Меню

Настройка dmarc на jino

HowTo: DMARC

Недавно пришлось столкнуться со спамящим php-скриптом. Виновник был найден и уничтожен, дыра закрыта… Оставался вопрос с блэклистами. В частности перестала доходить почта на Gmail (reject).
Решил я настроить почту «как надо» — SPF, DKIM и попробовать настроить DMARC.
Оговорюсь сразу — я даже не пробовал разобраться с макросами и не настраивал aspf/adkim (хоть и написал о них).

Что такое DMARC?

Настройка DMARC

Можно почитать документацию и постигнуть Дзен, а можно настроить самую базовую политику — настраивается очень просто — к домену добавляется запись

Базовый DMARC

_dmarc.domain.tld IN TXT «v=DMARC1; p=;»

Но такая настройка подходит только в случае единичного сервера и только если вам всё равно доходит почта или нет. Более правильная политика, учитывающая наличие поддоменов с которых может слаться почта и позволяющая получать отчеты:

Простой DMARC

_dmarc.domain.tld IN TXT «v=DMARC1; p=none; sp=none; rua=mailto:postmaster@domain.tld»

Это, разумеется, не всё, но для группы вебсерверов на этом можно и остановиться. А я, пожалуй, продолжу.

Готовим сложный DMARC

Organizational Domain:
The domain that was registered with a domain name registrar. In the absence of more accurate methods, heuristics are used to determine this, since it is not always the case that the registered domain name is simply a top-level DNS domain plus one component (e.g., «example.com», where «com» is a top-level domain). The Organizational Domain is determined by applying the algorithm found in Section 3.2.
.
The Organizational Domain is determined using the following algorithm:

1. Acquire a «public suffix» list, i.e., a list of DNS domain names reserved for registrations. Some country Top-Level Domains (TLDs) make specific registration requirements, e.g., the United Kingdom places company registrations under «.co.uk»; other TLDs such as «.com» appear in the IANA registry of top-level DNS domains. A public suffix list is the union of all of these. Appendix A.6.1 contains some discussion about obtaining a public suffix list.
2. Break the subject DNS domain name into a set of «n» ordered labels. Number these labels from right to left; e.g., for «example.com», «com» would be label 1 and «example» would be label 2.
3. Search the public suffix list for the name that matches the largest number of labels found in the subject DNS domain. Let that number be «x».
4. Construct a new DNS domain name using the name that matched from the public suffix list and prefixing to it the «x+1″th label from the subject domain. This new name is the Organizational Domain.

Читайте также:  Как зайти в настройки роутера киевстар

Thus, since «com» is an IANA-registered TLD, a subject domain of «a.b.c.d.example.com» would have an Organizational Domain of «example.com».

The process of determining a suffix is currently a heuristic one. No list is guaranteed to be accurate or current.

Как правильно использовать DMARC?

Тут всё зависит от ваших потребностей:
Для вебсерверов я бы рекомендовал простой DMARC, указанный мною ранее:
_dmarc.domain.tld IN TXT «v=DMARC1; p=none; sp=none; rua=mailto:postmaster@domain.tld»

При перенастройках SPF/DKIM также неплохо выставлять ruf=mailto:your-mbox@domain.tld и fo=1 для получения отчетов о поломках.

Источник

Настройка DKIM/SPF/DMARC записей или защищаемся от спуфинга

1. DKIM

DKIM (DomainKeys Identified Mail) — это метод e-mail аутентификации, основанный на проверке подлинности цифровой подписи. Публичный ключ хранится TXT записи домена.

Зачем же он нужен?

DKIM необходим для того, чтобы почтовые сервисы могли проверять, является ли отправитель достоверным или нет. Т.е. защищает получателя письма от различных мошеннических писем (которые отправлены с подменой адреса отправителя).

Настройка DKIM подписи и DNS записей

Для это нам необходимо создать пару ключей:

Или можно воспользоваться онлайн-сервисом, чего я крайне не советую.

Далее необходимо указать путь с секретному ключу в файле конфигурации (для этого лучше почитать документацию) почтового сервера и публичный ключ в DNS.

Так же стоит прописать ADSP запись, которая позволяет понять, обязательно должно быть письмо подписано или нет.
_adsp._domainkey.example.com. TXT «dkim=all»

Значений может быть три:
all — Все письма должны быть подписаны
discardable — Не принимать письма без подписи
unknown — Неизвестно (что, по сути, аналогично отсутствию записи)

2. SPF

SPF (Sender Policy Framework) — расширение для протокола отправки электронной почты через SMTP. SPF определен в RFC 7208 (Wiki). Если простым языком, то SPF — механизм для проверки подлинности сообщением, путем проверки сервера отправителя. Как по мне, данная технология полезна в связке в другими (DKIM и DMARC)

Настройка SPF записей

» — дополнительные проверки, «?» — нейтрально.

3.DMARC

Domain-based Message Authentication, Reporting and Conformance (идентификация сообщений, создание отчётов и определение соответствия по доменному имени) или DMARC — это техническая спецификация, созданная группой организаций, предназначенная для снижения количества спамовых и фишинговых электронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя (Wiki). То есть почтовый сервер сам решает, хорошее сообщение или плохое (допустим, исходя из политик выше) и действует согласно DMARC записи.

