail.com. Tất cả các thư được gửi đến tài khoản Gmail ngay lập tức được trả lại cho người gửi. "Gửi thư không thành công: trả lại thư cho người gửi".
Thông báo lỗi được trả về máy chủ e-mail trên EXIM trông như thế này:
1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26 https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtpTrong trường hợp này, nó không phải là một cái gì đó quá nghiêm trọng, chẳng hạn như bao gồm tên miền gửi hoặc IP gửi trong danh sách SPAM toàn cầu hoặc o lỗi cấu hình lớn dịch vụ e-mail trên sevrer (EXIM).
Mặc dù nhiều người nhìn thấy thông báo này ngay lập tức khi họ nghĩ đến SPAM hoặc lỗi cấu hình SMTP, vấn đề được tạo ra bởi khu vực. TXT DNS của miền. Hầu hết thời gian, DKIM không được định cấu hình trong vùng DNS hoặc không được chuyển đúng cách trong trình quản lý DNS của miền. Vấn đề này thường thấy ở những người sử dụng CloudFlare với tư cách là Trình quản lý DNS và quên chuyển TXT DNS: thư._domainkey (phần mở rộng dkim), DMARC si SPF.
Như thông báo từ chối của Gmail cho chúng tôi biết, tính xác thực và xác thực của miền người gửi đã không thành công. “Thông báo này không có thông tin xác thực hoặc không thể \ n550-5.7.26 vượt qua kiểm tra xác thực. ” Điều này có nghĩa là miền không được cấu hình DNS TXT để đảm bảo uy tín cho máy chủ e-mail của người nhận. Gmail, trong tập lệnh của chúng tôi.
Khi chúng tôi thêm một miền web có dịch vụ e-mail đang hoạt động trên cPanel của nó VestaCP, các tệp trong vùng DNS của miền tương ứng cũng được tạo tự động. Vùng DNS chứa cấu hình của dịch vụ e-mail: MX, SPF, phần mở rộng dkim, DMARC.
Trong tình huống chúng tôi chọn miền làm người quản lý CloudFlare DNS, khu vực DNS của tài khoản lưu trữ của miền phải được sao chép sang CloudFlare để miền email hoạt động bình thường. Đó là vấn đề trong kịch bản trên. Trong trình quản lý DNS của bên thứ ba, đăng ký DKIM không tồn tại, mặc dù nó tồn tại trên trình quản lý DNS của máy chủ cục bộ.
DKIM là gì và tại sao email bị từ chối nếu chúng tôi không có tính năng này trên miền email?
Thư được xác định DomainKeys (DKIM) là một giải pháp xác thực miền e-mail tiêu chuẩn bổ sung chữ ký số mỗi tin nhắn được gửi đi. Máy chủ đích có thể kiểm tra thông qua DKIM xem liệu thư có đến từ miền luật của người gửi chứ không phải từ miền khác sử dụng danh tính của người gửi làm mặt nạ. Bởi tất cả các tài khoản, nếu bạn có miền abcdqwertynăm không có DKIM, email có thể được gửi từ các máy chủ khác bằng tên miền của bạn. Đó là nếu bạn muốn đánh cắp danh tính, mà theo thuật ngữ kỹ thuật được gọi là giả mạo email.
Một kỹ thuật phổ biến khi gửi tin nhắn e-mail Lừa đảo si thư rác.
Nó cũng có thể được đảm bảo thông qua DKIM rằng, nội dung của tin nhắn không bị thay đổi sau khi nó được gửi bởi người gửi.
Việc đặt DKIM một cách chính xác trên máy chủ lưu trữ nghiêm ngặt của hệ thống e-mail và trong vùng DNS cũng giúp loại bỏ khả năng thư của bạn có thể lọt vào SPAM tới người nhận hoặc hoàn toàn không đến được.
Ví dụ về DKIM là:
mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"Tất nhiên, giá trị DKIM thu được bằng cách Thuật toán mã hóa RSA là duy nhất cho mỗi tên miền và có thể được tạo lại từ máy chủ e-mail của máy chủ.
Đã cài đặt và đặt đúng DKIM trong TXT DNS quản lý, rất có thể giải quyết vấn đề thư được trả về tài khoản Gmail. Ít nhất đối với lỗi "Gửi thư không thành công":
"SMTP error từ máy chủ thư từ xa sau khi kết thúc dữ liệu liên kết: 550-5.7.26 Thư này không có thông tin xác thực hoặc không thể \ n550-5.7.26 vượt qua kiểm tra xác thực. Để bảo vệ tốt nhất người dùng của chúng tôi khỏi spam, thư \ n550-5.7.26 đã bị chặn. ”
Như một bản tóm tắt ngắn gọn, DKIM thêm chữ ký điện tử vào mỗi tin nhắn được gửi, cho phép máy chủ đích xác minh tính xác thực của người gửi. Nếu tin nhắn đến từ công ty của bạn và địa chỉ của bên thứ ba không được sử dụng để sử dụng danh tính của bạn.
