Hoe de DNS TXT-zone in te stellen voor SPF, DKIM en DMARC en hoe te voorkomen dat zakelijke e-mailberichten worden geweigerd door Gmail - Bezorging van e-mail mislukt

Administratorii van ernstige privé-e-mail voor bedrijven het wordt vaak geconfronteerd met veel problemen en uitdagingen. Van de golven van sPAM die moeten worden geblokkeerd door specifieke filters, correspondentie beveiliging in de lokale e-mailserver en externe servers, configuratie si SMTP-services bewaken, POP, IMAP, plus heel veel andere details SPF-, DKIM- en DMARC-configuratie om best practices voor veilig e-mailen te volgen.

Veel problemen e-mailberichten verzenden of geadresseerde van / naar uw providers, verschijnen als gevolg van een onjuiste configuratie van het gebied DNS, hoe zit het met de e-mailservice.

Om e-mails te kunnen verzenden vanaf een domeinnaam, moet het zijn: gehost op een e-mailserver Goed geconfigureerd, en domeinnaam om DNS-zones te hebben voor SPF, MX, DMARC SI DKIM correct ingesteld in de manager TXT-DNS van het domein.

In het artikel van vandaag zullen we ons concentreren op een vrij algemeen probleem privé zakelijke e-mailservers. Kan geen e-mail verzenden naar Gmail, Yahoo! of iCloud.

Berichten die naar @ Gmail.com worden verzonden, worden automatisch geweigerd. “Mailbezorging mislukt: bericht terugsturen naar afzender”

Ik heb onlangs een probleem ondervonden op een e-maildomein van een bedrijf, van waaruit regelmatig e-mails worden verzonden naar andere bedrijven en naar individuen, van wie sommigen een adres hebben @ Gmail.com. Alle berichten die naar Gmail-accounts worden verzonden, worden onmiddellijk teruggestuurd naar de afzender. "Mailbezorging mislukt: bericht terugsturen naar afzender".

Foutbericht teruggestuurd naar de e-mailserver op EXIM het lijkt hierop:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

In dit scenario is het niet iets heel ernstigs, zoals: de verzendende domeinnaam of het verzendende IP opnemen in een SPAM-lijst globaal of uit grote configuratiefout van e-maildiensten op server (EXIM).
Zelfs als velen, wanneer ze dit bericht zien, onmiddellijk denken aan SPAM of een SMTP-configuratiefout, wordt het probleem veroorzaakt door het gebied. TXT-DNS van het domein. Meestal is DKIM niet geconfigureerd in de DNS-zone of wordt het niet correct doorgegeven in de DNS-manager van het domein. Dit probleem komt vaak voor bij degenen die het gebruiken CloudFlare als DNS Manager en vergeet door te geven TXT-DNS: mail._domeinsleutel (DKIM), DMARC si SPF.

Zoals het afwijzingsbericht van Gmail ons vertelt, is de authenticiteit en authenticatie van het afzenderdomein mislukt. “Dit bericht bevat geen authenticatie-informatie of slaagt \ n550-5.7.26 niet voor authenticatiecontroles.” Dit betekent dat het domein geen DNS TXT heeft geconfigureerd om de geloofwaardigheid van de e-mailserver van de ontvanger te garanderen. Gmail, in ons script.

Wanneer we een webdomein toevoegen met een actieve e-mailservice op zijn cPanel VestaCP, worden ook automatisch de bestanden in het DNS-gebied van het betreffende domein aangemaakt. DNS-zone die de configuratie van de e-mailservice omvat: MX, SPF, DKIM, DMARC.
In de situatie waarin we het domein kiezen als beheerder CloudFlare DNS, moet het DNS-gebied van het hostingaccount van het domein naar CloudFlare worden gekopieerd om het e-maildomein correct te laten werken. Dat was het probleem in het bovenstaande scenario. In een DNS-manager van een derde partij bestaat DKIM-registratie niet, hoewel deze wel bestaat op de DNS-manager van de lokale server.

