Liigu peamise sisu juurde

ULTIMA JUHEND: Oma serveri seadistamine usaldusväärse e-posti edastamise jaoks. OSAS 2: Kuidas vältida väljaminevate e-kirjade sattumist rämpsposti

· 6 min lugemine
Andres Saar
Customer Care Engineer

dns-records-configuration-spf-dkim-dmarc-ptr-mx-prevent-email-spam-guide

info

DNS-i kirjed on kogum domeeni tehnilisi parameetreid, mis määratlevad, kuhu erinevat tüüpi liiklust suunata: veeb, post, FTP jne.

Need ühendavad domeeninime IP-aadresside ja muude serveritega, et brauserid ja e-postisüsteemid teaksid, kuhu teie veebisaidi või e-postiga töötades ühendust võtta.

Selles juhendi 1. osas konfigureerisime tulemüüri ja avasime vajalikud pordid e-posti edastamiseks. Nüüd, kui oleme veendunud, et teie serverist saadetakse sõnumeid, peame kontrollima, kas DNS-i kirjed on õigesti konfigureeritud. Gmail, Outlook ja teised suured e-postiteenused kontrollivad rangelt MX, SPF, DKIM, DMARC ja PTR kirjeid enne sõnumite edastamist peamisesse postkasti. Õiged kirjed suurendavad järsult tõenäosust, et sõnumid jõuavad sisendkausta rämpsposti asemel (või lükatakse täielikult tagasi).

Järgmistes sammudes kirjeldame, kuidas kontrollida iga tüüpi DNS-i kirjeid ja anname soovitusi nende õigeks konfigureerimiseks.

hoiatus

Käesolevas artikli osas kasutame kõigi kontrollide jaoks domeeni example.com, IPv4-aadressi 1.2.3.4 ja IPv6-aadressi 2001:db8:1:11::1 näidetena. Palun asendage need oma veebisaidi tegeliku nime ja teie tegelike IP-aadressidega.

Eelmärnõuded

1. samm. DNS-i pakkuja kontrollimine

Selle artikli kontekstis peame DNS-i kirjeid mitu korda muutma. See tuleb teha teie domeeni praeguse DNS-i pakkuja juhtpaneelil. Selleks, et seda õigesti teha, peate täpselt teadma, kes neid teenuseid praegu pakub. Muidu ei avalda teie tehtud muudatused mingit mõju.

Kõige sagedamini täidab DNS-i pakkuja rolli:

  • teie hostingu pakkuja

  • teie domeeni registreerija või

  • teie DDoS-kaitse pakkuja.

Kuid see pole alati nii.

Praeguse oma domeeni DNS-i pakkuja saate täpselt teada, kasutades käsku whois. Näiteks kontrollime domeeni kodu.cloud:

whois kodu.cloud | grep -i "Name Server" | awk '{print $3}'

Väljund loetleb NS-serverid:

art.ns.cloudflare.com
isla.ns.cloudflare.com

See tähendab, et sel juhul tuleb DNS-i kirjeid muuta Cloudflare'i juhtpaneelil.

Paljudel juhtudel saate domeeninime järgi järeldada, kes DNS-i pakkuja on. Siiski ei ole see alati nii. Näiteks meie tasuta DNS-teenuse, mis on kõigile meie klientidele kättesaadav, nimed näevad välja järgmiselt:

birman.nameserver.red.
rex.nameserver.red.
korat.nameserver.blue.
toybob.nameserver.blue.

 Sel juhul võtke lisateabe saamiseks ühendust oma hostingu pakkuja tehnilise toega.

Pärast seda, kui olete oma DNS-i pakkuja kindlalt tuvastanud, logige sisse nende juhtpaneelile ja minge oma domeeni DNS-i kirjete redigeerimise jaotisesse. Enamik allpool kirjeldatud muudatusi tehakse seal. Kuna kõik liidesed erinevad, on võimatu pakkuda universaalset samm-sammult juhendit.

