Light-electric.com

IT Журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как настроить dmarc для домена

Отправляем почту: что такое SPF, DKIM и DMARC

Время чтения — 7 минут.

Ресурсные записи

Ресурсные записи DNS (или DNS-записи домена) – это записи, которые в системе доменных имен указывают соответствие между именем и служебной информацией.

Проще говоря, ресурсные записи связывают имя и служебную информацию о сервере, на который указывает это имя. Например, вы вводите адрес сайта в браузере – и именно DNS-запись позволит вашему провайдеру отправить запрос на сервер с нужным вам сайтом, чтобы затем отобразить его на экране вашего компьютера.

Небольшая справка. DNS (Domain Name System) — это система доменных имен. Она используется для получения информации о доменах, в частности IP-адреса. Более подробно об этом можно прочитать в статье « Введение в терминологию, элементы и понятия DNS ».

Ресурсные записи не ограничиваются только соответствием «домен — IP-адрес». Существует несколько десятков типов ресурсных записей . Каждый тип необходим для работы определенной службы.

В этой статье мы остановимся на элементах ресурсных записей, связанных с почтовыми отправлениями: SPF, DKIM, DMARC. И для начала разберемся в том, с какими проблемами могут столкнуться те, кто хочет сделать свою рассылку.

Мое письмо ушло в спам

«Почему мое письмо попало в папку “Спам”?» — этим вопросом задаются многие начинающие пользователи, которые сделали рассылку по своей базе подписчиков.

Сначала определимся, что такое спам. Спам — это массовая рассылка пользователям, которые не давали согласия на ее получения. Весомую долю спама составляют мошеннические письма. Почтовые сервисы отправляют такие письма в папку «Спам», чтобы уберечь своих пользователей от неприятностей: вирусов, фишинга и других видов интернет-мошенничества.

Естественно, процесс анализа «спам-не спам» проходит в автоматическом режиме — у почтовых сервисов есть свои алгоритмы. После их анализа одни письма отправляются во входящие, а другие исчезают в недрах папки «Спам», в которую многие пользователи даже не заглядывают.

Настройка ресурсных записей дает возможность если не исключить, то хотя бы максимально уменьшить вероятность попадания вашего письма в спам.

SPF (Sender Policy Framework, инфраструктура политики отправителя) — это расширение для протокола отправки электронной почты через SMTP. Используя SPF, владелец домена может указать список серверов, которые смогут отправлять почтовые сообщения с адресом отправителя в этом домене. Иными словами, только указанные серверы смогут отправлять письма от имени этого домена.

Именно настройка SPF-записи защищает домен от несанкционированного использования. Это не позволяет допустить ситуации, когда от имени вашего домена будут рассылаться мошеннические письма.

Поэтому почтовые службы обращают внимание на SPF-запись, а также DKIM и DMARC, о которых будет рассказано далее.

Обязательно проверьте SPF-запись, если почтовые службы отправляют письма, отправленные с помощью phpmail(), в спам.

Как настроить SPF

SPF настраивается как TXT-запись для домена.

Небольшая справка. TXT-запись — это тип ресурсной записи, который содержит дополнительную информацию о домене. Чаще всего TXT-запись используется для подтверждения прав собственности на домен и настройки почтовых данных.

В справочном центре Timeweb есть подробная статья об основном синтаксисе и других механизмах настройки SPF — « Настройка SPF-записи ».

Более подробно ознакомиться с синтаксисом можно в документации SPF .

Если ваш домен расположен на нашем хостинге (и для него указаны NS-серверы Timeweb), то смело обращайтесь в службу поддержки, наши специалисты помогут вам настроить SPF-запись.

Клиентам с другими NS-серверами необходимо обращаться к держателю NS-серверов.

DKIM (DomainKeys Identified Mail) — это метод e-mail аутентификации, который дает возможность получателю проверить, было ли письмо отправлено с заявленного домена.