Gmail (Google) có thể tự động từ chối tất cả các tin nhắn đến từ các miền không có ngữ nghĩa kỹ thuật số DKIM như vậy.
SPF là gì và tại sao nó lại quan trọng đối với việc gửi email an toàn?
Cũng giống như DKIM và SPF nhằm mục đích ngăn chặn tin nhắn lừa đảo si giả mạo email. Bằng cách này, các tin nhắn đã gửi sẽ không còn bị đánh dấu là spam.
Khung chính sách người gửi (SPF) là một phương pháp tiêu chuẩn để xác thực miền mà từ đó tin nhắn được gửi đi. Các mục nhập SPF được đặt thành Trình quản lý DNS TXT miền của bạn và mục nhập này sẽ chỉ định tên miền, IP hoặc các miền được phép gửi thông báo e-mail bằng tên miền của bạn hoặc tổ chức của bạn.
Miền không có SPF có thể cho phép những kẻ gửi thư rác gửi email từ các máy chủ khác, sử dụng tên miền của bạn làm mặt nạ. Bằng cách này, chúng có thể lây lan thông tin sai hoặc dữ liệu nhạy cảm có thể được yêu cầu thay mặt cho tổ chức của bạn
Tất nhiên, thư vẫn có thể được gửi thay mặt bạn từ các máy chủ khác, nhưng chúng sẽ bị đánh dấu là spam hoặc bị từ chối nếu máy chủ hoặc tên miền đó không được chỉ định trong mục nhập SPF TXT của miền của bạn.
Giá trị SPF trong trình quản lý DNS trông giống như sau:
@ : "v=spf1 a mx ip4:x.x.x.x ?all"Trong đó "ip4" là IPv4 trên máy chủ email của bạn.
Làm cách nào để đặt SPF cho nhiều tên miền?
Nếu chúng tôi muốn cho phép các miền khác thay mặt miền của chúng tôi gửi thông báo e-mail, chúng tôi sẽ chỉ định chúng với giá trị "include”Trong SPF TXT:
v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~allĐiều này có nghĩa là các thông điệp e-mail cũng có thể được gửi từ tên miền của chúng tôi đến example1.com và example2.com.
Đó là một bản ghi rất hữu ích nếu chúng ta có một ví dụ cửa hàng Trên địa chỉ "ví dụ1.com", Nhưng chúng tôi muốn thông điệp từ cửa hàng trực tuyến đến khách hàng để lại địa chỉ miền công ty, đây là "example.com“. Trong Chỉ số chống nắng TXT cho "example.com", nếu cần để chỉ định cùng với IP và "bao gồm: example1.com". Vì vậy, các thông điệp có thể được gửi thay mặt cho tổ chức.
Làm cách nào để đặt SPF cho IPv4 và IPv6?
Chúng tôi có một máy chủ thư với cả hai IPv4 và với IPv6, điều rất quan trọng là cả hai IP đều được chỉ định trong SPF TXT.
v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~allTiếp theo, sau "ip", chỉ thị "include”Để thêm các miền được phép giao hàng.
Nó có nghĩa là gì "~all","-all"Và"+allCủa SPF?
Như đã nêu ở trên, nhà cung cấp (ISP) vẫn có thể nhận email thay mặt cho tổ chức của bạn ngay cả khi chúng được gửi từ miền hoặc IP không được chỉ định trong chính sách SPF. Thẻ "tất cả" cho máy chủ đích biết cách xử lý các thông báo này từ các miền trái phép khác và gửi thông báo thay mặt bạn hoặc tổ chức của bạn.
~all : Nếu thư được nhận từ một miền không được liệt kê trong SPT TXT, thư sẽ được chấp nhận trên máy chủ đích, nhưng chúng sẽ bị đánh dấu là spam hoặc đáng ngờ. Họ sẽ phải tuân theo các bộ lọc chống thư rác thông lệ của nhà cung cấp dịch vụ người nhận.
-all : Đây là thẻ nghiêm ngặt nhất được thêm vào mục nhập SPF. Nếu miền không được liệt kê, thông báo sẽ bị đánh dấu là trái phép và sẽ bị nhà cung cấp từ chối. Nó cũng sẽ không được giao mactrong thư rác.
+all : Rất hiếm khi được sử dụng và hoàn toàn không được khuyến khích, thẻ này cho phép người khác gửi e-mail thay mặt bạn hoặc tổ chức của bạn. Hầu hết các nhà cung cấp tự động từ chối tất cả các thư e-mail đến từ các miền có SPF TXT. "+all“. Chính vì tính xác thực của người gửi không thể được xác minh, ngoại trừ sau khi kiểm tra "tiêu đề email".
Tóm lược: Khung chính sách người gửi (SPF) có nghĩa là gì?
