Como configurar a zona DNS TXT para SPF, DKIM e DMARC e como impedir que mensagens de e-mail comerciais sejam rejeitadas pelo Gmail - Falha na entrega de e-mail

Administratorii de e-mail privado grave para negócios muitas vezes enfrenta muitos problemas e desafios. Das ondas de SPAM que devem ser bloqueados por filtros específicos, segurança de correspondência no servidor de e-mail local e servidores remotos, configuração si monitoramento de serviços SMTP, POP, IMAP, além de muitos e muitos outros detalhes Configuração SPF, DKIM e DMARC para seguir as melhores práticas para envio de e-mail seguro.

Muitos problemas enviar mensagens de e-mail ou consignatário de/para seus provedores, aparecem devido à configuração incorreta da área DNS, e quanto ao serviço de e-mail.

Para que os e-mails sejam enviados de um nome de domínio, ele deve ser hospedado em um servidor de e-mail Devidamente configurado e nome de domínio para ter zonas DNS para SPF, MX, DMARC SI DKIM configurado corretamente no gerenciador DNS TXT do domínio.

No artigo de hoje vamos nos concentrar em um problema bastante comum servidores de e-mail empresarial privado. Não é possível enviar e-mail para o Gmail, Yahoo! ou iCloud.

As mensagens enviadas para @ Gmail.com são rejeitadas automaticamente. "Entrega da correspondência falhou: retornando mensagem para o remetente"

Recentemente encontrei um problema em um domínio de e-mail de uma empresa, a partir do qual são enviados regularmente e-mails a outras empresas e a particulares, alguns dos quais com endereços @ Gmail.com. Todas as mensagens enviadas para contas do Gmail retornaram imediatamente ao remetente. "Entrega da correspondência falhou: retornando mensagem para o remetente".

Mensagem de erro retornada ao servidor de e-mail em EXIM se parece com isso:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

Neste cenário não é algo muito grave, como inclua o nome de domínio de envio ou o IP de envio em uma lista de SPAM global ou o erro de configuração principal de serviços de e-mail no servidor (EXIM).
Mesmo que muitas pessoas vejam essa mensagem imediatamente quando pensam em SPAM ou erro de configuração de SMTP, o problema é gerado pela área. DNS TXT do domínio. Na maioria das vezes, o DKIM não está configurado na zona DNS ou não é passado corretamente no gerenciador DNS do domínio. Este problema é frequentemente encontrado em quem o usa CloudFlare como DNS Manager e esqueça de passar DNS TXT: mail._domainkey (DKIM), DMARC si SPF.

Como a mensagem de rejeição do Gmail nos diz, a autenticidade e a autenticação do domínio do remetente falharam. “Esta mensagem não possui informações de autenticação ou falha ao \ n550-5.7.26 passar nas verificações de autenticação. ” Isso significa que o domínio não possui TXT DNS configurado para garantir a credibilidade do servidor de e-mail do destinatário. Gmail, em nosso script.

Quando adicionamos um domínio web com um serviço de e-mail ativo no cPanel ou VestaCP, os arquivos na zona DNS desse domínio são criados automaticamente. Zona DNS que inclui configuração de serviço de e-mail: MX, SPF, DKIM, DMARC.
Na situação em que escolhemos o domínio para ser o gerenciador DNS CloudFlare, a área DNS da conta de hospedagem do domínio deve ser copiada para CloudFlare para que o domínio de email funcione corretamente. Esse foi o problema no cenário acima. Em um gerenciador de DNS de terceiros, o registro DKIM não existe, embora exista no gerenciador de DNS do servidor local.

O que é DKIM e por que os e-mails são rejeitados se não tivermos esse recurso em um domínio de e-mail?

Correio identificado por DomainKeys (DKIM) é uma solução padrão de autenticação de domínio de e-mail que adiciona um As assinaturas digitais cada mensagem enviada. Os servidores de destino podem verificar por meio do DKIM se a mensagem vem do domínio legal do remetente e não de outro domínio que usa a identidade do remetente como máscara. Por todas as contas, se você tiver o domínio ABCDqwerty.com sem DKIM, e-mails podem ser enviados de outros servidores usando seu nome de domínio. É se você quiser um roubo de identidade, que em termos técnicos é chamado spoofing de email.
Uma técnica comum ao enviar mensagens de e-mail Phishing si Spam.

Também pode ser assegurado através do DKIM que, o conteúdo da mensagem não foi alterado após o envio pelo remetente.