Wat is DKIM en waarom worden e-mails afgewezen als we deze functie niet hebben op een e-maildomein?

DomainKeys geïdentificeerde e-mail (DKIM) is een standaard verificatieoplossing voor e-maildomeinen die een digitale handtekening elk verzonden bericht. De doelservers kunnen via DKIM controleren of het bericht afkomstig is uit het rechtsgebied van de afzender en niet uit een ander domein dat de identiteit van de afzender als masker gebruikt. Door alle accounts, als je het domein hebt abcdqwerty.com zonder DKIM kunnen e-mails vanaf andere servers worden verzonden met uw domeinnaam. Het is als je een identiteitsdiefstal wilt, wat in technische termen heet e-mail spoofing.
Een veelgebruikte techniek bij het verzenden van e-mailberichten Phishing si spam.

Via DKIM kan er ook voor worden gezorgd dat, de inhoud van het bericht is niet gewijzigd nadat het door de afzender is verzonden.

Als DKIM correct is ingesteld op de strikte host van het e-mailsysteem en in het DNS-gebied, wordt ook de mogelijkheid geëlimineerd dat uw berichten SPAM bij de ontvanger bereiken of helemaal niet bereiken.

Een voorbeeld van een DKIM is:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Natuurlijk, de DKIM-waarde verkregen door RSA-coderingsalgoritme is uniek voor elke domeinnaam en kan opnieuw worden gegenereerd vanaf de e-mailserver van de host.

DKIM geïnstalleerd en correct ingesteld hebben in TXT-DNS manager, is het heel goed mogelijk om het probleem op te lossen van berichten die worden teruggestuurd naar Gmail-accounts. Ten minste voor de fout 'Bezorging van e-mail mislukt':

"SMTP" error van externe e-mailserver na gepijplijnd einde van gegevens: 550-5.7.26 Dit bericht bevat geen authenticatie-informatie of slaagt \ n550-5.7.26 niet voor authenticatiecontroles. Om onze gebruikers zo goed mogelijk te beschermen tegen spam, is het \n550-5.7.26 bericht geblokkeerd.”

Als een korte samenvatting, DKIM voegt een digitale handtekening toe aan elk verzonden bericht, waarmee de bestemmingsservers de authenticiteit van de afzender kunnen verifiëren. Als het bericht afkomstig is van uw bedrijf en het adres van de derde partij niet is gebruikt om uw identiteit te gebruiken.

Gmail (Google) misschien weigert automatisch alle berichten afkomstig van domeinen die niet zo'n DKIM digitale semantiek hebben.

Wat is SPF en waarom is het belangrijk voor het veilig verzenden van e-mail?

Net als DKIM, en SPF heeft tot doel te voorkomen phishing-berichten si e-mail spoofing. Op deze manier worden de verzonden berichten niet langer als spam gemarkeerd.

Afzenderbeleidskader (SPF) is een standaardmethode voor het verifiëren van het domein van waaruit berichten worden verzonden. SPF-vermeldingen zijn ingesteld op TXT DNS-beheerder van uw domein en dit item specificeert de domeinnaam, IP of domeinen die het recht hebben om e-mailberichten te verzenden met de domeinnaam van u of uw organisatie.

Met een domein zonder SPF kunnen spammers e-mails verzenden vanaf andere servers, uw domeinnaam als masker gebruiken. Op deze manier kunnen ze zich verspreiden valse informatie of gevoelige gegevens kunnen worden opgevraagd namens uw organisatie

Natuurlijk kunnen berichten nog steeds namens u worden verzonden vanaf andere servers, maar ze worden gemarkeerd als spam of worden afgewezen als die server of domeinnaam niet is opgegeven in de SPF TXT-vermelding van uw domein.

Een SPF-waarde in DNS-manager ziet er als volgt uit:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Waar "ip4" IPv4 is op uw e-mailserver.

Hoe stel ik SPF in voor meerdere domeinen?

