Cara menyiapkan zona TXT DNS untuk SPF, DKIM, dan DMARC dan cara mencegah pesan email bisnis ditolak oleh Gmail - Pengiriman email gagal

Administratorii dari email pribadi yang parah untuk bisnis seringkali menghadapi banyak masalah dan tantangan. Dari gelombang SPAM yang harus diblokir oleh filter tertentu, keamanan korespondensi di server email lokal dan server jarak jauh, konfigurasi si memantau layanan SMTP, POP, IMAP, ditambah banyak dan banyak detail lainnya Konfigurasi SPF, DKIM dan DMARC untuk mengikuti praktik terbaik untuk email yang aman.

Banyak masalah mengirim pesan email atau penerima barang ke / dari penyedia Anda, muncul karena konfigurasi area yang salah DNS, bagaimana dengan layanan email.

Agar email dapat dikirim dari nama domain, itu harus dihosting di server email Dikonfigurasi dengan benar, dan nama domain untuk memiliki zona DNS untuk SPF, MX, ekstensi DMARC SI ekstensi dkim atur dengan benar di manajer DNS TXT dari domain.

Dalam artikel hari ini kita akan fokus pada masalah yang cukup umum server email bisnis pribadi. Tidak dapat mengirim email ke Gmail, Yahoo! atau iCloud.

Pesan yang dikirim ke @ Gmail.com ditolak secara otomatis. “Pengiriman email gagal: mengembalikan pesan ke pengirim”

Saya baru-baru ini mengalami masalah pada domain email perusahaan, dari mana email secara teratur dikirim ke perusahaan lain dan individu, beberapa di antaranya memiliki alamat @ Gmail.com. Semua pesan yang dikirim ke akun Gmail segera dikembalikan ke pengirim. "Pengiriman email gagal: mengembalikan pesan ke pengirim".

Pesan kesalahan dikembalikan ke server email pada EXIM terlihat seperti ini:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

Dalam skenario ini bukan sesuatu yang sangat serius, seperti sertakan nama domain pengirim atau IP pengirim dalam daftar SPAM global atau tidak kesalahan konfigurasi utama layanan email di sevrer (EXIM).
Meskipun banyak orang langsung melihat pesan ini ketika mereka memikirkan SPAM atau kesalahan konfigurasi SMTP, masalah dihasilkan oleh area tersebut. DNS TXT dari domain. Sebagian besar waktu, DKIM tidak dikonfigurasi di zona DNS atau tidak diteruskan dengan benar di pengelola DNS domain. Masalah ini sering dihadapi oleh mereka yang menggunakannya CloudFlare sebagai Manajer DNS dan lupa untuk lulus DNS TXT: email._domainkey (ekstensi dkim), ekstensi DMARC si SPF.

Seperti yang diberitahukan oleh pesan penolakan Gmail kepada kami, autentikasi dan autentikasi domain pengirim telah gagal. “Pesan ini tidak memiliki informasi autentikasi atau gagal \ n550-5.7.26 lulus pemeriksaan autentikasi. ” Ini berarti domain tersebut tidak memiliki DNS TXT yang dikonfigurasi untuk memastikan kredibilitas server email penerima. Gmail, dalam skrip kami.

Saat kami menambahkan domain web dengan layanan email aktif di cPanelnya VestaCP, file di zona DNS dari masing-masing domain juga dibuat secara otomatis. Zona DNS yang berisi konfigurasi layanan email: MX, SPF, ekstensi dkim, ekstensi DMARC.
Dalam situasi di mana kita memilih domain untuk menjadi manajer DNS CloudFlare, area DNS akun hosting domain harus disalin ke CloudFlare agar domain email berfungsi dengan baik. Itulah masalah dalam skenario di atas. Di pengelola DNS pihak ketiga, pendaftaran DKIM tidak ada, meskipun ada di pengelola DNS server lokal.

Apa itu DKIM dan mengapa email ditolak jika kami tidak memiliki fitur ini di domain email?

Email Identifikasi DomainKeys (DKIM) adalah solusi otentikasi domain email standar yang menambahkan tanda tangan digital setiap pesan yang dikirim. Server tujuan dapat memeriksa melalui DKIM apakah pesan tersebut berasal dari domain hukum pengirim dan bukan dari domain lain yang menggunakan identitas pengirim sebagai topeng. Dengan semua akun, jika Anda memiliki domain abcdqwerty.com tanpa DKIM, email dapat dikirim dari server lain menggunakan nama domain Anda. Itu jika Anda menginginkan pencurian identitas, yang dalam istilah teknis disebut pemalsuan email.
Teknik umum saat mengirim pesan email Phishing si Spam.

Melalui DKIM juga dapat dipastikan bahwa, isi pesan tidak berubah setelah dikirim oleh pengirim.

Menyetel DKIM dengan benar pada host sistem email yang ketat dan di area DNS juga menghilangkan kemungkinan pesan Anda dapat mencapai SPAM ke penerima atau tidak sampai sama sekali.