Kui teil tekib selles etapis raskusi, konsulteerige tehnilise toega.

hoiatus

Pärast DNS-i kirjete muutmist võib puhverdamine aega võtta 20 minutit kuni 24 tundi. Arvestades aega, mis kulub peamistel e-postiteenustel teie maine värskendamiseks, on stabiilse e-posti edastamise jaoks soovitatav oodata umbes 48 tundi, kuigi sagedamini normaliseerub olukord 2-3 tunni pärast.

2. samm. IPv6 kontrollimine

Õigeks konfigureerimiseks peame täpselt teadma, kas serveril on IPv6-aadress. Selle väljaselgitamiseks käivitage käsk:

ip a | grep inet6

Kui väljund on ligikaudu järgmine:

inet6 ::1/128 scope host noprefixroute
inet6 2001:db8:1:11::1/120 scope global
inet6 fe80::1/64 scope link

siis teie serveril on IPv6-aadress. See kuvatakse real, mis lõpeb scope global kuni / märgini.

Kirjutage oma serveri IPv6-aadress üles, et saaksite seda hiljem kasutada.

Kui väljund on tühi või sisaldab ainult ühte järgmist tüüpi rida:

inet6 fe80::1c2:3dff:fe4a:5b6c/64 scope link

siis teie serveril pole IPv6-d. Kõigis järgmistes sammudes ärge kasutage IPv6-d.

DNS-i kirje konfiguratsioon

3. samm. MX-kirje kontrollimine

MX-kirje määrab, kuhu domeeni sissetulev post tuleks edastada. Saate seda kontrollida käsuga:

dig MX example.com +short

Näide õigest väljundist:

10 mail.example.com.

Kui väljund näitab valesti rohkem kui ühe kirje väärtust, muutke DNS-i kirjet oma DNS-i pakkuja juhtpaneelil:

  • Tüüp: MX
  • Nimi: @
  • Aadress: mail.example.com
  • Prioriteet: 10

Kui kirjet pole, saate tühja väljundi:

~ dig MX badexample.com +short
~

Sel juhul looge DNS-i kirje vastavalt ülaltoodud näitele.

Pange tähele ka seda, et MX-kirjeid võib olla mitu. Sel juhul saadetakse post kõigepealt serverisse, millel on väiksem numbriline prioriteedi väärtus (näiteks 10 on kõrgema prioriteediga kui 20).

Kui peamine server pole saadaval, edastatakse see prioriteedi järjekorras järgmisesse serverisse.

4. samm. A- ja AAAA-kirjete kontrollimine

Veenduge järgmiseks, et mail.example.com ja example.com viitavad tegelikult serverile, kust sõnumeid saadetakse:

dig A example.com +short
dig A mail.example.com +short
dig AAAA example.com +short
dig AAAA mail.example.com +short

Nende käskude väljundis olevad IP-aadressid peavad vastama teie serveri tegelikele IPv4- ja IPv6-aadressidele. Kui need erinevad või kui sellised kirjed puuduvad, muutke või looge need oma DNS-i pakkuja juhtpaneelil:

  1. example.com (А):
  • Tüüp: A
  • Nimi: @
  • Aadress: 1.2.3.4
  1. example.com (АAAA):
  • Tüüp: AAAA
  • Nimi: @
  • Aadress: 2001:db8:1:11::1
  1. mail.example.com (A):
  • Tüüp: A
  • Nimi: mail
  • Aadress: 1.2.3.4
  1. mail.example.com (AAAA):
  • Tüüp: AAAA
  • Nimi: mail
  • Aadress: 2001:db8:1:11::1

5. samm. SPF-kirje kontrollimine

SPF määrab, millised serverid tohi domeeni nimel meili saata.

Kirje kontrollimine:

dig TXT example.com +short

Näide õigest SPF-kirjest:

example.com. TXT "v=spf1 ip4:1.2.3.4 ip6:2001:db8:1:11::1 a mx ~all"

On äärmiselt oluline, et domeenil oleks ainult üks SPF-kirje. Mitu kirjet võib põhjustada valideerimisvea.