Главная задача DKIM — это упростить обнаружение электронных писем с поддельными адресами, когда заявленный адрес не соответствует адресу, с которого было отправлено письмо (один из видов мошеннических писем).

DKIM позволяет значительно облегчить идентификацию законной, правомочной электронной почты.

Технология DomainKeys позволяет передавать через DNS открытые ключи шифрования и затем автоматически проверять подпись на стороне получателя письма. Подпись в виде скрытого кода добавляется в письмо, а затем подтверждает получателю, что письмо отправлено именно с того домена, который указан.

Настройки SPF и DKIM подтверждают, что отправитель письма определен и не является мошенником.

Как настроить DKIM

Информация о DKIM есть в нашем справочном центре в статье « Настройка DNS-записей ».

Если вы используете почту Timeweb, то DKIM-подпись создается автоматически: все необходимые настройки автоматически прописываются в тот момент, когда вы создаете первый почтовый ящик на своем домене.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance, идентификация сообщений, создание отчетов и определение соответствия по доменному имени) — это спецификация, направленная на снижение количества мошеннических электронных писем, в частности фишинговых атак.

SPF и DKIM – это хорошие и надежные методы аутентификации отправителя, но они имеют свои недостатки, поэтому была разработана открытая спецификация использования DMARC.

Изначально технология DMARC применялась в Gmail; в данный момент она работает в сервисах Facebook, LinkedIn, Hotmail, Yahoo!, Mail.ru, Яндекс.Почта и других принимающих узлах, которые используют данную технологию.

DMARC позволяет идентифицировать почтовые домены отправителя, основываясь на признаках и правилах, которые заданы на сервере адресата. Стандарт DMARC для принимающих узлов устанавливается в соответствии с механизмами SPF и DKIM, то есть как бы объединяет эти два механизма. И на всех принимающих узлах, поддерживающих эту технологию, будут выдаваться единые результаты.

DMARC дает возможность проверить, соответствует ли домен в заголовке (адрес отправителя) идентификаторам SPF и DKIM. Для того, чтобы письмо прошло проверку, идентификатор должен соответствовать домену, указанному в поле “From” («от»).

Как настроить DMARC

Почтовый сервис Timeweb использует только SPF/DKIM. Но DMARС-запись может быть указана для домена, если домен должен быть настроен для стороннего почтового сервиса, использующего эту спецификацию.

Для настройки DMARC нужно добавить доменную запись в DNS-настройки.

Пример самой простой записи, позволяющей включить режим мониторинга (выполнить тест DMARC и сохранить его результат):

_dmarc.timeweb.com IN TXT “v=DMARC1; p=none”

Такая запись позволить защитить письма, которые будут отправлены от домена timeweb.com, а также от поддоменов (например, mail.timeweb.com).

В этом случае если проверка на стороне получателя покажет, что домен в заголовке “From” соответствует указанному в доменной записи DMARC, то письмо пройдет проверку и попадет в почтовый ящик адресата.

Полную информацию о синтаксисе DMARC можно найти на официальном сайте .

Общие рекомендации

В этой статье советы по настройке почтовых отправлений касаются только SPF, DKIM и DMARC, однако только этими настройками они не ограничиваются. Мы рекомендуем прочитать в нашем справочном центре статью « Рекомендации для рассылок », где рассказывается об общих правилах рассылок, которые обязательно нужно иметь в виду.

Если у вас есть какие-нибудь вопросы, задавайте в комментариях, будем рады помочь!

Отправляем почту: что такое SPF, DKIM и DMARC

Ресурсные записи

Ресурсные записи DNS (или DNS-записи домена) – это записи, которые в системе доменных имен указывают соответствие между именем и служебной информацией.

Проще говоря, ресурсные записи связывают имя и служебную информацию о сервере, на который указывает это имя. Например, вы вводите адрес сайта в браузере – и именно DNS-запись позволит вашему провайдеру отправить запрос на сервер с нужным вам сайтом, чтобы затем отобразить его на экране вашего компьютера.

