Как проверить dns-запись домена

Содержание:

Как настроить DMARC без техподдержки?

Для примера мы взяли адрес: dmarc@example.com

Что понадобиться:

  • Настроенная доменная запись в DNS-настройках;

  • Прописанная DKIM-подпись;

  • Настроенная SPF –запись;

Стандартная DMARC – запись для нее выглядит так:

_dmarc.example.com IN TXT “v=DMARC1; p=none”, где

example.com – основной домен;

p = — политика;

none – не принимать никаких действий, т.е. решение принимает почтовый сервис.

Это самая простая DMARC – запись, составленная для одного домена. Она идеально подходит тем, кому DMARC нужен для галочки, а не для того, чтобы почта доходила до получателя.

Теперь немножко посложнее — для тех, кому важен результат. Простую DMARC – запись под определенный домен, которая будет генерировать отчеты, можно сделать двумя способами:

Готовая запись для dmarc@example.com выглядит так:

и означает, что эта она настроена для одного сервера (DMARC1), для почтового адреса rua=dmarc@example.com. Запись ruf=  означает, что раз в сутки на адрес dmarc@example.com будет приходить XML- отчет.

Отчет содержит адрес отправителя (домен или IP) вместе с историей обработки писем: были ли они отправлены или не идентифицированы SPF или DKIM. Как правило, это очень длинный файл с обилием тегов. Но существуют инструменты, которые приводят его в понятный, даже для бабушек, вид. Их перечень постоянно обновляется на официальном сайте DMARC.

Сгенерированная запись хороша тем, что ее создание занимает сутки, в крайнем случае. Чаще всего – это пару часов. При этом автоматическое создание записи гарантирует, что в ней нет ошибок.

Защита почтового сервера без использования антивируса

Итак, прежде чем мы приступим непосредственно к изменению настроек безопасности нашего почтового сервера, нужно разобраться с тем, что именно мы собираемся настраивать. Если тебя не пугают страшные на вид аббревиатуры, состоящие из трех и более заглавных букв латинского алфавита, ты можешь пропустить этот раздел. Остальных приглашаю освежить свои знания, ибо повторение, как гласит народная мудрость, мать учения.

Что такое DKIM?

DKIM (Domain Keys Identified Mail) — это, условно говоря, цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Подпись добавляется в служебные заголовки сообщения и остается незаметной для самого пользователя. Поскольку в DKIM используется асимметричная система шифрования, репозиторий сервера всегда хранит два ключа шифрования — открытый (сертификат) и закрытый. С помощью закрытого ключа формируются заголовки для всей исходящей почты, а открытый ключ как раз добавляется в DNS-записи в виде TXT-файла.

Статус DKIM проверяется автоматически на стороне получателя при сохранении письма в контейнер (именной почтовый ящик). И если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или же сразу помещено в папку «Спам», в зависимости от настроенной политики безопасности. Кстати, это одна из ключевых причин, почему письма определенных отправителей постоянно попадают в спам, даже несмотря на валидность домена отправителя.

Для работы с DKIM требуется выполнение следующих условий:

  • поддержка DKIM почтовым сервером (а она есть у всех современных почтовиков);
  • создание приватного и публичного ключа шифрования (это нужно сделать ручками);
  • занесение в DNS домена записей, связанных с DKIM (и это тоже ручками).

Принцип работы DKIM

Что такое SPF?

Важно помнить, что SPF-запись должна быть только одна для одного домена, хотя уже в рамках одной SPF может содержаться несколько записей. И нужно сказать, что для поддоменов будут нужны свои записи

И никак иначе! Безопасность требует времени и усердия.

Принцип работы SPF

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) — это еще одна подпись, которая позволяет серверу получателя принять решение, что делать с пришедшим письмом

Важно заметить, что DMARC — это скорее дополнительная фича к уже используемым DKIM и SPF. Например, если отправленное сообщение не прошло проверку DKIM и SPF, то оно не пройдет и DMARC

Все логично. А вот если письмо успешно прошло хотя бы одну проверку (DKIM или SPF), то и проверку DMARC оно тоже преодолеет. Также при помощи DMARC можно получать репорты от почтовых систем с информацией, сколько через них пыталось пройти или прошло поддельных сообщений на ваш домен. Из сказанного становится понятно, что DMARC добавляется только после того, как уже настроены записи SPF и DKIM.