Ủy quyền thông qua vùng DNS TXT / SPF, các IP và tên miền có thể gửi tin nhắn e-mail từ miền hoặc công ty của bạn. Nó cũng áp dụng các hậu quả áp dụng cho các thư được gửi từ các miền trái phép.
DMARC có nghĩa là gì và tại sao nó lại quan trọng đối với máy chủ email của bạn?
DMARC (Báo cáo xác thực thông báo dựa trên miền và tuân thủ) được liên kết chặt chẽ với các tiêu chuẩn chính sách SPF si phần mở rộng dkim.
DMARC là một hệ thống xác nhận được thiết kế để bảo vệ tên miền email của bạn hoặc của công ty bạn, các phương pháp như giả mạo email và lừa đảo.
Sử dụng các tiêu chuẩn kiểm soát Khung chính sách người gửi (SPF) và Thư được xác định bằng khóa miền (DKIM), DMARC bổ sung một tính năng rất quan trọng. báo cáo.
Khi chủ sở hữu miền xuất bản DMARC trong khu vực DNS TXT, họ sẽ nhận được thông tin về người gửi thư điện tử thay mặt cho họ hoặc công ty sở hữu miền được bảo vệ bởi SPF và DKIM. Đồng thời, người nhận thư sẽ biết liệu chủ sở hữu miền gửi có giám sát các chính sách thực hành tốt này hay không và như thế nào.
Bản ghi DMARC trong DNS TXT có thể là:
V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;Trong DMARC, bạn có thể đặt nhiều điều kiện hơn để báo cáo sự cố và địa chỉ e-mail để phân tích và báo cáo. Nên sử dụng các địa chỉ e-mail dành riêng cho DMARC vì khối lượng thư nhận được có thể đáng kể.
Thẻ DMARC có thể được đặt theo chính sách do bạn hoặc tổ chức của bạn áp đặt:
v - phiên bản của giao thức DMARC hiện có. p - áp dụng chính sách này khi DMARC không thể được xác minh cho các tin nhắn e-mail. Nó có thể có giá trị: “none","quarantine"Hoặc"reject“. Được sử dụng "none” để nhận báo cáo về luồng tin nhắn và trạng thái ghimsora.rua - Đây là danh sách các URL mà ISP có thể gửi phản hồi ở định dạng XML. Nếu chúng tôi thêm địa chỉ e-mail ở đây, liên kết sẽ là:rua=mailto:feedback@example.com".ruf - Danh sách các URL mà ISP có thể thay mặt tổ chức của bạn gửi báo cáo về các sự cố mạng và tội phạm đã thực hiện. Địa chỉ sẽ là:ruf=mailto:account-email@for.example.com". rf - Định dạng báo cáo tội phạm mạng. Nó có thể được định hình "afrf"Hoặc"iodef". pct - Hướng dẫn ISP chỉ áp dụng chính sách DMARC cho một tỷ lệ nhất định các thông báo không thành công. Ví dụ, chúng ta có thể có:pct=50%"Hoặc chính sách"quarantine"Và"reject“. Nó sẽ không bao giờ được chấp nhận. "none". adkim – Chỉ định “Căn chỉnh Mode” cho chữ ký số DKIM. Điều này có nghĩa là việc khớp chữ ký số của mục nhập DKIM với miền được kiểm tra. adkim có thể có các giá trị: r (Relaxed), Hoặc s (Strict). aspf - Theo cách tương tự như trong trường hợp adkim "Căn chỉnh" được chỉ định Mode” cho SPF và hỗ trợ các giá trị giống nhau. r (Relaxed), Hoặc s (Strict). sp - Chính sách này áp dụng để cho phép các miền phụ bắt nguồn từ miền tổ chức sử dụng giá trị DMARC của miền. Điều này tránh việc sử dụng các chính sách riêng biệt cho từng khu vực. Trên thực tế, nó là một "ký tự đại diện" cho tất cả các miền phụ. ri - Giá trị này đặt khoảng thời gian mà các báo cáo XML sẽ được nhận cho DMARC. Hầu hết thời gian, báo cáo được ưu tiên hàng ngày. fo - Các tùy chọn cho các báo cáo gian lận. “Pháp y options“. Chúng có thể có giá trị "0" để báo cáo sự cố khi cả xác minh SPF và DKIM không thành công hoặc giá trị "1" cho trường hợp SPF hoặc DKIM không tồn tại hoặc không vượt qua xác minh.
Do đó, để đảm bảo rằng các e-mail của bạn hoặc của công ty bạn đến được hộp thư đến của bạn, bạn cần xem xét ba tiêu chuẩn này. "các phương pháp hay nhất để gửi email". phần mở rộng dkim, SPF si DMARC. Cả ba tiêu chuẩn này đều liên quan đến DNS TXT và có thể được quản lý từ trình quản lý DNS của miền.
1 suy nghĩ về "Cách định cấu hình vùng DNS TXT cho SPF, DKIM và DMARC và cách tránh thư điện tử công việc bị Gmail từ chối - Gửi thư không thành công"