Небольшая справка. DNS (Domain Name System) — это система доменных имен. Она используется для получения информации о доменах, в частности IP-адреса. Более подробно об этом можно прочитать в статье « Введение в терминологию, элементы и понятия DNS ».

Читать еще:  Ключ в домене

Ресурсные записи не ограничиваются только соответствием «домен — IP-адрес». Существует несколько десятков типов ресурсных записей . Каждый тип необходим для работы определенной службы.

В этой статье мы остановимся на элементах ресурсных записей, связанных с почтовыми отправлениями: SPF, DKIM, DMARC. И для начала разберемся в том, с какими проблемами могут столкнуться те, кто хочет сделать свою рассылку.

Мое письмо ушло в спам

«Почему мое письмо попало в папку “Спам”?» — этим вопросом задаются многие начинающие пользователи, которые сделали рассылку по своей базе подписчиков.

Сначала определимся, что такое спам. Спам — это массовая рассылка пользователям, которые не давали согласия на ее получения. Весомую долю спама составляют мошеннические письма. Почтовые сервисы отправляют такие письма в папку «Спам», чтобы уберечь своих пользователей от неприятностей: вирусов, фишинга и других видов интернет-мошенничества.

Естественно, процесс анализа «спам-не спам» проходит в автоматическом режиме — у почтовых сервисов есть свои алгоритмы. После их анализа одни письма отправляются во входящие, а другие исчезают в недрах папки «Спам», в которую многие пользователи даже не заглядывают.

Настройка ресурсных записей дает возможность если не исключить, то хотя бы максимально уменьшить вероятность попадания вашего письма в спам.

SPF (Sender Policy Framework, инфраструктура политики отправителя) — это расширение для протокола отправки электронной почты через SMTP. Используя SPF, владелец домена может указать список серверов, которые смогут отправлять почтовые сообщения с адресом отправителя в этом домене. Иными словами, только указанные серверы смогут отправлять письма от имени этого домена.

Именно настройка SPF-записи защищает домен от несанкционированного использования. Это не позволяет допустить ситуации, когда от имени вашего домена будут рассылаться мошеннические письма.

Поэтому почтовые службы обращают внимание на SPF-запись, а также DKIM и DMARC, о которых будет рассказано далее.

Обязательно проверьте SPF-запись, если письма, отправленные при помощи функции PHP mail(), попадают в спам.

Как настроить SPF

SPF настраивается как TXT-запись для домена.

Небольшая справка. TXT-запись — это тип ресурсной записи, который содержит дополнительную информацию о домене. Чаще всего TXT-запись используется для подтверждения прав собственности на домен и настройки почтовых данных.

В справочном центре Timeweb есть подробная статья об основном синтаксисе и других механизмах настройки SPF — « Настройка SPF-записи ».

Более подробно ознакомиться с синтаксисом можно в документации SPF .

Если ваш домен расположен на нашем хостинге (и для него указаны NS-серверы Timeweb), то смело обращайтесь в службу поддержки, наши специалисты помогут вам настроить SPF-запись.

Клиентам с другими NS-серверами необходимо обращаться к держателю NS-серверов.

DKIM (DomainKeys Identified Mail) — это метод e-mail аутентификации, который дает возможность получателю проверить, было ли письмо отправлено с заявленного домена.

Главная задача DKIM — это упростить обнаружение электронных писем с поддельными адресами, когда заявленный адрес не соответствует адресу, с которого было отправлено письмо (один из видов мошеннических писем).

DKIM позволяет значительно облегчить идентификацию законной, правомочной электронной почты.

Технология DomainKeys позволяет передавать через DNS открытые ключи шифрования и затем автоматически проверять подпись на стороне получателя письма. Подпись в виде скрытого кода добавляется в письмо, а затем подтверждает получателю, что письмо отправлено именно с того домена, который указан.

Настройки SPF и DKIM подтверждают, что отправитель письма определен и не является мошенником.

Как настроить DKIM

Информация о DKIM есть в нашем справочном центре в статье « Настройка DNS-записей ».