Contoh DKIM adalah:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Tentu saja, nilai DKIM yang diperoleh Algoritma enkripsi RSA unik untuk setiap nama domain dan dapat dibuat ulang dari server email host.

Setelah DKIM diinstal dan disetel dengan benar di DNS TXT manajer, sangat mungkin untuk menyelesaikan masalah pesan yang dikembalikan ke akun Gmail. Setidaknya untuk kesalahan "Pengiriman email gagal":

"SMTP error dari server email jarak jauh setelah akhir pipelined data: 550-5.7.26 Pesan ini tidak memiliki informasi otentikasi atau gagal untuk \ n550-5.7.26 lulus pemeriksaan otentikasi. Untuk melindungi pengguna kami dari spam, pesan \ n550-5.7.26 telah diblokir. ”

Sebagai rekap singkat, DKIM menambahkan tanda tangan digital ke setiap pesan yang dikirim, yang memungkinkan server tujuan memverifikasi keaslian pengirim. Jika pesan berasal dari perusahaan Anda dan alamat pihak ketiga tidak digunakan untuk menggunakan identitas Anda.

Gmail (Google) mungkin otomatis menolak semua pesan berasal dari domain yang tidak memiliki semantik digital DKIM.

Apa itu SPF dan mengapa penting untuk pengiriman email yang aman?

Sama seperti DKIM, dan SPF bertujuan untuk mencegah pesan phising si pemalsuan email. Dengan cara ini, pesan yang dikirim tidak akan lagi ditandai sebagai spam.

Kerangka Kebijakan Pengirim (SPF) adalah metode standar otentikasi domain dari mana pesan dikirim. Entri SPF disetel ke Manajer DNS TXT domain Anda, dan entri ini akan menentukan nama domain, IP, atau domain yang diizinkan untuk mengirim pesan email menggunakan nama domain Anda atau organisasi Anda.

Domain tanpa SPF dapat memungkinkan spammer mengirim email dari server lain, menggunakan nama domain Anda sebagai topeng. Dengan cara ini mereka bisa menyebar informasi palsu atau data sensitif mungkin diminta atas nama organisasi Anda

Tentu saja, pesan masih dapat dikirim atas nama Anda dari server lain, tetapi akan ditandai sebagai spam atau ditolak jika server atau nama domain tersebut tidak ditentukan dalam entri SPF TXT domain Anda.

Nilai SPF di manajer DNS terlihat seperti ini:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Di mana "ip4" adalah IPv4 di server email Anda.

Bagaimana cara menetapkan SPF untuk beberapa domain?

Jika kami ingin mengotorisasi domain lain untuk mengirim pesan email atas nama domain kami, kami akan menentukannya dengan nilai "include”Di SPF TXT:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Ini berarti bahwa pesan email juga dapat dikirim dari nama domain kami ke example1.com dan example2.com.
Ini adalah catatan yang sangat berguna jika kita memiliki misalnya satu Toko Online Di alamat"contoh1.com", Tapi kami ingin pesan dari toko online ke pelanggan pergi alamat domain perusahaan, makhluk ini"example.com“. Di TXT SPF untuk "example.com", sesuai kebutuhan untuk menentukan di sebelah IP dan "include: example1.com". Sehingga pesan dapat dikirim atas nama organisasi.

Bagaimana cara menetapkan SPF untuk IPv4 dan IPv6?

Kami memiliki server email dengan keduanya IPv4 dan dengan IPv6, sangat penting bahwa kedua IP ditentukan dalam SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

Selanjutnya, setelah "ip" direktif "include”Untuk menambahkan domain yang diotorisasi untuk pengiriman.

Apa artinya "~all","-all"Dan"+allDari SPFnya?

Sebagaimana dinyatakan di atas, penyedia (ISP) masih dapat menerima email atas nama organisasi Anda meskipun dikirim dari domain atau IP yang tidak ditentukan dalam kebijakan SPF. Tag "semua" memberi tahu server tujuan cara menangani pesan ini dari domain tidak sah lainnya dan mengirim pesan atas nama Anda atau organisasi Anda.

~all : Jika pesan diterima dari domain yang tidak tercantum dalam SPT TXT, pesan akan diterima di server tujuan, tetapi akan ditandai sebagai spam atau mencurigakan. Mereka akan tunduk pada praktik terbaik dari filter anti-spam penyedia penerima.

-all : Ini adalah tag paling ketat yang ditambahkan ke entri SPF. Jika domain tidak terdaftar, pesan akan ditandai sebagai tidak sah dan akan ditolak oleh penyedia. Itu juga tidak akan dikirimkan macdi spam.

+all : Sangat jarang digunakan dan tidak direkomendasikan sama sekali, tag ini memungkinkan orang lain mengirim email atas nama Anda atau organisasi Anda. Sebagian besar penyedia secara otomatis menolak semua pesan email yang berasal dari domain dengan SPF TXT."+all“. Justru karena keaslian pengirim tidak dapat diverifikasi, kecuali setelah pemeriksaan "header email".

