Ako nastaviť zónu DNS TXT pre SPF, DKIM a DMARC a ako zabrániť odmietnutiu firemných e-mailových správ službou Gmail – doručovanie pošty zlyhalo

Update
1

Administratorii z prísny súkromný e-mail pre podnikanie často čelí mnohým problémom a výzvam. Z vĺn o SPAM ktoré musia byť blokované špecifickými filtrami, korešpondenčnú bezpečnosť na lokálnom e-mailovom serveri a vzdialených serveroch, konfigurácia si monitorovanie služieb SMTP, POP, IMAP, plus veľa a veľa ďalších detailov Konfigurácia SPF, DKIM a DMARC dodržiavať osvedčené postupy pre bezpečné odosielanie e-mailov.

Veľa problémov posielať e-mailové správy alebo príjemcom do / od vašich poskytovateľov, sa objavujú v dôsledku nesprávnej konfigurácie oblasti DNS, ako je to s e-mailovou službou.

Aby sa e-maily odosielali z názvu domény, musí to byť umiestnené na e-mailovom serveri Správne nakonfigurovaný a názov domény, aby mal zóny DNS pre SPF, MX, dMarc SI DKIM správne nastavené v správcovi TXT DNS domény.

V dnešnom článku sa zameriame na celkom bežný problém súkromné ​​firemné e-mailové servery. Nie je možné odoslať e-mail do Gmailu, Yahoo! alebo iCloud.

Správy odoslané na @ Gmail.com sú automaticky odmietnuté. „Doručenie pošty zlyhalo: správa sa vracia odosielateľovi“

Nedávno som narazil na problém e-mailová doména spoločnosti, z ktorej sa pravidelne odosielajú e-maily iným spoločnostiam a jednotlivcom, z ktorých niektorí majú adresy @ Gmail.com. Všetky správy odoslané na účty Gmail sa okamžite vrátili odosielateľovi. "Doručenie pošty zlyhalo: správa sa vracia odosielateľovi".

Na e-mailový server sa vrátilo chybové hlásenie EXIM vyzerá takto: 

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

V tomto scenári nejde o niečo veľmi vážne, ako napr zahrnúť názov odosielajúcej domény alebo IP adresu odosielateľa do zoznamu nevyžiadanej pošty globálne alebo o hlavná chyba konfigurácie e-mailových služieb na serveri (EXIM).
Aj keď mnohí ľudia vidia túto správu okamžite, keď pomyslia na SPAM alebo chybu konfigurácie SMTP, problém je spôsobený oblasťou. TXT DNS domény. DKIM väčšinou nie je nakonfigurovaný v zóne DNS alebo nie je správne odovzdaný v správcovi DNS domény. S týmto problémom sa často stretávajú tí, ktorí ho používajú CloudFlare ako DNS Manager a zabudnite prejsť TXT DNS: mail._domainkey (DKIM), dMarc si SPF.

Ako nám hovorí správa o odmietnutí Gmailu, pravosť a overenie domény odosielateľa zlyhalo. “Táto správa neobsahuje overovacie informácie alebo neprejde \ n550-5.7.26 overovacími kontrolami.“ To znamená, že doména nemá nakonfigurovaný DNS TXT na zabezpečenie dôveryhodnosti pre e-mailový server príjemcu. Gmail v našom skripte.

Keď na jej cPanel pridáme webovú doménu s aktívnou e-mailovou službou VestaCP, automaticky sa vytvoria aj súbory v oblasti DNS príslušnej domény. DNS zóna, ktorá zahŕňa konfiguráciu e-mailovej služby: MX, SPF, DKIM, dMarc.
V situácii, keď si doménu vyberieme za správcu CloudFlare DNS, musí byť oblasť DNS hostiteľského účtu domény skopírovaná do CloudFlare, aby e-mailová doména fungovala správne. To bol problém vo vyššie uvedenom scenári. V správcovi DNS tretej strany registrácia DKIM neexistuje, hoci existuje v správcovi DNS miestneho servera.

Čo je to DKIM a prečo sú e-maily odmietané, ak túto funkciu nemáme v e-mailovej doméne?