Ter o DKIM configurado corretamente no host estrito do sistema de e-mail e na área DNS também elimina a possibilidade de suas mensagens chegarem ao SPAM para o destinatário ou não chegarem.

Um exemplo de um DKIM é:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Obviamente, o valor DKIM obtido por Algoritmo de criptografia RSA é exclusivo para cada nome de domínio e pode ser gerado novamente a partir do servidor de e-mail do host.

Tendo o DKIM instalado e configurado corretamente em DNS TXT gerente, é muito possível resolver o problema das mensagens devolvidas às contas do Gmail. Pelo menos para o erro "Falha na entrega de e-mail":

“SMTP error do servidor de e-mail remoto após o fim do pipeline de dados: 550-5.7.26 Esta mensagem não tem informações de autenticação ou não passa \ n550-5.7.26 verificações de autenticação. Para proteger melhor nossos usuários contra spam, a mensagem \ n550-5.7.26 foi bloqueada. ”

Como uma breve recapitulação, DKIM adiciona uma assinatura digital a cada mensagem enviada, que permite que os servidores de destino verifiquem a autenticidade do remetente. Se a mensagem veio de sua empresa e o endereço de terceiros não foi usado para usar sua identidade.

Gmail (Google) talvez rejeita automaticamente todas as mensagens provenientes de domínios que não possuem essa semântica digital DKIM.

O que é SPF e por que é importante para o envio seguro de e-mail?

Assim como DKIM, e SPF visa prevenir mensagens de phishing si spoofing de email. Dessa forma, as mensagens enviadas não serão mais marcadas como spam.

Estrutura de Política do Remetente (SPF) é um método padrão de autenticação do domínio do qual as mensagens são enviadas. As entradas SPF são definidas para Gerenciador de DNS TXT do seu domínio e essa entrada especificará o nome de domínio, IP ou domínios que têm o direito de enviar mensagens de e-mail usando o nome de domínio seu ou de sua organização.

Um domínio sem SPF pode permitir que spammers enviem emails de outros servidores, usando seu nome de domínio como uma máscara. Desta forma, eles podem se espalhar informação falsa ou dados sensíveis podem ser solicitados em nome de sua organização

É claro que as mensagens ainda podem ser enviadas em seu nome de outros servidores, mas elas serão marcadas como spam ou rejeitadas se esse servidor ou nome de domínio não estiver especificado na entrada SPF TXT do seu domínio.

Um valor SPF no gerenciador de DNS se parece com isso:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Onde "ip4" é IPv4 no seu servidor de e-mail.

Como faço para definir o SPF para vários domínios?

Se quisermos autorizar outros domínios a enviar mensagens de e-mail em nome do nosso domínio, iremos especificá-los com o valor "include”Em SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Isso significa que as mensagens de e-mail também podem ser enviadas de nosso nome de domínio para example1.com e example2.com.
É um registro muito útil se tivermos, por exemplo, um compras No endereço "example1.com", Mas queremos que as mensagens da loja online para os clientes saiam endereço de domínio da empresa, sendo este "example.com“. Dentro FPS TXT para "example.com", conforme necessário para especificar ao lado de IP e "incluir: example1.com". Para que as mensagens possam ser enviadas em nome da organização.

Como defino o SPF para IPv4 e IPv6?

Temos um servidor de correio com ambos IPv4 e com IPv6, é muito importante que ambos os IPs sejam especificados no SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Em seguida, após o "ip" a diretiva "include”Para adicionar domínios autorizados para envio.

O que isto significa "~all","-all"E"+allDo FPS?

Conforme mencionado acima, os provedores (ISPs) ainda podem receber emails em nome de sua organização, mesmo que sejam enviados de um domínio ou IP que não esteja especificado na política SPF. A tag "all" informa aos servidores de destino como lidar com essas mensagens de outros domínios não autorizados e enviar mensagens em seu nome ou de sua organização.

~all : Se a mensagem for recebida de um domínio não listado no SPT TXT, as mensagens serão aceitas no servidor de destino, mas serão marcadas como spam ou suspeitas. Eles estarão sujeitos às melhores práticas dos filtros antispam do provedor destinatário.

-all : esta é a tag mais estrita adicionada a uma entrada SPF. Se o domínio não estiver listado, a mensagem será marcada como não autorizada e será rejeitada pelo provedor. Também não será entregue macem spam.

+all : Muito raramente usada e não recomendada, esta tag permite que outras pessoas enviem e-mails em seu nome ou de sua organização. A maioria dos provedores rejeita automaticamente todas as mensagens de e-mail provenientes de domínios com SPF TXT."+all“. Precisamente porque a autenticidade do remetente não pode ser verificada, exceto após uma verificação de "cabeçalho de e-mail".