Если вы используете почту Timeweb, то DKIM-подпись создается автоматически: все необходимые настройки автоматически прописываются в тот момент, когда вы создаете первый почтовый ящик на своем домене.

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance, идентификация сообщений, создание отчетов и определение соответствия по доменному имени) — это спецификация, направленная на снижение количества мошеннических электронных писем, в частности фишинговых атак.

SPF и DKIM – это хорошие и надежные методы аутентификации отправителя, но они имеют свои недостатки, поэтому была разработана открытая спецификация использования DMARC.

Изначально технология DMARC применялась в Gmail; в данный момент она работает в сервисах Facebook, LinkedIn, Hotmail, Yahoo!, Mail.ru, Яндекс.Почта и других принимающих узлах, которые используют данную технологию.

DMARC позволяет идентифицировать почтовые домены отправителя, основываясь на признаках и правилах, которые заданы на сервере адресата. Стандарт DMARC для принимающих узлов устанавливается в соответствии с механизмами SPF и DKIM, то есть как бы объединяет эти два механизма. И на всех принимающих узлах, поддерживающих эту технологию, будут выдаваться единые результаты.

DMARC дает возможность проверить, соответствует ли домен в заголовке (адрес отправителя) идентификаторам SPF и DKIM. Для того, чтобы письмо прошло проверку, идентификатор должен соответствовать домену, указанному в поле “From” («от»).

Как настроить DMARC

Почтовый сервис Timeweb использует только SPF/DKIM. Но DMARС-запись может быть указана для домена, если домен должен быть настроен для стороннего почтового сервиса, использующего эту спецификацию.

Для настройки DMARC нужно добавить доменную запись в DNS-настройки.

Пример самой простой записи, позволяющей включить режим мониторинга (выполнить тест DMARC и сохранить его результат):

Такая запись позволить защитить письма, которые будут отправлены от домена timeweb.com, а также от поддоменов (например, mail.timeweb.com).

В этом случае если проверка на стороне получателя покажет, что домен в заголовке “From” соответствует указанному в доменной записи DMARC, то письмо пройдет проверку и попадет в почтовый ящик адресата.

Полную информацию о синтаксисе DMARC можно найти на официальном сайте .

Общие рекомендации

В этой статье советы по настройке почтовых отправлений касаются только SPF, DKIM и DMARC, однако только этими настройками они не ограничиваются. Мы рекомендуем прочитать в нашем справочном центре статью « Рекомендации для рассылок », где рассказывается об общих правилах рассылок, которые обязательно нужно иметь в виду.

Если у вас есть какие-нибудь вопросы, задавайте в комментариях, будем рады помочь!

Настраиваем SPF, DKIM и DMARC на сервере Hmailserver

Цель данной статьи: настроить бесплатный почтовый сервер Hmailserver (Windows) так, чтобы письма отправляемые вашим сервером от имени вашего домена не попадали в СПАМ на других серверах, в том числе на MAIL.RU, YANDEX.RU и GMAIL.COM

Исходные данные

Имеется корпоративный домен вида domainname.tld и локальный почтовый сервер Hmailserver под Windows. С почтовых адресов домена ведется только деловая переписка, общее количество отправляемых писем не превышает 100 штук в сутки, массовые рассылки отсутствуют как класс.

В последнее время все больше и больше получателей стали жаловаться, что отправляемые нами письма у них попадают в СПАМ. При этом у пользователей MAIL.RU попадание в СПАМ было 100% вне зависимости от содержимого письма.

Официальное обращение в MAIL.RU

Я написал письмо в поддержку MAIL.RU. В ответе мне сообщили, что причиной блокировки писем является массовый спам, который отправляется от имени моего домена.

Ответ службы поддержки MAIL.RU

Из рекомендаций полученных от MAIL.RU мне стало ясно, чтобы письма отсылаемые нашим сервером не попадали в СПАМ у получателей мне необходимо настроить SPF, DKIM и DMARC.