DomainKeys Identified Mail (DKIM) je štandardné riešenie autentifikácie e-mailovej domény, ktoré pridáva a digitálny podpis každej odoslanej správe. Cieľové servery môžu prostredníctvom DKIM skontrolovať, či správa pochádza zo zákonnej domény odosielateľa a nie z inej domény, ktorá používa identitu odosielateľa ako masku. Podľa všetkého, ak máte doménu ABCDqwerty. S bez DKIM môžu byť e-maily odosielané z iných serverov pomocou názvu vašej domény. Je to, ak chcete, krádež identity, ktorá sa odborne nazýva e-mail spoofing.
Bežná technika pri odosielaní e-mailových správ Phishing si spam.

Prostredníctvom DKIM možno tiež zabezpečiť, že obsah správy sa po jej odoslaní odosielateľom nezmenil.

Správne nastavené DKIM na striktnom hostiteľovi e-mailového systému a v oblasti DNS tiež eliminuje možnosť, že sa vaše správy dostanú do SPAMu k príjemcovi alebo sa nedostanú vôbec.

Príkladom DKIM je: 

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Samozrejme, hodnota DKIM získaná o Šifrovací algoritmus RSA je jedinečný pre každý názov domény a možno ho obnoviť z e-mailového servera hostiteľa.

Po nainštalovaní a správnom nastavení DKIM TXT DNS správca, je veľmi možné vyriešiť problém so správami vrátenými na účty Gmail. Aspoň pre chybu „Doručenie pošty zlyhalo“:

„SMTP error zo vzdialeného poštového servera po zregenerovanom konci dát: 550-5.7.26 Táto správa neobsahuje overovacie informácie alebo neprejde \ n550-5.7.26 overovacími kontrolami. S cieľom čo najlepšie chrániť našich používateľov pred spamom bola správa \ n550-5.7.26 zablokovaná.“

Ako krátka rekapitulácia, DKIM pridá digitálny podpis ku každej odoslanej správe, ktorý umožňuje cieľovým serverom overiť pravosť odosielateľa. Ak správa prišla od vašej spoločnosti a adresa tretej strany nebola použitá na použitie vašej identity.

Gmail (Google) možno automaticky odmieta všetky správy pochádzajúce z domén, ktoré nemajú takúto digitálnu sémantiku DKIM.

Čo je to SPF a prečo je dôležité pre bezpečné odosielanie e-mailov?

Rovnako ako DKIM, a SPF má za cieľ zabrániť phishingové správy si e-mail spoofing. Takto odoslané správy už nebudú označované ako spam.

Rámec politiky odosielania (SPF) je štandardný spôsob autentifikácie domény, z ktorej sa odosielajú správy. Záznamy SPF sú nastavené na TXT DNS manažér vašej domény a táto položka bude špecifikovať názov domény, IP alebo domény, ktoré môžu odosielať e-mailové správy pomocou názvu vašej domény alebo domény vašej organizácie.

Doména bez SPF môže umožniť spamerom odosielať e-maily z iných serverov, pomocou názvu vašej domény ako masky. Týmto spôsobom sa môžu šíriť nepravdivé informácie alebo môžu byť požadované citlivé údaje v mene vašej organizácie

Samozrejme, správy môžu byť stále odosielané vo vašom mene z iných serverov, ale budú označené ako spam alebo odmietnuté, ak tento server alebo názov domény nie je uvedený v položke SPF TXT vašej domény.

Hodnota SPF v správcovi DNS vyzerá takto: 

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Kde „ip4“ je IPv4 na vašom e-mailovom serveri.

Ako nastavím SPF pre viacero domén?

Ak chceme autorizovať iné domény na odosielanie e-mailových správ v mene našej domény, uvedieme ich hodnotou "include“V SPF TXT: 

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

To znamená, že e-mailové správy možno posielať aj z názvu našej domény na example1.com a example2.com.
Je to veľmi užitočný záznam, ak máme napr nakupovať Na adrese"example1.com“, Chceme však, aby správy z internetového obchodu zákazníkom odchádzali adresa domény spoločnosti, toto je "example.com". v SPF TXT pre „example.com“, podľa potreby zadajte vedľa adresy IP a „include: example1.com“. Aby bolo možné posielať správy v mene organizácie.