Als we andere domeinen willen machtigen om namens ons domein e-mailberichten te verzenden, zullen we deze specificeren met de waarde "include”In SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Dit betekent dat er ook e-mailberichten kunnen worden verzonden vanaf onze domeinnaam naar voorbeeld1.com en voorbeeld2.com.
Het is een zeer nuttige plaat als we er bijvoorbeeld een hebben winkelen Op het adres"example1.com", Maar we willen dat de berichten van de online winkel naar klanten vertrekken bedrijfsdomeinadres, dit wezen "example.com'. In SPF-TXT voor "example.com", zoals nodig om op te geven naast IP en "include: example1.com". Zodat er namens de organisatie berichten kunnen worden verstuurd.

Hoe stel ik SPF in voor IPv4 en IPv6?

We hebben een mailserver met beide IPv4 en IPv6, is het erg belangrijk dat beide IP's worden gespecificeerd in de SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Vervolgens, na de "ip" de richtlijn "include”Om domeinen toe te voegen die geautoriseerd zijn voor verzending.

Wat betekent het "~all","-all"En"+allVan de SPF?

Zoals hierboven vermeld, kunnen providers (ISP's) nog steeds e-mails ontvangen namens uw organisatie, zelfs als ze zijn verzonden vanaf een domein of IP-adres dat niet is gespecificeerd in het SPF-beleid. De tag "all" vertelt bestemmingsservers hoe deze berichten van andere niet-geautoriseerde domeinen moeten worden verwerkt en namens u of uw organisatie berichten moeten verzenden.

~all : Als het bericht wordt ontvangen van een domein dat niet wordt vermeld in de SPT TXT, worden de berichten geaccepteerd op de doelserver, maar worden ze gemarkeerd als spam of verdacht. Ze zullen worden onderworpen aan de anti-spamfilters van goede praktijken van de ontvangende provider.

-all : Dit is de strengste tag die aan een SPF-item is toegevoegd. Als het domein niet in de lijst staat, wordt het bericht gemarkeerd als ongeautoriseerd en wordt het door de provider geweigerd. Het wordt ook niet geleverd macbij spam.

+all : Zeer zelden gebruikt en helemaal niet aanbevolen, stelt deze tag anderen in staat namens u of uw organisatie e-mails te verzenden. De meeste providers weigeren automatisch alle e-mailberichten die afkomstig zijn van domeinen met SPF TXT."+all“. Juist omdat de authenticiteit van de afzender niet kan worden geverifieerd, behalve na een "emailheader"-controle.

Overzicht: Wat betekent Sender Policy Framework (SPF)?

Autoriseert via de TXT / SPF DNS-zone, IP's en domeinnamen die e-mailberichten kunnen verzenden vanaf uw domein of bedrijf. Ook gelden de gevolgen die gelden voor berichten die vanaf ongeautoriseerde domeinen worden verzonden.

Wat betekent DMARC en waarom is het belangrijk voor uw e-mailserver?

DMARC (Op domein gebaseerde berichtverificatie Rapportage en conformiteit) is nauw verbonden met beleidsnormen SPF si DKIM.
DMARC is een validatiesysteem ontworpen om te beschermen de e-maildomeinnaam van uw of uw bedrijf, praktijken zoals e-mailspoofing en phishing-zwendel.

Met behulp van Sender Policy Framework (SPF) en Domain Keys Identified Mail (DKIM) controlestandaarden, voegt DMARC een zeer belangrijke functie toe. rapporten.

Wanneer een domeineigenaar DMARC publiceert in het DNS TXT-gebied, zal hij of zij informatie verkrijgen over wie e-mailberichten verzendt namens hem of haar of het bedrijf dat eigenaar is van het domein dat wordt beschermd door SPF en DKIM. Tegelijkertijd weten de ontvangers van de berichten of en hoe dit best practice-beleid wordt gecontroleerd door de eigenaar van het verzendende domein.