Kui IP-aadress erineb teie praeguse serveri aadressist või kui selline kirje puudub, muutke või looge see oma DNS-i pakkuja juhtpaneelil:

Kui IPv6 on olemas:

  • Tüüp: TXT
  • Nimi: @
  • Väärtus: v=spf1 ip4:1.2.3.4 ip6:2001:db8:1:11::1 a mx ~all

Kui IPv6 puudub:

  • Tüüp: TXT
  • Nimi: @
  • Väärtus: v=spf1 ip4:1.2.3.4 a mx ~all

SPF-kirjel on palju lisavalikuid, kuid see komplekt on piisav õigeks sõnumite saatmiseks.

6. samm. DKIM-kirje kontrollimine

DKIM on sõnumi digitaalne allkiri, mis kinnitab, et see saadeti määratud domeenist ja seda pole võltsitud. Allkirja kontrollimiseks kasutatakse TXT DNS-kirjet avaliku võtmega: esmalt luuakse serveris allkiri ja seejärel avaldatakse võti DNS-is.

Oma meilidomeeni DKIM-i allkirja saamiseks on erinevaid viise, kuid selle artikli piires käsitleme kõige lihtsamat võimalust - FASTPANELi kasutamist. FASTPANELis luuakse meilidomeenide jaoks DKIM-i allkiri vaikimisi.

nõuanne

FASTPANEL on meiliserveriga töötamiseks äärmiselt mugav: te ei pea midagi käsitsi konfigureerima ega installima. Otse karbist saate konfigureeritud meiliserveri täisväärtuslikuks tööks sissetuleva ja väljamineva e-postiga, samuti mugava veebimeili kliendi.

Seega, kõik, mida peate tegema, on kopeerida avalik võti ja lisada see vastavasse DNS-i kirjeesse. Selleks minge paneelil jaotisse „Halduse“ → „Post“ ja klõpsake oma meilidomeeni nimega rea lõpus nuppu „DKIM“:

dns-records-configuration-spf-dkim-dmarc-ptr-mx-prevent-email-spam-guide

Seejärel kopeerige avalik võti:

dns-records-configuration-spf-dkim-dmarc-ptr-mx-prevent-email-spam-guide

Looge oma DNS-i pakkuja poolel järgmine DNS-i kirje:

  • Tüüp: TXT
  • Nimi: dkim._domainkey
  • Väärtus: varem kopeeritud võti

Kui selline kirje juba eksisteerib, on parem ikkagi võtme väärtus uueks asendada, et olla kindel, et see on ajakohane.

DKIM-kirjeid võib olla mitu, kuid sel juhul peavad neil olema erinevad nimed. Näiteks kirjetel nimedega dkim._domainkey ja mail._domainkey samaaegselt ei ole probleeme.

Pärast konfiguratsiooni ja DNS-i puhverdamise värskendamist saate DKIM-kirje olemasolu kontrollida käsuga:

dig TXT dkim._domainkey.example.com +short

7. samm. DMARC-kirje kontrollimine

DMARC määrab reeglid SPF või DKIM läbikukkumise korral sõnumite käitlemiseks.

Kirje kontrollimine:

dig TXT _dmarc.example.com +short

Näite väljund:

"v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s"

DMARC-kirjel on palju lisavalikuid, kuid tavapärastes stsenaariumites piisab järgmise vormi kirje lisamisest:

  • Tüüp: TXT
  • Nimi: _dmarc
  • Väärtus: v=DMARC1; p=reject

8. samm. Sendmail_path muutuja kontrollimine (valikuline)

See samm on väga kasulik, kui saadate sõnumeid otse oma veebisaidilt (näiteks teadete vormide kaudu või tellimusi esitades). Et tagada, et kõik vajalikud DNS-i kirjed oleksid selliste sõnumite puhul arvesse võetud, määrake oma saidi PHP sätetes muutuja sendmail_path järgmine väärtus:

/usr/sbin/sendmail -t -i -f "[email protected]"

Näiteks FASTPANELis saate seda teha saidi kaardil jaotises „PHP-sätted“.