Принцип работы DMARC

От чего нельзя защититься с помощью DKIM, SPF и DMARC

Некоторые полезные ссылки для проверки корректности настройки DKIM- и SPF-записей, а также репутации домена:

  • SPF Policy Tester — онлайн-сервис проверки корректности SPF-записи. Для проведения теста на сайте указываешь почтовый адрес, с которого хочешь отправлять письма, и IP-адрес почтового сервера. Если все хорошо, то после нескольких секунд ожидания внизу страницы должна появиться зеленая надпись .
  • Dkimvalidator.com — разработчики этого сервиса дают тебе адрес почты, на который нужно выслать письмо. После этого можно просмотреть отчет о валидности DKIM. Все просто!
  • Mail-tester.com — еще один вариант аналогичного сервиса, где тебе предоставляется адрес почты для отправки тестового сообщения, а после этого можно посмотреть отчет о доставке. Если возникли проблемы, из представленного репорта можно понять, в чем именно заключаются косяки.

Также не стоит забывать о регистрации своего сервера в службах постмастера для публичных почтовых серверов (если ты, конечно, администрируешь такой сервер). Это позволит тебе не только получать статистику по рассылкам, но и заработать чуть больше доверия от этого почтового сервиса. Вот самые известные и часто используемые постмастеры: Mail.RU, Yandex и Gmail.

Как настроить DMARC

Чтобы настроить DMARC, нужно:

  1. Зайти в панель управления хостингом вашего сайта.
  2. Найти в настройках управление DNS-записями.
  3. Внести новую TXT-запись DMARC. Дальше мы на примере разберем, что именно надо написать.
  4. Самые распространённые записи мы перечислили в примерах. Можете просто скопировать запись оттуда.
  5. Сохранить внесенные изменения.

Вам нужно в своем хостинге найти раздел, где редактируются TXT-записи. Запись TXT — это тип записи DNS в текстовом формате, которая говорит внешним источникам, что делать. К примеру, подтверждает собственность на домен. Или, как DMARC, говорит почтовикам, что делать с письмами от этого домена.

Вот, к примеру, панель хостинга Fornex. Тут TXT-записи редактируются в разделе «Домены». Если не получится найти сразу — обратитесь в службу поддержки хостинга, они вам помогут.

Пример для хостинга Fornex. Куда вставляется TXT-запись

Зачем она нужна?

Технически, она нужна, чтобы понять, ассоциируется ли выбранный домен с указанным при подключении IP-адресом. Это указатель для других серверов, который помогает исправить несколько проблем, связанных с доставкой и приемом электронной почты. 

Анти-спам фильтры

Некоторые почтовые фильтры используют обратные DNS, чтобы проверять, соответствуют ли доменные имена почтовых адресов IP, с которых поступает корреспонденция. Так сервер может убедиться, что письмо нужно отправить во входящие, а не в спам-фильтр. 

Исправление проблем с доставкой писем

Так как анти-спам фильтры делают проверку через обратные DNS, у некоторых почтовых серверов могут возникнуть сложности. В частности, когда у них отсутствует корректная PTR-запись. Почтовый сервер заблокирует письмо, если PTR-запись не соответствует ожидаемому IP-адресу.

Рекомендуемые действия по устранению неполадок

Описание проблемы Возможные причины Инструкции по устранению неполадки
Письмо не прошло аутентификацию DKIM Это электронное письмо не прошло проверку DKIM. Узнайте, есть ли такая проблема у других пользователей в домене. Это поможет понять, связана ли неполадка с письмами, поступающими из одного или нескольких источников.
Письмо было изменено во время передачи или после добавления к нему подписи DKIM. Узнайте, пересылалось ли письмо через другой сервер, на котором оно могло быть изменено. Попросите администратора сервера не изменять письма, поскольку из-за этого они могут не проходить проверку DKIM.
В записи DNS для DKIM присутствует ошибка. С помощью Набора инструментов администратора Google проверьте, опубликован ли ключ DKIM. Введите адрес своего домена на странице Проверка MX.
Возникла проблема с ключом DKIM.

Проверьте опубликованную запись DKIM. Если письмо отправлено с помощью Google Workspace, запись должна соответствовать настроенному ключу DKIM.

Если электронное письмо отправлено с помощью стороннего сервиса, ищите инструкции по проверке ключа DKIM в документации разработчика этого сервиса.

