如何为 SPF、DKIM 和 DMARC 设置 DNS TXT 区域以及如何防止企业电子邮件被 Gmail 拒绝 - 邮件传递失败

Administrator二德 严重的商业私人电子邮件 它经常面临许多问题和挑战。 从海浪中 垃圾邮件 必须被特定过滤器阻止, 通信安全 在本地电子邮件服务器和远程服务器中, 组态 si 监控 SMTP 服务, POP, IMAP,还有很多很多其他的细节 SPF、DKIM 和 DMARC 配置 遵循安全电子邮件的最佳实践。

很多问题 发送电子邮件收货人 到/从您的供应商,由于区域配置不正确而出现 DNS,电子邮件服务呢。

为了从域名发送电子邮件,它必须是 托管在电子邮件服务器上 正确配置,并且 拥有 DNS 区域的域名防晒指数, MX, DMARC SI DKIM 在管理器中正确设置 DNS TXT 的域。

在今天的文章中,我们将关注一个相当普遍的问题 私人企业电子邮件服务器. 无法向 Gmail、Yahoo! 发送电子邮件要么 iCloud.

发送到@Gmail.com 的邮件会被自动拒绝。 “邮件传递失败:将邮件返回给发件人”

我最近遇到了一个问题 公司的电子邮件域, 电子邮件定期发送给其他公司和个人,其中一些人有地址 @ Gmail.com. 发送到 Gmail 帐户的所有邮件都会立即返回给发件人。 “邮件传递失败:将邮件返回给发件人”。

错误信息返回到电子邮件服务器 EXIM 看起来像这样:

1nSeUV-0005zz-De ** [email protected] R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

在这种情况下,这不是很严重的事情,例如 在垃圾邮件列表中包含发送域名或发送 IP 全球或o 主要配置错误 服务器上的电子邮件服务 (EXIM).
尽管许多人在想到垃圾邮件或 SMTP 配置错误时会立即看到此消息,但问题是由该区域产生的。 DNS TXT 的域。 大多数时候,DKIM 没有在 DNS 区域中配置,或者没有在域的 DNS 管理器中正确传递。 在使用它的人身上经常会发现这个问题 CloudFlare的 作为 DNS 管理员,忘记通过 DNS TXT: mail._domainkey (DKIM), DMARC si 防晒指数.

正如 Gmail 的拒绝消息告诉我们的,发件人域的真实性和身份验证失败。 “此消息没有身份验证信息或未通过\n550-5.7.26 通过身份验证检查。” 这意味着该域没有配置 DNS TXT 来确保收件人电子邮件服务器的可信度。 Gmail,在我们的脚本中。

当我们在 cPanel 或 VestaCP 上添加具有活动电子邮件服务的 Web 域时,会自动创建该域的 DNS 区域中的文件。 包含电子邮件服务配置的 DNS 区域: MX, 防晒指数, DKIM, DMARC.
在我们选择域作为管理器的情况下 DNS CloudFlare,必须将域的托管帐户的DNS区域复制到CloudFlare才能使电子邮件域正常工作。 这就是上述场景中的问题。 在第三方 DNS 管理器中,不存在 DKIM 注册,尽管它存在于本地服务器的 DNS 管理器中。

什么是 DKIM?如果我们在电子邮件域上没有此功能,为什么电子邮件会被拒绝?

域密钥识别邮件(DKIM) 是一种标准的电子邮件域身份验证解决方案,它添加了一个 数字签名 发送的每条消息。 目标服务器可以通过 DKIM 检查消息是否来自发件人的法律域,而不是来自使用发件人身份作为掩码的另一个域。 无论如何,如果你有域名 ABCDqwerty 如果没有 DKIM,电子邮件可能会使用您的域名从其他服务器发送。 如果您想要身份盗窃,在技术上称为 电子邮件欺骗.
发送电子邮件时的常用技术 钓鱼 si 垃圾邮件.

还可以通过 DKIM 确保, 发件人发送后,邮件内容没有改变.