Resumo: O que significa o Sender Policy Framework (SPF)?

Autoriza através da zona DNS TXT/SPF, IPs e nomes de domínio que podem enviar mensagens de e-mail do seu domínio ou empresa. Também aplica as consequências que se aplicam às mensagens enviadas de domínios não autorizados.

O que significa DMARC e por que é importante para o seu servidor de e-mail?

DMARC (Relatórios e conformidade de autenticação de mensagem baseada em domínio) está intimamente ligado aos padrões de política SPF si DKIM.
DMARC é um sistema de validação projetado para proteger seu nome de domínio de e-mail ou de sua empresa, práticas como falsificação de e-mail e golpes de phishing.

Usando os padrões de controle Sender Policy Framework (SPF) e Domain Keys Identified Mail (DKIM), o DMARC adiciona um recurso muito importante. relatórios.

Quando um proprietário de domínio publica DMARC na área DNS TXT, ele obterá informações sobre quem envia mensagens de e-mail em seu nome ou da empresa proprietária do domínio protegido por SPF e DKIM. Ao mesmo tempo, os destinatários das mensagens saberão se e como essas políticas de boas práticas são monitoradas pelo proprietário do domínio de envio.

Um registro DMARC no DNS TXT pode ser:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

No DMARC você pode colocar mais condições para reportar incidentes e endereços de e-mail para análises e reportes. É aconselhável usar endereços de e-mail dedicados para DMARC, pois o volume de mensagens recebidas pode ser significativo.

As tags DMARC podem ser definidas de acordo com a política imposta por você ou sua organização:

v - versão do protocolo DMARC existente.
p - aplique esta política quando o DMARC não puder ser verificado para mensagens de e-mail. Pode ter o valor: “none","quarantine"Ou"reject“. É usado "none”Para obter relatórios sobre fluxo de mensagens e status.
rua - É uma lista de URLs em que os ISPs podem enviar feedback em formato XML. Se adicionarmos o endereço de e-mail aqui, o link será:rua=mailto:feedback@example.com".
ruf - A lista de URLs em que os ISPs podem enviar relatórios de incidentes cibernéticos e crimes cometidos em nome de sua organização. O endereço será:ruf=mailto:account-email@for.example.com".
rf - Formato de relatório de crimes cibernéticos. Pode ser moldado"afrf"Ou"iodef".
pct - Instrui o ISP a aplicar a política DMARC apenas para uma certa porcentagem de mensagens com falha. Por exemplo, podemos ter:pct=50%"Ou políticas"quarantine"E"reject“. Nunca será aceito."none".
adkim - Especifica o “Modo de alinhamento” para assinaturas digitais DKIM. Isso significa que a assinatura digital de uma entrada DKIM com o domínio é verificada. adkim pode ter os valores: r (Relaxed) ou s (Strict).
aspf - Da mesma forma que no caso adkim "Modo de Alinhamento" é especificado para SPF e suporta os mesmos valores. r (Relaxed) ou s (Strict).
sp - Esta política se aplica para permitir que subdomínios derivados do domínio da organização usem o valor DMARC do domínio. Isso evita o uso de políticas separadas para cada área. É praticamente um "curinga" para todos os subdomínios.
ri - Este valor define o intervalo em que os relatórios XML serão recebidos para DMARC. Na maioria das vezes, o relatório é preferível diariamente.
fo - Opções para relatórios de fraude. “Forense options“. Eles podem ter valores de "0" para relatar incidentes quando a verificação SPF e DKIM falham, ou o valor "1" para o cenário em que o SPF ou DKIM não existe ou não passa na verificação.

Portanto, para garantir que os e-mails seus ou de sua empresa cheguem à sua caixa de entrada, você precisa considerar esses três padrões.”melhores práticas para enviar e-mails". DKIM, SPF si DMARC. Todos esses três padrões são DNS TXT e podem ser admindo gerenciador de DNS do domínio.

Apaixonado por tecnologia, gosto de testar e escrever tutoriais sobre sistemas operacionais macOSLinux, Windowssobre WordPress, WooCommerce e configurar servidores web LEMP (Linux, NGINX, MySQL e PHP). eu escrevo em StealthSettings.com desde 2006, e alguns anos depois, comecei a escrever no iHowTo.Tips tutoriais e notícias sobre dispositivos no ecossistema Apple: iPhone, iPad, Apple Assistir, HomePod, iMac, MacBook, AirPods e acessórios.

Deixe um comentário