Ringkasan: Apa yang dimaksud dengan Sender Policy Framework (SPF)?

• Nonaktifkan & Hapus Cache DNS - Windows 7, Vista & XP
• Menggunakan server DNS alternatif untuk loading lebih cepat dari halaman web
• Bagaimana mengubah alamat DNS di OS X
• Cara reset cache DNS di OS X
• Meningkatkan kecepatan browsing internet menggunakan Google Public DNS

Otorisasi melalui zona TXT / SPF DNS, IP, dan nama domain yang dapat mengirim pesan email dari domain atau perusahaan Anda. Ini juga menerapkan konsekuensi yang berlaku untuk pesan yang dikirim dari domain yang tidak sah.

Apa yang dimaksud dengan DMARC dan mengapa penting untuk server email Anda?

ekstensi DMARC (Pelaporan dan Kesesuaian Otentikasi Pesan Berbasis Domain) terkait erat dengan standar kebijakan SPF si ekstensi dkim.
DMARC adalah sistem validasi dirancang untuk melindungi nama domain email Anda atau perusahaan Anda, praktik seperti spoofing email dan penipuan phishing.

Menggunakan standar kontrol Sender Policy Framework (SPF) dan Domain Keys Identified Mail (DKIM), DMARC menambahkan fitur yang sangat penting. laporan.

Ketika pemilik domain menerbitkan DMARC di area DNS TXT, dia akan memperoleh informasi tentang siapa yang mengirim pesan email atas nama dia atau perusahaan pemilik domain yang dilindungi oleh SPF dan DKIM. Pada saat yang sama, penerima pesan akan mengetahui apakah dan bagaimana kebijakan praktik yang baik ini dipantau oleh pemilik domain pengirim.

Data DMARC di DNS TXT dapat berupa:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

Di DMARC Anda dapat menempatkan lebih banyak ketentuan untuk melaporkan insiden dan alamat email untuk analisis dan laporan. Dianjurkan untuk menggunakan alamat email khusus untuk DMARC karena volume pesan yang diterima mungkin signifikan.

Tag DMARC dapat disetel sesuai dengan kebijakan yang diberlakukan oleh Anda atau organisasi Anda:

v - versi protokol DMARC yang ada.
p - terapkan kebijakan ini jika DMARC tidak dapat diverifikasi untuk pesan email. Itu dapat memiliki nilai: “none","quarantine"Atau"reject“. Digunakan "none” untuk mendapatkan laporan aliran pesan dan status pinsora.
rua - Ini adalah daftar URL tempat ISP dapat mengirim umpan balik dalam format XML. Jika kami menambahkan alamat email di sini, tautannya akan menjadi:rua=mailto:feedback@example.com".
ruf - Daftar URL tempat ISP dapat mengirim laporan insiden dan kejahatan dunia maya yang dilakukan atas nama organisasi Anda. Alamatnya adalah:ruf=mailto:account-email@for.example.com".
rf - Format pelaporan kejahatan dunia maya. Bisa berbentuk"afrf"Atau"iodef".
pct - Menginstruksikan ISP untuk menerapkan kebijakan DMARC hanya untuk persentase tertentu dari pesan yang gagal. Misalnya, kita mungkin memiliki:pct=50%"Atau kebijakan"quarantine"Dan"reject“. Itu tidak akan pernah diterima."none".
adkim – Tentukan “Alignment Mode” untuk tanda tangan digital DKIM. Artinya, tanda tangan digital entri DKIM dengan domain telah dicentang. adkim dapat memiliki nilai: r (Relaxed) atau s (Strict).
aspf - Dengan cara yang sama seperti dalam kasus ini adkim "Alignment" ditentukan Mode” untuk SPF dan mendukung nilai yang sama. r (Relaxed) atau s (Strict).
sp - Kebijakan ini berlaku untuk mengizinkan subdomain yang berasal dari domain organisasi untuk menggunakan nilai DMARC domain. Ini menghindari penggunaan kebijakan terpisah untuk setiap area. Ini praktis merupakan "wildcard" untuk semua subdomain.
ri - Nilai ini menetapkan interval saat laporan XML akan diterima untuk DMARC. Sebagian besar waktu, pelaporan lebih disukai setiap hari.
fo - Pilihan untuk laporan penipuan. “Forensik options“. Mereka mungkin memiliki nilai "0" untuk melaporkan insiden saat verifikasi SPF dan DKIM gagal, atau nilai "1" untuk skenario di mana SPF atau DKIM tidak ada atau tidak lolos verifikasi.

Oleh karena itu, untuk memastikan email Anda atau perusahaan Anda mencapai kotak masuk Anda, Anda perlu mempertimbangkan ketiga standar ini."praktik terbaik untuk mengirim email". ekstensi dkim, SPF si ekstensi DMARC. Ketiga standar tersebut terkait dengan DNS TXT dan dapat dikelola dari pengelola DNS domain.