在电子邮件系统的严重主机和 DNS 区域中正确设置 DKIM 可以消除您的邮件可能会到达收件人的垃圾邮件或根本无法到达的大部分可能性。

DKIM 的一个示例是:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

当然,得到的 DKIM 值 RSA加密算法 每个域名都是唯一的,并且可以从主机的电子邮件服务器重新生成。

安装并正确设置 DKIM DNS TXT 管理员,很有可能解决邮件退回到 Gmail 帐户的问题。 至少对于“邮件传递失败”错误:

“SMTP error 数据流水线结束后来自远程邮件服务器:550-5.7.26 此消息没有身份验证信息或未通过\n550-5.7.26 身份验证检查。 为了最好地保护我们的用户免受垃圾邮件的侵害,\n550-5.7.26 消息已被阻止。”

作为一个简短的回顾, DKIM 为发送的每条消息添加数字签名,它允许目标服务器验证发件人的真实性。 如果消息来自您的公司,并且没有使用第三方地址来使用您的身份。

Gmail的 (谷歌)也许 自动拒绝所有消息 来自没有这种 DKIM 数字语义的域。

什么是 SPF,为什么它对于安全的电子邮件发送很重要?

就像 DKIM 一样,并且 防晒指数 旨在防止 网络钓鱼邮件 si 电子邮件欺骗. 这样,发送的邮件将不再被标记为垃圾邮件。

发件人政策框架(SPF) 是对发送消息的域进行身份验证的标准方法。 SPF 条目设置为 TXT DNS 管理器 您的域,并且此条目将指定允许使用您或您组织的域名发送电子邮件的域名、IP 或域。

没有 SPF 的域可以允许垃圾邮件发送者从其他服务器发送电子邮件, 使用您的域名作为掩码. 通过这种方式,它们可以传播 虚假信息可能会要求提供敏感数据 代表您的组织

当然,仍然可以从其他服务器代表您发送邮件,但如果您的域的 SPF TXT 条目中未指定该服务器或域名,它们将被标记为垃圾邮件或被拒绝。

DNS 管理器中的 SPF 值如下所示:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

其中“ip4”是您的电子邮件服务器上的 IPv4。

如何为多个域设置 SPF?

如果我们想授权其他域代表我们的域发送电子邮件,我们将使用值 "include”在 SPF TXT 中:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

这意味着电子邮件也可以从我们的域名发送到 example1.com 和 example2.com。
如果我们有例如一个,这是一个非常有用的记录 网上商店 地址上“例子1.com", 但是我们希望从在线商店给客户的消息离开 公司域名地址,这就是“example.com”。 在 SPF TXT 对于“example.com”,根据需要在 IP 和“include:example1.com”旁边指定。 以便可以代表组织发送消息。

如何为 IPv4 和 IPv6 设置 SPF?

我们有一个邮件服务器,两者都有 IPv4 并与 IPv6,在 SPF TXT 中指定两个 IP 非常重要。

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

接下来,在“ip”之后的指令“include”添加授权运输的域。

这是什么意思 ”~all“,”-all“和”+allSPF的?

如上所述,提供商 (ISP) 仍然可以代表您的组织接收电子邮件,即使它们是从 SPF 策略中未指定的域或 IP 发送的。 “all”标签告诉目标服务器如何处理来自其他未经授权的域的这些邮件并代表您或您的组织发送邮件。

~all :如果邮件是从 SPT TXT 中未列出的域接收的,则邮件将在目标服务器上被接受,但它们将被标记为垃圾邮件或可疑邮件。 他们将受到收件人提供商良好做法的反垃圾邮件过滤器的约束。

-all :这是添加到 SPF 条目的最严格的标签。 如果未列出该域,则该消息将被标记为未授权并被提供商拒绝。 也不会发货 mac在垃圾邮件中。

+all : 很少使用且根本不推荐,此标签允许其他人代表您或您的组织发送电子邮件。 大多数提供商会自动拒绝来自带有 SPF TXT 的域的所有电子邮件。”+all“。 正是因为无法验证发件人的真实性,除非经过“电子邮件标头”检查。

概括: 发件人策略框架 (SPF) 是什么意思?