Ako nastavím SPF pre IPv4 a IPv6?

Máme poštový server s oboma IPv4 a s IPv6, je veľmi dôležité, aby boli v SPF TXT uvedené obe adresy IP. 

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Ďalej za "ip" smernicu "include„Pridanie domén autorizovaných na odosielanie.

Čo to znamená "~all","-all"A"+allZ SPF?

Ako je uvedené vyššie, poskytovatelia (ISP) môžu stále prijímať e-maily v mene vašej organizácie, aj keď sú odoslané z domény alebo adresy IP, ktorá nie je špecifikovaná v zásadách SPF. Značka „all“ informuje cieľové servery o tom, ako spracovať tieto správy z iných neoprávnených domén a odosielať správy vo vašom mene alebo v mene vašej organizácie.

~all : Ak je správa prijatá z domény, ktorá nie je uvedená v SPT TXT, budú správy akceptované na cieľovom serveri, ale budú označené ako spam alebo podozrivé. Budú podliehať osvedčeným postupom antispamových filtrov poskytovateľa príjemcov.

-all : Toto je najprísnejšia značka pridaná k záznamu SPF. Ak doména nie je uvedená, správa bude označená ako neoprávnená a poskytovateľ ju odmietne. Tiež nebude doručená macv spame.

+all : Táto značka sa používa veľmi zriedkavo a vôbec sa neodporúča. Táto značka umožňuje ostatným odosielať e-maily v mene vás alebo vašej organizácie. Väčšina poskytovateľov automaticky odmieta všetky e-mailové správy, ktoré prichádzajú z domén s SPF TXT."+all“. Práve preto, že pravosť odosielateľa sa nedá overiť, s výnimkou kontroly „hlavičky emailu“.

Zhrnutie: Čo znamená Sender Policy Framework (SPF)?

Autorizuje cez TXT / SPF DNS zónu, IP adresy a názvy domén, ktoré môžu odosielať e-mailové správy z vašej domény alebo spoločnosti. Uplatňuje tiež dôsledky, ktoré sa vzťahujú na správy odoslané z neoprávnených domén.

Čo znamená DMARC a prečo je dôležitý pre váš e-mailový server?

dMarc (Hlásenie a dodržiavanie overovania správ na základe domény) úzko súvisí s politickými normami SPF si DKIM.
DMARC je a validačný systém určené na ochranu názov vašej e-mailovej domény alebo domény vašej spoločnosti, praktiky ako e-mail spoofing a podvody typu phishing.

Pomocou Sender Policy Framework (SPF) a kontrolných štandardov Domain Keys Identified Mail (DKIM) pridáva DMARC veľmi dôležitú funkciu. správy.

Keď vlastník domény zverejní DMARC v oblasti DNS TXT, získa informácie o tom, kto v jeho mene alebo spoločnosti, ktorá vlastní doménu chránenú SPF a DKIM, posiela e-mailové správy. Príjemcovia správ zároveň budú vedieť, či a ako tieto zásady osvedčených postupov sleduje vlastník odosielajúcej domény.

Záznam DMARC v DNS TXT môže byť: 

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

V DMARC môžete nastaviť viac podmienok pre hlásenie incidentov a e-mailové adresy pre analýzu a hlásenia. Odporúča sa používať vyhradené e-mailové adresy pre DMARC, pretože objem prijatých správ môže byť značný.

Značky DMARC je možné nastaviť v súlade s pravidlami uloženými vami alebo vašou organizáciou:

v - verzia existujúceho protokolu DMARC.
p - použiť túto zásadu, keď nie je možné overiť DMARC pre e-mailové správy. Môže mať hodnotu: „none","quarantine"Alebo"reject“. Používa sa "none“, aby ste získali správy o toku správ a stave PINsora.
rua - Je to zoznam adries URL, na ktoré môžu poskytovatelia internetových služieb posielať spätnú väzbu vo formáte XML. Ak sem pridáme e-mailovú adresu, odkaz bude:rua=mailto:feedback@example.com".
ruf – Zoznam adries URL, na ktoré môžu poskytovatelia internetových služieb posielať správy o kybernetických incidentoch a zločinoch spáchaných v mene vašej organizácie. Adresa bude:ruf=mailto:account-email@for.example.com".
rf - Formát hlásenia o počítačovej kriminalite. Dá sa tvarovať"afrf"Alebo"iodef".
pct - Inštruuje ISP, aby aplikoval politiku DMARC len pre určité percento neúspešných správ. Napríklad by sme mohli mať:pct=50%"Alebo zásady"quarantine"A"reject“. Nikdy to nebude akceptované."none".
adkim – Zadajte „Zarovnanie Mode” pre digitálne podpisy DKIM. To znamená, že sa kontroluje zhoda digitálneho podpisu záznamu DKIM s doménou. adkim môže mať hodnoty: r (Relaxed) alebo s (Strict).
aspf - Rovnakým spôsobom ako v prípade adkim Je zadané "Zarovnanie". Mode” pre SPF a podporuje rovnaké hodnoty. r (Relaxed) alebo s (Strict).
sp – Táto zásada sa vzťahuje na to, aby subdoménam odvodeným od domény organizácie umožnila používať hodnotu DMARC domény. Tým sa zabráni používaniu samostatných politík pre každú oblasť. Prakticky ide o „divokú kartu“ pre všetky subdomény.
ri - Táto hodnota nastavuje interval, v ktorom budú prijímané správy XML pre DMARC. Vo väčšine prípadov sa uprednostňuje podávanie správ na dennej báze.
fo - Možnosti pre správy o podvodoch. “forenznú options“. Môžu mať hodnoty „0“ na hlásenie incidentov, keď overenie SPF aj DKIM zlyhá, alebo hodnotu „1“ pre scenár, kde SPF alebo DKIM neexistuje alebo neprejde overením.

Preto, aby ste zaistili, že sa e-maily vašej alebo vašej spoločnosti dostanú do vašej doručenej pošty, musíte zvážiť tieto tri štandardy.“osvedčené postupy pri odosielaní e-mailov". DKIM, SPF si dMarc. Všetky tri štandardy súvisia s DNS TXT a možno ich spravovať zo správcu DNS domény.

Zanietený technológiou, s radosťou píšem na StealthSettings.com od roku 2006. Mám bohaté skúsenosti s operačnými systémami: macOS, Windows a Linux, ako aj s programovacími jazykmi a platformami pre blogovanie (WordPress) a pre online obchody (WooCommerce, Magento, PrestaShop).

Návody napísané mnou.
zvedavosť Google Internet pozoruhodný Návody a IT novinky web hosting
Cloudflare DNS DKIM dMarc DNS zóna EXIM pošta Error Gmail Settings mailová Hosting SPF
Ako » pozoruhodný » Ako nastaviť zónu DNS TXT pre SPF, DKIM a DMARC a ako zabrániť odmietnutiu firemných e-mailových správ službou Gmail – doručovanie pošty zlyhalo

Služba HP HotKey UWP – RAM / CPU Ako používať prášok CBD?

Ako premenovať oddiel BOOTCAMP na macOS - Priečka Windows 10 alebo Windows 11

1 myšlienka na tému „Ako nakonfigurovať zónu TXT DNS pre SPF, DKIM a DMARC a ako zabrániť odmietnutiu firemných e-mailových správ službou Gmail – doručovanie pošty zlyhalo“

  1. Pingback: Zapnite vlastné e-mailové domény iCloud pošta
Pridať komentár

Stealth Settings

Windows

Windows 11

Windows 10

Windows 8 / 8.1

Windows 7

Windows priehľad

Windows XP

Správca úloh

Ako

Microsoft 365 / Office

Microsoft 365 / Office

vynikať

Word

PowerPoint

Outlook

Office 365 Produktivita

Linux & Web Software

Nginx

Apache HTTP Server

PHP

SQL/MySQL

CentOS

ubuntu

web hosting

WordPress & WooCommerce

Security & Antivirus

Awareness

Antivírus a bezpečnosť

malware

spyware

© 2024 Stealth Settings. IT návody a novinky.

Politika utajenia | O súboroch cookie | Kontakt | O nás