Необходимые условия

Для того, чтобы настроить SPF, DKIM и DMARC нам понадобиться доступ к NS серверам управляющими записями для вашего домена и доступ к Windows серверу на котором работает Hmailserver.

Как настроить SPF

Напомню, что SPF-запись указывает список серверов, которые имеют право отправлять письма от имени домена.

Чтобы настроить SPF необходимо добавить TXT запись для вашего домена. Для большинства доменов подойдет следующая универсальная запись:

  • domainname.tld — имя вашего домена;
  • v=spf1 — обязательный параметр;
  • +a — разрешать письма от серверов указанных в A-записи;
  • +mx — разрешать письма от серверов указанных в MX-записи;
  • -all — блокировать письма с остальных серверов.
Читать еще:  Mac os в домен

Опубликовав такую запись для своего домена вы даете четкие инструкции всем почтовым серверам в интернете как поступать с письмами с отправителями из вашего домена. Письма отправленные с серверов, IP адреса которых не указаны в записях A и MX, не являются легитимными и могут получателями трактоваться как SPAM письма.

Как настроить DKIM

DKIM-подпись позволяет получателю проверить, что письмо действительно было отправлено с заявленного домена. Для определения отправителя сообщения DKIM добавляет в него цифровую подпись, связанную с именем домена организации. Эта подпись автоматически проверяется на стороне получателя.

При этом используются пары публичных (открытых) и частых (закрытых) ключей шифрования. Открытый ключ указывается в соответствующей TXT записи домена и используется получателями при декодировании подписи, а закрытый ключ используется на стороне почтового сервера для шифрования подписи.

Таким образом, для настройки DKIM нужно сделать следующее:

  • Сгенерировать пару ключей;
  • Добавить открытый (публичный) ключ в TXT запись вашего домена;
  • Добавить закрытый (частный) ключ на почтовый сервер Hmailserver.

Генерация пары ключей

Самый простой способ сгенерировать пару необходимых нам ключей для DKIM — это воспользоваться сервисом https://port25.com/dkim-wizard/

Поле DomainKey Selector позволяет привязать к одному домену несколько DKIM записей для разных нужд, например если у вас несколько почтовых серверов. У меня только один почтовый сервер и в роли селектора я выбрал просто «mail». Нажмите кнопку [CREATE KEYS] и вы получите пару ключей.

Настройка DKIM в Hmailserver

Приватный ключ необходимо сохранить на Windows сервер где установлен Hmailserver. Для имени файла ключа я использовал значение mail.domainname.tld.pem, а сам файл сохранил на сервере в папку C:pmta.

Далее в настройках домена в Hmailserver необходимо включить поддержку DKIM и указать путь к закрытому ключу.

Не забывайте указать Selector, который вы назначили при генерации ключа.

Настройка DKIM подписи домена

Добавьте подобную TXT запись для вашего домена:

Защищаем почтовый сервер без антивируса. Настройка DKIM-, SPF- и DMARC-записей

Содержание статьи

Немного теории о том, что мы будем настраивать

Итак, прежде чем мы приступим непосредственно к изменению настроек безопасности нашего почтового сервера, нужно разобраться с тем, что именно мы собираемся настраивать. Если тебя не пугают страшные на вид аббревиатуры, состоящие из трех и более заглавных букв латинского алфавита, ты можешь пропустить этот раздел. Остальных приглашаю освежить свои знания, ибо повторение, как гласит народная мудрость, мать учения.

WARNING

Важно помнить, что, к сожалению, настройка DKIM-, SPF- и DMARC-записей не панацея от всех бед. Если почтовый сервер был взломан, эти функции безопасности не смогут защитить от нелегитимного трафика. Поэтому важно заранее продумать эшелонированную защиту системы, включая антиспам-фильтры, антивирусное детектирование и прочее.

Что такое DKIM?

DKIM (Domain Keys Identified Mail) — это, условно говоря, цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки сообщения и остается незаметной для самого пользователя. Поскольку в DKIM используется асимметричная система шифрования, репозиторий сервера всегда хранит два ключа шифрования — открытый (сертификат) и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS-записи в виде TXT-файла.