Письмо не прошло аутентификацию SPF. Это электронное письмо не прошло проверку SPF. Узнайте, есть ли такая проблема у других пользователей в домене. Это поможет понять, связана ли неполадка с письмами, поступающими из одного или нескольких источников.
Сообщение отправлено сервером, который отсутствует в записи SPF.

Изучите запись SPF, чтобы убедиться, что в ней перечислены все IP-адреса и домены, которым разрешено отправлять электронную почту от имени вашего домена. Сообщения с серверов, отсутствующих в записи SPF, могут не пройти аутентификацию.

Полный список IP-адресов и доменов в записи SPF можно получить с помощью Набора инструментов администратора Google. Введите адрес своего домена на странице Проверка MX, а затем проверьте диапазоны действующих адресов SPF.

В записи DNS для SPF присутствует ошибка. Проверьте запись SPF с помощью Набора инструментов администратора Google. Введите адрес своего домена на странице Проверка MX.
Письмо не прошло аутентификацию DMARC. Это электронное письмо не прошло проверку DMARC. Узнайте, есть ли такая проблема у других пользователей в домене. Это поможет понять, связана ли неполадка с письмами, поступающими из одного или нескольких источников.
Письмо не проходит другие аутентификационные проверки. Убедитесь, что электронное письмо проходит проверку SPF или DKIM.
Несоответствие заголовка письма.

Убедитесь, что адрес в заголовке «От:» соответствует методу аутентификации (SPF или DKIM).

Подробнее …

В записи SPF для DMARC присутствует ошибка. Проверьте запись DMARC с помощью Набора инструментов администратора Google. Введите адрес своего домена на странице Проверка MX.

Зачем нужен DMARC?

SPF и DKIM подпись не гарантируют 100% защиты от мошенников. Даже если все прописано верно, не исключено, что оригинальные перенаправленные мейлы будут хорошо обработаны или идентификация отправителя пройдет без сучка и задоринки. Также нередки случаи, когда отчет о сбоях в доставке отправителю не приходил. В общем, технология не совершенна.

Для того чтобы усилить оборонительную способность SPF и DKIM, был внедрен DMARC. Он задает стандарт проверки входящей почты, если сообщения не прошли фейс-контроль по SPF или DKIM.

Вот как выглядит работа DMARC и весь процесс распознавания отправителя:

Настройка проверок соответствия DMARC

Письмо проходит или не проходит аутентификацию DMARC в зависимости от того, насколько точно заголовок «От:» соответствует домену-отправителю, указанному в данных SPF или DKIM. Это называется проверкой соответствия.

Есть два режима проверки соответствия: строгий и нестрогий. Режим проверки соответствия для SPF и DKIM задается в записи DMARC с помощью aspf и adkim.

Рекомендуем усилить защиту от спуфинга, установив строгий режим проверки соответствия, в следующих случаях:

  • Почта для вашего домена отправляется из субдомена, которым вы не управляете.
  • У вас есть субдомены, которыми управляют другие организации.

Чтобы пройти аутентификацию DMARC, письмо должно пройти хотя бы одну из следующих проверок:

  • аутентификация и проверка соответствия SPF;
  • аутентификация и проверка соответствия DKIM.

Аутентификация DMARC не пройдена, если письмо не проходит обе следующие проверки:

  • SPF или проверку соответствия SPF;
  • DKIM или проверку соответствия DKIM.

Важно! Обычно для защиты от спуфинга достаточно нестрогой проверки соответствия. При строгой проверке письма из связанных субдоменов могут отклоняться или отправляться в папку «Спам».

Метод аутентификации Строгое соответствие Нестрогое соответствие
SPF Точное совпадение домена, прошедшего аутентификацию SPF, и домена, указанного в заголовке От. Домен в заголовке «От:» должен соответствовать домену, прошедшему аутентификацию SPF, или быть его субдоменом.
DKIM Точное совпадение соответствующего домена DKIM и домена, указанного в заголовке От. Домен в заголовке «От:» должен совпадать с доменом, указанным в теге подписи DKIM d=, или быть его субдоменом.

Различия между адресом отправителя конверта и адресом, указанным в поле «От:»

У электронных писем есть два типа адресов, которые определяют отправителя

При настройке SPF, DKIM и DMARC важно понимать разницу между этими адресами

Адрес отправителя конверта и адрес, указанный в поле «От:», могут быть одинаковыми или различаться.