Een DMARC-record in DNS TXT kan zijn:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

In DMARC kunt u meer voorwaarden stellen aan het melden van incidenten en e-mailadressen voor analyse en rapportage. Het is raadzaam om speciale e-mailadressen voor DMARC te gebruiken, aangezien het aantal ontvangen berichten aanzienlijk kan zijn.

DMARC-tags kunnen worden ingesteld volgens het door u of uw organisatie opgelegde beleid:

v - versie van het bestaande DMARC-protocol.
p - pas dit beleid toe wanneer DMARC niet kan worden geverifieerd voor e-mailberichten. Het kan de waarde hebben: “none","quarantine"Of"reject“. Is gebruikt "none”om rapporten te krijgen over de berichtenstroom en de pinstatussora.
rua - Het is een lijst met URL's waarop ISP's feedback kunnen sturen in XML-formaat. Als we het e-mailadres hier toevoegen, wordt de link:rua=mailto:feedback@example.com".
ruf - De lijst met URL's waarnaar ISP's rapporten kunnen sturen van cyberincidenten en misdaden die namens uw organisatie zijn gepleegd. Het adres is:ruf=mailto:account-email@for.example.com'.
rf - Rapportageformaat voor cybercriminaliteit. Het kan worden gevormd "afrf"Of"iodef'.
pct - Instrueert de ISP om het DMARC-beleid alleen toe te passen voor een bepaald percentage mislukte berichten. We kunnen bijvoorbeeld hebben:pct=50%"Of beleid"quarantine"En"reject“. Het zal nooit geaccepteerd worden."none'.
adkim – Specificeer “Uitlijning Mode” voor DKIM digitale handtekeningen. Dit betekent dat wordt gecontroleerd of de digitale handtekening van een DKIM-vermelding overeenkomt met het domein. adkim kan waarden hebben: r (Relaxed) of s (Strict).
aspf - Op dezelfde manier als in het geval adkim "Uitlijning" is opgegeven Mode” voor SPF en ondersteunt dezelfde waarden. r (Relaxed) of s (Strict).
sp - Dit beleid is van toepassing om toe te staan ​​dat subdomeinen die zijn afgeleid van het organisatiedomein de DMARC-waarde van het domein gebruiken. Zo wordt voorkomen dat er voor elk gebied apart beleid wordt gevoerd. Het is praktisch een "wildcard" voor alle subdomeinen.
ri - Deze waarde stelt het interval in waarmee XML-rapporten voor DMARC worden ontvangen. Meestal verdient rapportage de voorkeur op dagelijkse basis.
fo - Opties voor fraudemeldingen. “gerechtelijk options“. Ze kunnen waarden van "0" hebben om incidenten te melden wanneer zowel de SPF- als DKIM-verificatie mislukt, of de waarde "1" voor het scenario waarin de SPF of DKIM niet bestaat of de verificatie niet doorstaat.

Om ervoor te zorgen dat de e-mails van u of uw bedrijf uw inbox bereiken, moet u daarom rekening houden met deze drie normen."best practices voor het verzenden van e-mails'. DKIM, SPF si DMARC. Al deze drie standaarden behoren tot DNS TXT en kunnen worden beheerd vanuit de DNS-beheerder van het domein.

Gepassioneerd door technologie, schrijf ik met plezier op StealthSettings.com sinds 2006. Ik heb ruime ervaring met besturingssystemen: macOS, Windows en Linux, evenals met programmeertalen en blogplatformen (WordPress) en voor online winkels (WooCommerce, Magento, PrestaShop).

Hoe werkt het? » Noteworthy » Hoe de DNS TXT-zone in te stellen voor SPF, DKIM en DMARC en hoe te voorkomen dat zakelijke e-mailberichten worden geweigerd door Gmail - Bezorging van e-mail mislukt

1 gedachte over "Hoe de TXT DNS-zone te configureren voor SPF, DKIM en DMARC en hoe te voorkomen dat zakelijke e-mailberichten worden geweigerd door Gmail - Bezorging van e-mail mislukt"

Laat een bericht achter