Статус DKIM проверяется автоматически на стороне получателя при сохранении письма в контейнер (именной почтовый ящик). И если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или же сразу помещено в папку «Спам», в зависимости от настроенной политики безопасности. Кстати, это одна из ключевых причин, почему письма определенных отправителей постоянно попадают в спам, даже несмотря на валидность домена отправителя.

Для работы с DKIM требуется выполнение следующих условий:

  • поддержка DKIM почтовым сервером (а она есть у всех современных почтовиков);
  • создание приватного и публичного ключа шифрования (это нужно сделать ручками);
  • занесение в DNS домена записей, связанных с DKIM (и это тоже ручками).

Принцип работы DKIM

Для интересующихся этой темой в нашем журнале публиковался краткий гайд «Как настроить почтовый сервер для обхода спам-фильтров: руководство по DNS, SPF, DKIM», который поможет тебе взглянуть на проблему рассылки спама, вредоносного ПО и фишинга глазами владельца почтового ботнета.

Что такое SPF?

SPF (Sender Policy Framework) — это еще одна специальная подпись, содержащая информацию о серверах, которые могут отправлять почту с твоего домена. То есть SPF позволяет владельцу домена указать в TXT-записи для DNS-домена специальным образом сформированную строку, содержащую весь список серверов, которые имеют право отправлять email-сообщения с обратными адресами в этом домене. А если сказать то же самое понятными словами, то в этой записи мы сообщаем, с каких почтовых серверов можно посылать письма от имени сотрудников нашей компании. Воу! Вот так просто! В общем, наличие SPF снижает вероятность, что твое письмо попадет в спам.

Важно помнить, что SPF-запись должна быть только одна для одного домена, хотя уже в рамках одной SPF может содержаться несколько записей. И надо сказать, что для поддоменов будут нужны свои записи. И никак иначе! Безопасность требует времени и усердия.

Принцип работы SPF

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это еще одна подпись, которая позволяет серверу получателя принять решение, что делать с пришедшим письмом. Важно заметить, что DMARC — это скорее дополнительная фича к уже используемым DKIM и SPF. Например, если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC. Все логично. А вот если письмо успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC оно тоже преодолеет. Также при помощи DMARC можно получать репорты от почтовых систем с информацией, сколько через них пыталось пройти или прошло поддельных сообщений на ваш домен. Из сказанного становится понятно, что DMARC добавляется только после того, как уже настроены записи SPF и DKIM.

Принцип работы DMARC

От чего нельзя защититься с помощью DKIM, SPF и DMARC

С использованием DKIM, SPF и DMARC можно противостоять email-спуфингу и распространению малвари. Однако важно понимать, что это не гарантирует безопасности в случае взлома сервера, например путем компрометации админки или применения эксплоита, а также если письма форвардятся через иные почтовые сервисы с сомнительной репутацией или с полностью отсутствующими записями DKIM, SPF и DMARC.

Некоторые полезные ссылки для проверки корректности настройки DKIM- и SPF-записей, а также репутации домена:

SPF Policy Tester — онлайн-сервис проверки корректности SPF-записи. Для проведения теста на сайте указываешь почтовый адрес, с которого хочешь отправлять письма, и IP-адрес почтового сервера. Если все хорошо, то после нескольких секунд ожидания внизу страницы должна появиться зеленая надпись PASS .

Dkimvalidator.com — разработчики этого сервиса дают тебе адрес почты, на который нужно выслать письмо. После этого можно просмотреть отчет о валидности DKIM. Все просто!

Mail-tester.com — еще один вариант аналогичного сервиса, где тебе предоставляется адрес почты для отправки тестового сообщения, а после этого можно посмотреть отчет о доставке. Если возникли проблемы, из представленного репорта можно понять, в чем именно заключаются косяки.