Адрес отправителя конверта определяет, откуда пришло письмо. На него отправляются сообщения о недоставке. Адрес отправителя конверта часто также называют Return-Path и адресом возврата. Получатель письма не видит этот адрес.

SPF обычно использует для аутентификации именно адрес отправителя конверта.

Адрес в поле «От:» указывается в заголовке письма. Письма состоят из двух частей: заголовка и основного текста (тела). В заголовке содержится такая информация о письме, как имя и адрес электронной почты отправителя, тема письма и дата отправки. Заголовок «От:» включает адрес электронной почты и, обычно, имя отправителя.

DKIM использует для аутентификации адрес в заголовке «От:».

Пример проверки соответствия SPF

При проверке соответствия SPF сверяется домен, прошедший аутентификацию SPF (обычно адрес отправителя конверта), с доменом, указанным в заголовке От. Ниже приведены несколько примеров проверки соответствия SPF и ее результатов.

Адрес отправителя конверта Адрес в заголовке «От:» Строгое соответствие Нестрогое соответствие
Проверка пройдена Проверка пройдена
Проверка не пройдена Проверка пройдена
Проверка не пройдена Проверка не пройдена

Пример проверки соответствия DKIM

При проверке соответствия DKIM значение, указанное в поле домена подписи DKIM (d=) в заголовке, сверяется с доменом в заголовке От.

Ниже приведены несколько примеров проверки соответствия DKIM и ее результатов.

Заголовок «От:» Домен в поле «d=» DKIM Строгое соответствие Нестрогое соответствие
Проверка пройдена Проверка пройдена
Проверка не пройдена Проверка пройдена
Проверка не пройдена Проверка не пройдена

Как добавить или изменить запись

Приведенные ниже шаги следует выполнять в консоли управления своего регистратора домена, а не в консоли администратора. Как определить регистратора домена?

Важно! Прежде чем внедрять DMARC, настройте технологии DKIM и SPF. Аутентификация писем с их помощью должна выполняться как минимум за 48 часов до включения DMARC

Подготовьте текстовый файл или строку, представляющие запись с правилами.
Войдите в консоль управления своего регистратора домена.
Перейдите на страницу, на которой можно изменить записи DNS.
Добавьте TXT-запись DNS или измените существующую, введя свои данные в поле для параметра _dmarc:

TXT record name (Название записи TXT)

В этом поле в разделе DNS Host name (Имя хоста DNS) введите следующее: _dmarc.solarmora.com.
Важно! Некоторые регистраторы домена автоматически добавляют доменное имя после _dmarc. После добавления записи TXT для DMARC вы можете .

TXT record value (Значение записи TXT)

Во втором поле введите текст записи DMARC, например:

Приведенные здесь названия полей могут отличаться от тех, которые использует ваш регистратор. Названия полей TXT-записей DNS могут быть разными у разных регистраторов. Здесь представлен пример домена. Замените solarmora.com именем своего домена.

Сохраните изменения. 

Как проверить название записи TXT для DMARC (необязательно)

Некоторые регистраторы доменов автоматически добавляют доменное имя в конец названия записи TXT, которое вы указали на шаге 4a раздела . Из-за этого название записи TXT для DMARC может иметь неправильный формат.

Например, если вы введете _dmarc.solarmora.com и регистратор домена автоматически добавит доменное имя, формат записи TXT будет неправильным: _dmarc.solarmora.com.solarmora.com.

Добавив запись TXT для DMARC в соответствии с инструкциями из раздела , проверьте ее название.

Для этого можно использовать функцию Dig из Набора инструментов администратора Google:

  1. Откройте Набор инструментов администратора Google и выберите функцию Dig.
  2. В поле Имя введите _dmarc. и полное доменное имя. Например, для домена solarmora.com укажите _dmarc.solarmora.com
  3. Нажмите TXT под полем Имя.
  4. Проверьте название записи TXT для DMARC в результатах. Это строка текста, которая начинается с _dmarc.

Почта DMARC (общедоступная предварительная версия)

Внимание!

Сообщения могут рассылаться не ежедневно, а сам отчет может измениться во время общедоступной предварительной версии. Электронные сообщения сводного отчета DMARC можно ожидать от учетных записей потребителей (таких как учетные записи hotmail.com, outlook.com или live.com).