通过 TXT / SPF DNS 区域、IP 和域名进行授权,可以从您的域或公司发送电子邮件。 它还应用适用于从未经授权的域发送的消息的后果。

DMARC 是什么意思,为什么它对您的电子邮件服务器很重要?

DMARC (基于域的消息身份验证报告和一致性) 与政策标准密切相关 防晒指数 si DKIM.
DMARC 是一个 验证系统 旨在保护 您或您公司的电子邮件域名, 电子邮件欺骗等做法和 网络钓鱼诈骗.

使用发件人策略框架 (SPF) 和域密钥识别邮件 (DKIM) 控制标准,DMARC 添加了一个非常重要的功能。 报告.

当域所有者在 DNS TXT 区域发布 DMARC 时,他或她将获得有关谁代表他或她或拥有受 SPF 和 DKIM 保护的域的公司发送电子邮件的信息。 同时,邮件的收件人将知道这些最佳实践策略是否以及如何由发送域的所有者监控。

DNS TXT 中的 DMARC 记录可以是:

V=DMARC1; rua=mailto:[email protected]; ruf=mailto:[email protected]; p=none; sp=none; fo=0;

在 DMARC 中,您可以设置更多报告事件的条件和用于分析和报告的电子邮件地址。 建议为 DMARC 使用专用电子邮件地址,因为收到的邮件量可能很大。

可以根据您或您的组织实施的政策设置 DMARC 标签:

v - 现有 DMARC 协议的版本。
p - 当无法验证电子邮件的 DMARC 时应用此策略。 它可以具有以下值:“none“,”quarantine“或”reject“。 用来 ”none”获取有关消息流及其状态的报告。
rua - 它是 ISP 可以发送 XML 格式反馈的 URL 列表。 如果我们在这里添加电子邮件地址,链接将是:rua=mailto:[email protected]”。
ruf - ISP 可以代表您的组织发送网络事件和犯罪报告的 URL 列表。地址将是:ruf=mailto:[email protected]“。
rf - 网络犯罪报告格式。 它可以塑造“afrf“或”iodef“。
pct - 指示 ISP 仅对一定百分比的失败消息应用 DMARC 策略。 例如,我们可能有:pct=50%“或政策”quarantine“和”reject“。 它永远不会被接受。”none“。
adkim - 为 DKIM 数字签名指定“对齐模式”。 这意味着将检查带有域的 DKIM 条目的数字签名。 adkim 可以有以下值: r (Relaxed)或 s (Strict).
aspf - 与案件相同 adkim 为 SPF 指定“对齐模式”并支持相同的值。 r (Relaxed)或 s (Strict).
sp - 此策略适用于允许从组织域派生的子域使用域的 DMARC 值。 这避免了对每个区域使用单独的策略。 它实际上是所有子域的“通配符”。
ri - 此值设置接收 DMARC 的 XML 报告的时间间隔。 大多数情况下,最好每天进行报告。
fo - 欺诈报告选项。 “法医 options“。 当 SPF 和 DKIM 验证均失败时,它们的值可能为“0”以报告事件,或者在 SPF 或 DKIM 不存在或未通过验证的情况下,它们的值可能为“1”。

因此,要确保您或您公司的电子邮件到达您的收件箱,您需要考虑这三个标准。”发送电子邮件的最佳实践“。 DKIM, 防晒指数 si DMARC. 所有这三个标准都是 DNS TXT,可以 admin从域的 DNS 管理器。

对技术充满热情,我喜欢测试和编写有关操作系统的教程 macOS,Linux, Windows, 关于 WordPress, WooCommerce 和配置 LEMP 网络服务器(Linux、NGINX、MySQL 和 PHP)。 我写在 StealthSettings.com 自 2006 年以来,几年后我开始撰写 iHowTo.Tips 教程和有关生态系统中设备的新闻 Apple: iPhone,iPad, Apple 手表,HomePod, iMac, MacBook、AirPods 和配件。

发表评论