English
简体中文
繁體中文
हिन्दी
Español
Français
العربية
বাংলা
Русский
Português
Bahasa Indonesia
اردو
Deutsch
日本語
Kiswahili
Türkçe
Tiếng Việt
Afrikaans
Shqip
አማርኛ
Հայերեն
Azərbaycan dili
Euskara
Беларуская мова
Bosanski
Български
Català
Cebuano
Chichewa
Corsu
Hrvatski
Čeština
Dansk
Nederlands
Esperanto
Eesti
Filipino
Suomi
Frysk
Galego
ქართული
Ελληνικά
ગુજરાતી
Kreyol ayisyen
Harshen Hausa
Ōlelo Hawaiʻi
עִבְרִית
Hmong
Magyar
Íslenska
Igbo
Gaeilge
Italiano
Basa Jawa
ಕನ್ನಡ
Қазақ тілі
ភាសាខ្មែរ
한국어
كوردی
Кыргызча
ພາສາລາວ
Latin
Latviešu valoda
Lietuvių kalba
Lëtzebuergesch
Македонски јазик
Malagasy
Bahasa Melayu
മലയാളം
Maltese
Te Reo Māori
मराठी
Монгол
ဗမာစာ
नेपाली
Norsk bokmål
پښتو
فارسی
Polski
ਪੰਜਾਬੀ
Română
Samoan
Gàidhlig
Српски језик
Sesotho
Shona
سنڌي
සිංහල
Slovenčina
Slovenščina
Afsoomaali
Basa Sunda
Svenska
Тоҷикӣ
தமிழ்
తెలుగు
ไทย
Українська
O‘zbekcha
Cymraeg
isiXhosa
יידיש
Yorùbá
Zulu
В этом руководстве мы рассмотрим процесс настройки SPF, DKIM и DMARC - трех важнейших компонентов для повышения эффективности отправки электронной почты.
Грамотная настройка SPF, DKIM и DMARC позволит повысить доверие почтовых серверов и минимизировать вероятность попадания ваших рассылок в спам.
- SPF (Sender Policy Framework) мера безопасности, разработанная для того, чтобы не дать другим отправлять письма от Вашего имени. Она определяет, каким IP-адресам разрешена отправка, а каким нет.
- DKIM (DomainKeys Identified Mail) метод проверки подлинности сообщений. Когда каждое письмо отправляется, оно подписывается с помощью закрытого ключа, а затем проверяется на принимающем почтовом сервере (или у провайдера) с помощью открытого ключа в DNS.
- DMARC (Domain-based Message Authentication, Reporting & Conformance) использует SPF и DKIM для проверки подлинности почты, снижая вероятность спама и фишинговых атак.
Настройка SPF (Sender Policy Framework)
1.1. Чтобы настроить SPF, необходимо добавить запись TXT в настройки DNS домена.
1.2. Синтаксис записи SPF следующий:
- v=spf1: Определяет версию SPF, которую вы используете. В настоящее время используется только SPF1.
- ip4:[Your_Mail_Server_IP]: Указывает, что IP-адрес Вашего почтового сервера разрешен для отправки электронной почты от имени домена.
- a: Указывает, что если домен имеет запись A (адрес IPv4) в DNS, сервер, указанный в этой записи, может отправлять электронную почту от имени домена.
- mx: Показывает, что если домен имеет запись MX (почтовый обмен) в DNS, сервер, указанный в этой записи, может отправлять электронную почту от имени домена.
- ~all: Это указывает, что только серверы в записи SPF, могут отправлять электронную почту от имени домена. Если почта приходит с другого сервера, она будет помечена как "мягкое совпадение" (~), что означает, что она может быть принята, но помечена как возможный спам.
Вместе эти элементы формируют SPF, которая выглядит следующим образом:
Имя: [Your_Domain]
v=spf1 ip4:[Your_Mail_Server_IP] a mx ~allЗамените [Your_Mail_Server_IP] на IP-адрес вашего почтового сервера.
Настройка DKIM (DomainKeys Identified Mail)
2.1. Сначала устанавливаем opendkim и opendkim-tools. Процесс установки зависит от операционной системы:
Для CentOS:
yum install opendkim -yДля Debian/Ubuntu:
apt install opendkim opendkim-tools -y2.2. Далее запустите службу opendkim и включите ее запуск при загрузке:
systemctl start opendkim systemctl enable opendkim2.3. Создайте каталог для хранения ключей:
mkdir -p /etc/opendkim/keys/yourdomain.com2.4. Сгенерируйте ключи с помощью инструмента opendkim-genkey:
opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkimНе забудьте заменить "yourdomain.com" на реальное доменное имя.
2.5. Установите соответствующие разрешения для ключей:
chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com2.6. Теперь необходимо настроить opendkim. Откройте файл /etc/opendkim.conf и добавьте следующие настройки:
AutoRestart Yes AutoRestartRate 10/1h Umask 002 Syslog Yes SyslogSuccess Yes LogWhy Yes Canonicalization relaxed/simple ExternalIgnoreList refile:/etc/opendkim/TrustedHosts InternalHosts refile:/etc/opendkim/TrustedHosts KeyTable refile:/etc/opendkim/KeyTable SigningTable refile:/etc/opendkim/SigningTable Mode sv PidFile /var/run/opendkim/opendkim.pid SignatureAlgorithm rsa-sha256 UserID opendkim:opendkim Socket inet:8891@localhost2.7. Добавьте свой домен в файл /etc/opendkim/TrustedHosts:
127.0.0.1 localhost *.yourdomain.com2.8. Измените файл /etc/opendkim/KeyTable, чтобы он выглядел следующим образом:
dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private2.9. Измените файл /etc/opendkim/SigningTable так, чтобы он выглядел следующим образом:
*@yourdomain.com dkim._domainkey.yourdomain.com2.10. Если используете Debian/Ubuntu, укажите порт для opendkim:
echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim2.11. Перезапустите службу opendkim, чтобы применить изменения:
systemctl restart opendkim2.12. Наконец, добавьте открытый ключ в настройки DNS домена. Ключи находятся в файле /etc/opendkim/keys/yourdomain.com/dkim.txt.
Настройка DMARC (Domain-based Message Authentication, Reporting & Conformance)
3.1. Чтобы настроить DMARC, добавьте запись TXT в настройки домена:
Name: _dmarc.[Your_Domain]. Значение: v=DMARC1; p=none; aspf=r; sp=noneНастройка PTR (Pointer Record)
4.1. PTR запись, также известная как обратная DNS запись, используется для преобразования IP-адреса в имя домена. Это важно для почтовых серверов, поскольку некоторые серверы могут отклонить сообщения, которые не имеют PTR записи.
4.2. PTR запись обычно устанавливается в настройках интернет-провайдера или хостинг-провайдера. Если у вас есть доступ к этим настройкам, Вы можете установить PTR запись, указав IP-адрес вашего сервера и соответствующее ему доменное имя.
4.3. Если у Вас нет доступа к настройкам PTR записи, обратитесь к своему интернет-провайдеру или хостинг-провайдеру с запросом на установку PTR записи.
4.4. После установки PTR, Вы можете проверить ее, используя команду dig в Linux:
dig -x your_server_IPЗамените "your_server_IP" на IP-адрес сервера. В ответе должно быть указано Ваше доменное имя.
После выполнения всех шагов по настройке SPF, DKIM и DMARC, у почтового сервера будет гораздо меньше шансов пометить вашу рассылку как спам, что обеспечивает более высокий процент доставки писем.