Hostinime ja PTR konfiguratsioon

PTR (või rDNS) on tagurpidine DNS-kirje, mis seob IP-aadressi domeeninimega.

Serveri hostinimi on lihtsalt nimi, mille järgi serverit võrgus saab tuvastada.

Kui PTR ei vasta serveri hostinimele, satuvad sõnumid peaaegu kindlasti rämpsposti.

Parim tava on seada mõlemad väärtused mail.example.com (pidage meeles, et seda väärtust tuleb alati asendada oma domeeni tegeliku nimega).

9. samm. Hostinimi

Serveri praeguse hostinime väljaselgitamiseks käivitage käsk:

hostname

Selle muutmiseks käivitage:

sudo hostnamectl set-hostname mail.example.com

Seejärel käivitage uuesti käsk hostname, et veenduda, et kõik on õige.

10. samm. PTR

PTR-kirje olukord on pisut erinev: seda saab muuta ainult IP-aadressi omanik, st teie hostingu pakkuja. Saate selle artikli kohta lisateavet.

Mõned hostingu pakkujad võimaldavad teil muuta PTR-kirjet oma isiklikus kontos. Võite proovida seda seal ise teha. Kui see ei õnnestu, võtke ühendust tehnilise toega ja paluge neil seadistada PTR-kirjena järgmine väärtus:

mail.example.com

Pidage meeles, et seda väärtust tuleb alati asendada oma domeeni tegeliku nimega.

Muudatused rakenduvad tavaliselt kohe; sel juhul pole vaja DNS-i puhverdamise värskendusi oodata. Praegust PTR-kirjet saate kontrollida käsuga:

dig -x 1.2.3.4 +short

Lõplik kontroll

Kui jõudsite selle jaotuseni, õnnitleme teid – olete finišisirge lähedal. Nüüd jääb vaid üle kontrollida, et kõik on õigesti konfigureeritud ja et teie serverist saadetud sõnumid jõuavad peaaegu kindlalt mis tahes adressaadi sisendkausta. Enne seda veenduge, et olete oodanud DNS-i puhverdamise värskendusi. Parim on oodata vähemalt 1-2 tundi pärast viimaseid muudatusi DNS-i kirjetes.

Selliste kontrollide jaoks on palju kolmandate osapoolte teenuseid. Võite kasutada ükskõik millist neist. Selles artiklis kasutame teenust mail-tester.com.

Kontrolli sooritamiseks minge sellele veebisaidile ja kopeerige testpostkasti nimi:

dns-records-configuration-spf-dkim-dmarc-ptr-mx-prevent-email-spam-guide

Saada sõnum sellele aadressile mis tahes teie domeeni postkastist ja klõpsake nuppu „Siis kontrollige oma skoori”. Ärge unustage määramast teemat ja sisestada midagi sõnumi kehasse.

Pärast seda kuvab teenus DKIM, SPF, DMARC kontrollimise tulemused, PTR-kirje olemasolu ja sõnumi üldise „maine“ skoori, samuti selle, kas teie server on SPAM-i mustades nimekirjades.

Kui olete hoolikalt ja järjekindlalt järginud kõiki selle artikli samme, on tulemus 10/10. Kui see on madalam, uurige mail-tester soovitus. Need selgitavad üksikasjalikult, mis probleem on ja kuidas seda lahendada.

Lisaks saate kontrollida, kas teie server on SPAM-i mustades nimekirjades, kasutades veel ühte suurepärast teenust:

 https://mxtoolbox.com/blacklists.aspx

Kui mõni kontroll näitab, et teie serveri IP-aadress sattus ühte loenditesse, võtke ühendust oma hostingu pakkujaga, et nad saaksid probleemi lahendamisel aidata.

Nii lõpeb konfiguratsioon. Kui te ei soovi oma uurimustööle aega kulutada või olete kokku puutunud probleemidega, võite alati pöörduda kodu.cloud tehnilise toe poole. Teeme kõik siin kirjeldatud sammud meie klientide jaoks võimalikult kiiresti igal ajal tasuta.