Читать еще:  Войти в домен

Также не стоит забывать о регистрации своего сервера в службах постмастера для публичных почтовых серверов (если ты, конечно, администрируешь такой сервер). Это позволит тебе не только получать статистику по рассылкам, но и заработать чуть больше доверия от этого почтового сервиса. Вот самые известные и часто используемые постмастеры: Mail.RU, Yandex и Gmail.

Практика и еще раз практика

В практической части мы рассмотрим конфигурирование описанных выше настроек безопасности на примере двух наиболее популярных почтовых серверов — опенсорсного Postfix на Debian (ну, или Ubuntu Server) и проприетарного Microsoft Exchange Server 2013+. Предполагается, что почтовые серверы у тебя уже установлены и настроены под твой домен, поэтому рассматривать будем только само конфигурирование фич на обезличенных данных.

Настраиваем SPF, DKIM и DMARC на Postfix (Debian)

Общий принцип работы нашего почтового сервера будет таков:

  1. Принимающий сервер получает письмо с адреса info@example.com, отправленное с сервера mx.example.com.
  2. Сервер получателя делает запрос к DNS для домена example.com и ищет записи SPF и DKIM.
  3. В случае если записей нет, письму проставляется статус neutral (конкретно по этим проверкам) и письмо проверяется дополнительными фильтрами.
  4. В случае если записи обнаружены, проверяется, разрешено ли серверу mx.example.com отправлять почту домена example.com.
  5. Если домен mx.example.com не найден в списке разрешенных, то или письмо отбрасывается, или ему устанавливается статус neutral.
  6. Если домен mx.example.com таки найден в списке разрешенных, письму устанавливается статус Pass и повышается его рейтинг при прохождении других фильтров.

WARNING

Перед любыми операциями по конфигурированию системы не забывай сделать бэкап! Даже одна неправильно включенная опция может отрезать всех пользователей от получения и отправки почтовой корреспонденции. И обязательно тестируй все изменения перед переносом в их продакшен!

Настройка SPF-записи

Если ты отправляешь все сообщения только с одного сервера (почтовые клиенты не считаются), то в SPF-записи будет достаточно указать IP-адрес этого сервера:

  • v=spf1 — используемая версия SPF;
  • + — принимать корреспонденцию (Pass). Этот параметр установлен по умолчанию. То есть, если никаких параметров не установлено, это автоматически Pass ;
  • — — отклонить (Fail);

— мягкое отклонение (SoftFail). Письмо будет принято, но будет помечено как спам;

  • ? — нейтральное отношение, то есть никаких действий не предпринимать;
  • mx — включает в себя все адреса серверов, указанные в MX-записях домена;
  • ip4 — опция позволяет указать конкретный IP-адрес или подсеть IP-адресов;
  • a — указываем поведение в случае получения письма от конкретного домена;
  • include — включает в себя хосты, разрешенные SPF-записью указанного домена;
  • all — все остальные серверы, не перечисленные в SPF-записи.
  • Продолжение доступно только участникам

    Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

    Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

    Вариант 2. Открой один материал

    Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

    Иван Пискунов

    Технический эксперт, ресерчер, участник CTF-команды CraZY Geek$, 10 лет в индустрии ИБ. Автор блога ipiskunov.blogspot.com. Канал в telegram @w2hack или t.me/w2hack. Увлекается миром Unix, malware analysis, reverse engineering и тестированием сетей на проникновение

    Check Also

    Захват поддоменов. Как я захватил поддомены Microsoft и как работают такие атаки

    Несколько лет назад мне удалось захватить поддомены на сайтах компании Microsoft и получит…

    Политика DMARC — что это и зачем она нужна

    Политика DMARC — что это

    Domain-based Message Authentication, Reporting & Conformance (DMARC) — политика проверки подлинности отправителя электронного письма, основанная на протоколах DKIM и SPF. Данная политика определяет, как почтовый сервер получателя должен обрабатывать входящие письма, если адрес отправителя не удалось идентифицировать.