В этом примере записи DMARC TXT вы можете увидеть адрес rua, в данном случае обработанный сторонней компанией Agari. Этот адрес используется для отправки «сводного отзыва» для анализа и создания отчета.

Совет

Посетите каталог MISA, чтобы просмотреть других сторонних поставщиков, предлагающих услуги отчетности DMARC для Microsoft 365. Дополнительные сведения об адресах «rua» DMARC см. в разделе RFC 74890.

Что писать в настройках DMARC

Этот раздел для тех, кто хочет более детально разобраться в значениях тегов и механизме работы DMARC.

Рассмотрим, что означают разные теги и политики DMARC.

"v=DMARC1; p=none;"

v=DMARC1 — версия протокола DMARC, должна быть 1.

Это обязательно нужно написать, чтобы провайдер распознал, что именно эта TXT-запись определяет политику DMARC. Если этот параметр не будет идти первым в записи, DMARC не распознается.

p= — это Requested Mail Receiver Policy, то есть что именно сделать с письмом, если DKIM не соответствует.

У политики может быть три варианта значений:

  • p=none — не предпринимать особых действий или все на усмотрение почтового провайдера;
  • p=quarantine — отправить в «Спам»;
  • p=rejected — не принимать письмо.

Как настроить DKIM

DKIM-подпись позволяет получателю проверить, что письмо действительно было отправлено с заявленного домена. Для определения отправителя сообщения DKIM добавляет в него цифровую подпись, связанную с именем домена организации. Эта подпись автоматически проверяется на стороне получателя.

При этом используются пары публичных (открытых) и частых (закрытых) ключей шифрования. Открытый ключ указывается в соответствующей TXT записи домена и используется получателями при декодировании подписи, а закрытый ключ используется на стороне почтового сервера для шифрования подписи.

Таким образом, для настройки DKIM нужно сделать следующее:

  • Сгенерировать пару ключей;
  • Добавить открытый (публичный) ключ в TXT запись вашего домена;
  • Добавить закрытый (частный) ключ на почтовый сервер Hmailserver.

Генерация пары ключей

Самый простой способ сгенерировать пару необходимых нам ключей для DKIM — это воспользоваться сервисом https://port25.com/dkim-wizard/

Поле DomainKey Selector позволяет привязать к одному домену несколько DKIM записей для разных нужд, например если у вас несколько почтовых серверов. У меня только один почтовый сервер и в роли селектора я выбрал просто «mail». Нажмите кнопку и вы получите пару ключей.

Настройка DKIM в Hmailserver

Приватный ключ необходимо сохранить на Windows сервер где установлен Hmailserver. Для имени файла ключа я использовал значение mail.domainname.tld.pem, а сам файл сохранил на сервере в папку C:\pmta.

Далее в настройках домена в Hmailserver необходимо включить поддержку DKIM и указать путь к закрытому ключу.

Не забывайте указать Selector, который вы назначили при генерации ключа.

Настройка DKIM подписи домена

Добавьте подобную TXT запись для вашего домена:

Хост Тип Значение
mail._domainkey.domainname.tld TXT v=DKIM1; k=rsa; t=s; p=MIIBIjANBg

где:

  • domainname.tld — имя вашего домена;
  • mail в имени хоста — селектор выбранный при генерации ключей и указанный в настройках Hmailserver;
  • p=MIIBIjANBg — открытый ключ.

Что делать дальше?

После создания и проверки, дело за малым – разместить DMARC в DNS-записи сайта. К примеру, если строка сгенерирована автоматически, то запись в DNS для адреса dmarc@example.com имеет следующий вид:

DMARC – не панацея от мошенников. Но он заставляет их в поле «FROM» указывать домен, который отличается от оригинального, что облегчает обнаружение спама. Как почтовым провайдерам, так и самим отправителям. Через механизм отчетов бренды могут не только контролировать безопасность своего домена и отслеживать попытки мошенничества с рассылками, но и определять нарушителей.

Мы дали только базовую настройку DMARC, которая поможет поставить «первый уровень» защиты для одного домена и одного IP, с которого делаются рассылки. Напомним, чтобы настроить DMARC в сервисе Estismail — читайте инструкцию. Если у вас более 2-х IP, как у пользователей тарифа CLOUD, то рекомендуем обратиться в нашу техподдержку. Время это сэкономит точно 🙂

Безопасных рассылок и эффективных кампаний!