Читайте также:  Супн 8 настройка нормы высева

Настройка DMARC записей

Типичная запись выглядит так: _dmarc.your.tld TXT «v=DMARC1; p=none; rua=mailto:postmaster@your.tld»
В ней не предпринимаются никакие действия, кроме подготовки и отправки отчета.

ruf — отчеты писем, не прошедшие проверку DMARC. В остальном все так же, как и выше.

Эпилог

Мы научились настраивать DKIM/SPF/DMARC и противостоять спуфингу. К сожалению, это не гарантирует безопасность в случае взлома сервера или же отправки писем на серверы, не поддерживающие данные технологии. Благо, что популярные сервисы все же их поддерживают (а некоторые и являются инициаторами данных политик).

Эта статья — лишь инструкция по самостоятельной настройке записей, своего рода документация. Готовых примеров нет намеренно, ведь каждый сервер уникален и требует своей собственной конфигурации.

Источник

Email-аутентификация: спасаем почту от мошенников и папки «Спам»

Пользователи «Джино.Почты» наверняка замечали в настройках вот такие кнопки рядом с доменами:

С их помощью для доменной почты можно подключить email-аутентификацию — проверку адреса отправителя письма на подлинность. Да, бывает так, что мошенники посылают ничего не подозревающим пользователям письма от лица другого человека с целью обмана. А ещё письма с ящиков без настроенной email-аутентификации попадают в папку «Спам» гораздо чаще, чем сообщения с проверенных ящиков.

Чтобы с вами всего этого не происходило, нужны SPF, DKIM и DMARC. Этими тремя технологиями способы аутентификации не ограничиваются, но именно они являются основой для проверки писем по электронной почте.

SPF (Sender Policy Framework) — механизм подтверждения того, что письмо было отправлено именно тем человеком, которому принадлежит указанный почтовый адрес. Ведь злоумышленники способны отправлять письма с чужого ящика, не заходя в него с помощью пароля.

Личность отправителя подтверждается с помощью заранее составленного списка IP-адресов, используемых для отправки писем с почтовых ящиков конкретного домена. Перед доставкой сообщения получателю принимающий сервер с помощью SPF сопоставляет IP, откуда оно пришло, с IP указанного отправителя. Если IP-адрес совпадает с каким-либо адресом из списка, письмо попадает в папку «Входящие».

Схема работы SPF

DKIM (DomainKeys Identified Mail) — тоже метод подтверждения домена отправителя, но на более сложном уровне. В этом случае используются два ключа (уникальных сочетаний символов), приватный и публичный. Приватный размещается в письме, а публичный — на сервере.

Читайте также:  Vmware cluster ha настройка установка

При предварительном получении письма происходит обращение к публичному ключу, который позволяет расшифровать приватный. Если расшифровка происходит успешно, авторство письма подтверждается, а вместе с ним подтверждается и высокая репутация отправителя. В противном случае почтовый ящик теряет репутацию, что чревато дополнительными проверками или вовсе занесением в «чёрный список» почтовых адресов.

Схема работы DKIM

DMARC (Domain-based Message Authentication, Reporting and Conformance) — система мер, которые применяются к отправителям, не прошедшим проверку с помощью DKIM и SPF. DMARC определяется самим отправителем писем.

Технология применяется для получения статистики по email-рассылкам и для защиты от спуфинга, то есть использования домена для отправки мошеннических писем от имени другого человека. Если кратко, то, согласно установленной на домене политике DMARC, подозрительные сообщения могут либо отклоняться, либо помечаться как спам или просто пропускаться дальше — зависит от пожеланий владельца домена.

Чтобы воспользоваться всеми тремя механизмами email-аутентификации, необходимо добавить записи на DNS-сервер домена, который используется для создания ящиков. Точный алгоритм действий зависит от конкретного провайдера, на сервера которого указывают NS-записи домена. Мы же расскажем, как подключить SPF, DKIM и DMARC на доменах, делегированных на «Джино».

В начале статьи мы уже упомянули о том, что в разделе «Почта / Управление / Почтовые ящики» рядом с каждым доменом есть кнопки для подключения email-аутентификации. Нажмите на одну из них, после чего на экране появится небольшое меню с возможностью активировать DKIM и SPF. Кликните на переключатели — и нужные записи автоматически добавятся на DNS-сервере.

Для подключения DMARC перейдите в раздел «Домены / Управление». Затем откройте настройки домена, а в них — вкладку «DNS». Нажав на кнопку «Новая DNS-запись», выберите тип записи «TXT» и добавьте в поле следующую строку:

v=DMARC1; p=reject; sp=reject; ruf=mailto:example@your.tld; fo=1

После ruf=mailto: вместо example@your.tld укажите адрес электронной почты, на который вы хотели бы получать детальные отчёты о письмах, не прошедших проверку с помощью SFP или DKIM.

Все эти несложные действия помогут повысить репутацию домена в глазах почтовых сервисов и защитить сам домен от посягательств злоумышленников.

Источник