    Зачем нужна политика DMARC

    Политика DMARC защищает владельцев доменов от отрицательных последствий мошеннических действий. Злоумышленники рассылают мошеннические письма с доменов авторитетных компаний. Получатели помечают их как спам и в результате страдает репутация владельца домена, с которого они отправляются.

    Как работает DMARC

    Проверяется, соответствует ли домен email адреса в строке «От:» идентификаторам проверки SPF и подписи DKIM. Если совпадение полное, письмо отправляется во входящие получателя, если есть сомнения, оно обрабатывается согласно выбранной политике DMARC:

    1. «none» — письмо попадает во входящие получателя. Владельцу домена приходит отчет с информацией об отправке сообщения для анализа, кто отправляет письма от данного имени и разрешено ли им это делать.
    2. «quarantine» — email сервер получателя отправляет письмо в папку «Спам», владельцы домена продолжают анализировать данные.
    3. «reject» — письма, не прошедшие проверку DMARC, отклоняются и не попадают ни в одну папку почтового ящика получателя. Устанавливая данный тип политики, убедитесь, что третьи лица, которым разрешено отправлять сообщения от вашего имени, добавлены в белый список, иначе их письма также будут отклонены. Это относится и к CRM системам и сервисам email рассылок.

    Проверить, используются ли мониторинговые инструменты для вашего домена, можно с помощью URlports, а dmarcian подскажет детали DMARC записи для любого доменного имени.

    Массовые рассылки и DMARC политика

    Некоторые бесплатные почтовые сервисы, например Mail.ru, AOL, Yahoo, используют политику DMARC, чтобы запретить массовые email кампании через сторонние сервисы рассылок. Поэтому SendPulse, как и другие сервисы рассылок, ограничивает возможность отправлять email кампании c адресов с такими доменными именами.

    Мы рекомендуем зарегистрировать свой домен и настроить для него почту. Вы также можете использовать почтовый сервис, который еще не внедрил политику DMARC. Но такое решение не гарантирует доставку писем адресатам и они все так же могут уходить в папку «Спам».

    Как настроить DMARC

    1. Проведите ревизию писем, отправляемых с вашего домена, включая системные письма с серверов и другого оборудования, отчеты о доставке писем (DSN и NDR), внутренние списки рассылок и тому подобное, и добавьте в белый список все легитимные адреса
    2. Настройте SPF-запись и DKIM-подпись для необходимого домена.
    3. В разделе управления DNS-зонами домена опубликуйте DMARC-запись с установленным для политик флагом «none» , который запрашивает отчеты о данных.
    4. Проанализируйте данные и измените флаги политики DMARC с «none» на «quarantine» или «reject» , в зависимости от того, как вы хотите, чтобы письма от неавторизованных отправителей обрабатывались сервером получателя.

    Пример записи:
    v=DMARC1;p=reject;rua=mailto:example@domain.com;ruf=mailto:email@domain.com;fo=s

    где:
    v — версия протокола, равна DMARC1. Этот параметр означает, что именно эта запись определяет политику DMARC, и должен быть первым в записи.

    p — политика обработки писем. Указывается один из возможных вариантов — none, quarantine или reject.

    rua — email адрес для получения статистических отчетов. Адрес должен принадлежать тому же домену, для которого настраивается DMARC запись.

    ruf — email адрес для получения отчетов о непройденных проверках аутентификации. Так как каждая ошибка при проверке адреса отправителя генерирует отдельный отчет, лучше указывать отдельный почтовый ящик для этого.

    fo — определяет, в каких случаях будут отправляться отчёты владельцу домена.

    Возможные значения fo :

    0 — отчет отправляется, если не пройдены проверки SPF и DKIM. Установлено значением по умолчанию.

    1 — отчет отправляется, если не пройдена одна из проверок — или SPF, или DKIM.

    d — отчет отправляется при каждой проваленной проверке ключа DKIM.

    s — отчет отправляется при каждой проваленной проверке механизма SPF.

    Оценка: 2 / 5 (46)

    Ссылка на основную публикацию
    Adblock
    detector