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance, идентификация сообщений, создание отчетов и определение соответствия по доменному имени) — это спецификация, направленная на снижение количества мошеннических электронных писем, в частности фишинговых атак.

SPF и DKIM – это хорошие и надежные методы аутентификации отправителя, но они имеют свои недостатки, поэтому была разработана открытая спецификация использования DMARC.

Изначально технология DMARC применялась в Gmail; в данный момент она работает в сервисах Facebook, LinkedIn, Hotmail, Yahoo!, Mail.ru, Яндекс.Почта и других принимающих узлах, которые используют данную технологию.

DMARC позволяет идентифицировать почтовые домены отправителя, основываясь на признаках и правилах, которые заданы на сервере адресата. Стандарт DMARC для принимающих узлов устанавливается в соответствии с механизмами SPF и DKIM, то есть как бы объединяет эти два механизма. И на всех принимающих узлах, поддерживающих эту технологию, будут выдаваться единые результаты.

DMARC дает возможность проверить, соответствует ли домен в заголовке (адрес отправителя) идентификаторам SPF и DKIM. Для того, чтобы письмо прошло проверку, идентификатор должен соответствовать домену, указанному в поле “From” («от»).

Как настроить DMARC

Почтовый сервис Timeweb использует только SPF/DKIM. Но DMARС-запись может быть указана для домена, если домен должен быть настроен для стороннего почтового сервиса, использующего эту спецификацию.

Для настройки DMARC нужно добавить доменную запись в DNS-настройки.

Пример самой простой записи, позволяющей включить режим мониторинга (выполнить тест DMARC и сохранить его результат):

_dmarc.timeweb.com IN TXT “v=DMARC1; p=none”

Такая запись позволить защитить письма, которые будут отправлены от домена timeweb.com, а также от поддоменов (например, mail.timeweb.com).

В этом случае если проверка на стороне получателя покажет, что домен в заголовке “From” соответствует указанному в доменной записи DMARC, то письмо пройдет проверку и попадет в почтовый ящик адресата.

Полную информацию о синтаксисе DMARC можно найти на официальном сайте.

Основной синтаксис

Любая SPF-запись начинается с v=spf1, этот параметр не изменяется. Он указывает на версию записи, и в настоящее время поддерживается только spf1. 

Далее указываются параметры (механизмы). Чаще всего используются следующие: all, ip4, ip6, a, mx, include, redirect. Также существуют, но используются значительно реже: ptr, exists, exp. Они все будут рассмотрены ниже.

Помимо механизмов используются префиксы (определители):

  • «+» — Pass, принимать почту. Прописывать этот параметр необязательно, он установлен по умолчанию (т.е. значения «+a +mx» и «a mx» — идентичны).
  • «-» — Fail, отклонять почту.
  • «~» — SoftFail, «мягко» отклонять (принимать почту, но помещать ее в «Спам»). 
  • «?» — нейтрально (обрабатывать как обычное письмо).

all

Параметр «all» подразумевает все серверы, не упомянутые отдельно в SPF-записи. «All» задает обработку полученных с них писем и указывается в конце записи. 

Например:  

v=spf1 ip4:176.57.223.0/24 ~all

— принимать почту только из подсети 176.57.223.0/24; письма с других адресов должны быть помечены как спам.

v=spf1 a -all

— принимать почту только с A-записи домена; письма с других адресов должны отвергаться. 

v=spf1 -all

— отвергать все письма с домена. Такую настройку можно использовать для доменов, с которых не должна отправляться вообще никакая почта.

В последующих примерах мы не будем дополнительно комментировать значения параметров ~all и -all в SPF-записях.

ip4 / ip6

Используется для указания конкретных адресов и подсетей, из которых могут отправляться письма. Синтаксис для IPv4 и IPv6 идентичен.

v=spf1 ip4:176.57.223.0/24 ~all

— принимать почту из подсети 176.57.223.0/24.

v=spf1 ip6:2001:db8::10 ~all

— принимать почту с IPv6-адреса 2001:db8::10.

a

IP отправителя проверяется на соответствие A-записи домена. 

v=spf1 a ~all

— принимать почту с A-записи текущего домена.

v=spf1 a:sub.domain.com ~all

— принимать почту с A-записи домена sub.domain.com.

mx

IP отправителя проверяется на соответствие IP-адресам серверов, указанных в MX-записях домена. На текущий день для многих современных сервисов эта директива уже не так важна, так как серверы входящей и исходящей почты зачастую имеют разные IP.

v=spf1 mx mx:sub.domain.com -all

— принимать почту с MX-серверов текущего домена и домена sub.domain.com.

v=spf1 mx/24 -all

— принимать почту из подсети, в которую входят MX-серверы текущего домена.

include

Позволяет учитывать в SPF-записи настройки SPF другого домена. 

v=spf1 a include:other-domain.com -all

— принимать почту с A-записи текущего домена и серверов, указанных в SPF-записи домена other-domain.com. 

При такой настройке проверяется SPF домена other-domain.com; если это, допустим, «v=spf1 a -all», то далее IP отправителя проверяется на соответствие A-записи домена other-domain.com.

redirect

Технически, redirect является модификатором, а не механизмом. Он выполняет одну основную функцию: сообщает, что необходимо применять настройки SPF другого домена.

v=spf1 redirect=other-domain.com

— почта должна приниматься или отклоняться согласно настройкам домена other-domain.com.

Устранение неполадок реализации DMARC

Если в записях MX своего домена первым указан домен, отличный от EOP, то для вашего домена не будут принудительно применяться проверки DMARC.

Если вы являетесь клиентом, а ваша основная запись MX не указывает на EOP, вы не сможете воспользоваться преимуществами DMARC. Например, DMARC не будет работать, если вы настроите запись MX таким образом, чтобы она указывала на локальный почтовый сервер, а затем перенаправите почту в EOP с помощью соединителя. В этом случае получающий домен является одним из ваших обслуживающих доменов, тогда как EOP не является основной системой обмена электронной почтой. К примеру, допустим, что в записи MX домен contoso.com указывает сам на себя и использует EOP в качестве вспомогательной записи MX, тогда запись MX для домена contoso.com будет выглядеть следующим образом:

Вся или почти вся электронная почта сначала будет перенаправляться в домен mail.contoso.com, поскольку это основная система обмена электронной почтой, а затем в домен EOP. В некоторых случаях вы можете даже не указать EOP в записи MX и просто воспользоваться соединителями для перенаправления почты. Домен EOP не обязательно должен быть первым элементом, для которого требуется выполнить проверку DMARC. Просто это обеспечивает проверку, так как мы не можем быть уверены, что все локальные серверы и серверы, не связанные с Office 365, выполняют проверки DMARC. DMARC может быть принудительно применен для домена клиента (не сервера) при настройке записи TXT DMARC, но такое применение осуществляется сервером-получателем. Если настроить EOP как сервер-получатель, EOP принудительно применит DMARC.

Убедитесь, что письма проходят аутентификацию

Включите SPF и DKIM для домена

Убедитесь, что вы включили SPF и DKIM для домена. Это нужно сделать как минимум за 48 часов до включения DMARC. Подробная информация доступна в разделе Как улучшить защиту от спуфинга, фишинга и спама.

Если перед включением DMARC не настроить проверку SPF и DKIM, для писем, отправленных из вашего домена, могут возникнуть проблемы доставки.

Проверьте заголовки писем

Заголовки электронных писем содержат результаты аутентификационных проверок SPF, DKIM и DMARC. Чтобы понять, проходят ли сообщения из вашего домена аутентификационные проверки:

  • Проверьте заголовки письма, отправленного из вашего домена.
  • Введите заголовки из электронного письма, отправленного из вашего домена, в инструмент «Путь письма» из Набора инструментов администратора Google.

Убедитесь, что письма проходят все три аутентификационные проверки: SPF, DKIM и DMARC.

Изучите отчеты DMARC

Чтобы убедиться, что электронные письма проходят все три аутентификационные проверки (SPF, DKIM и DMARC), изучите отчеты DMARC или результаты анализа отчетов DMARC, предоставленные сторонним сервисом.

Как Microsoft 365 обрабатывает входящую почту, не прошедшую проверку DMARC

Если политика DMARC отправляющего сервера имеет значение , Exchange Online Protection (EOP) будет отмечать сообщения как поддельные, а не отклонять их. Другими словами, в случае исходящей почты служба Microsoft 365 рассматривает политики и как одинаковые. Администраторы могут настроить действия для сообщений, классифицированных как поддельные, в политике защиты от фишинга.

Такая конфигурация Microsoft 365 обусловлена тем, что некоторые допустимые сообщения могут не проходить проверки DMARC. Например, сообщение может не пройти проверки DMARC, если оно отправлено в список рассылки, который в последствии пересылает его всем получателям, указанным в списке. Если Microsoft 365 отклонит эти сообщения, получатели могут безвозвратно потерять важную почту. Вместо этого такие сообщения будут по-прежнему не проходить проверки DMARC, однако они будут отмечены как спам, а не отклонены. При необходимости пользователи могут воспользоваться приведенными ниже способами, чтобы получить такие сообщения.

  • Пользователи могут добавить надежных отправителей в список с помощью своих почтовых клиентов.

  • Администраторы могут использовать аналитику спуфинга или список разрешенных и заблокированных клиентов, чтобы разрешить сообщения от подделанных отправителей.

  • Администраторы могут создать для всех пользователей правило обработки потока почты Exchange (правило транспорта), разрешающее отправку сообщений для этих конкретных отправителей.

Дополнительные сведения см. в статье Создание списков надежных отправителей.

Создание почтового ящика

Cоздать ящик можно в разделе Почта — Почтовые ящики — Создать.

В открывшейся форме заполните необходимые поля:

  • Имя — имя ящика, которое будет указываться перед @. Например, admin, info, support и так далее. В имени могут использоваться латинские буквы, цифры, тире и точки.
  • Домен — на каком домене должен быть создан ящик (т.е., что указано после @).
  • Псевдоним — можно указать дополнительные имена для ящика. Например, если вы укажете sales, то все письма, отправленные на несуществующий ящик sales@mydomain.com, будут доставлены на тот ящик, который вы сейчас создаете. Здесь можно указать несколько псевдонимов через пробел. Сам домен при этом указывать не требуется, т.к. все настройки в любом случае будут касаться только домена в поле «Домен».
  • Слать копии на e-mail — можно указать ящики, на которые будет приходить копии всех входящих писем, поступивших на создаваемый ящик.
  • Макс.размер — можно указать максимальный размер ящика
  • Примечание — здесь можно указать любую дополнительную информацию.

Нажмите Ок — почтовый ящик создан.

Спуфинг и фишинг

Спамеры могут отправлять поддельные письма от имени вашего домена или вашей организации, выдавая себя за ее представителей. 

Поддельные письма часто используются со злым умыслом, например для передачи ложной информации или рассылки вредоносного ПО. Они также используются для фишинга – попытки обманным путем заставить пользователей ввести конфиденциальную информацию, такую как учетные данные или данные кредитных карт. Спуфинг может иметь долгосрочные последствия для репутации вашей организации, а также повлиять на доверие пользователей и клиентов.

Иногда поддельные письма якобы от имени реально существующих или хорошо известных организаций используются для рассылки спама. Если такие письма рассылаются от имени вашей организации, получатели могут отметить их как спам. Если это сделает большое количество пользователей, настоящие письма от вашей организации также могут помечаться как спам.

Как добавить PTR-запись?

Добавить PTR-запись одновременно сложно и легко. Легко, потому что самостоятельно делать ничего не нужно. А сложно, потому что эта задача возлагается на плечи хостинга. То есть владельца IP-адреса, к которому привязан сайт. Надо написать хостинг-провайдеру, что вам нужно добавить PTR-запись. И ждать, пока техподдержка отреагирует и сделает то, что вам необходимо. В случае с хорошим хостингом, типа Timeweb, это займет минимум времени. С некоторыми процесс может затянуться.

У меня на VDS обратная зона была прописана по умолчанию. Ничего добавлять и вписывать руками не пришлось. 

Добавляем PTR-запись на примере ISPManager

Если обратная зона в панели управления Timeweb не указана, то надо:

  • Открыть ISPManager (он должен быть приобретен у провайдера заранее).
  • Перейти в меню «Настройки».
  • Затем открыть «Настройки системы».
  • В поле «Имя сервера» указать доменное имя своего сайта.
  • Потом открываем панель управления Timeweb.
  • Кликаем по меню в правой части от названия сервера.
  • Выбираем подпункт «Конфигурация».
  • И жмем на кнопку «Задать обратную зону».

Как я уже сказал выше, у меня она прописана, но у вас ее может и не быть по умолчанию. 

Можно ли добавить несколько Pointer’ов?

Нельзя. Каждому IP-адресу соответствует своя PTR-запись. Так что придется добыть еще один IP-адрес и только потом привязывать к нему еще один Pointer.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector