GNU/Linux >> Linux Esercitazione >  >> Panels >> Plesk

Come creare record di convalida della posta:SPF, DKIM, DMARC

Hai mai avuto:

  • Un messaggio e-mail è tornato indietro con una risposta criptica come "5.7.1 Comando rifiutato" o qualcuno ti ha inviato un'e-mail solo per ricevere un messaggio simile?
  • Un'email non recapitata con una risposta chiara relativa a un record SPF o a un errore del record DKIM (o DomainKeys)?
  • Le tue email arrivano nella cartella spam di destinazione o non arrivano affatto?

Cosa lo sta causando? Perché viene rifiutato o filtrato per lo spam? Sebbene possano esserci ulteriori motivi per cui un messaggio viene filtrato come spam, il più delle volte si verifica uno dei problemi sopra indicati a causa di un problema con la configurazione della protezione dallo spoofing dell'email del dominio di invio.

Queste protezioni sono denominate SPF, DKIM e DMARC e ognuna assume la forma di uno o due record DNS che possono essere configurati per garantire che la reputazione di invio e-mail del tuo dominio rimanga solida.

Sebbene singolarmente questi record non garantiscano la prevenzione di indirizzi contraffatti, combinati fanno molto per aiutare a prevenirlo. Gli spammer utilizzano comunemente la contraffazione del mittente per tentare di indurre i destinatari a leggere le loro email SPAM.

Suggerimento:DKIM ha anche un'intestazione di posta corrispondente, quindi, se decidi di utilizzare un record DNS DKIM, dovrai assicurarti che tutti i messaggi e-mail vengano instradati attraverso il tuo server SMTP:non possono esserci altre fonti di posta o server di posta alternativi utilizzati, mentre hai un record DNS DKIM pubblicato.

Ecco una ripartizione di ciascun tipo di record e di come funzionano.

Registrazione SPF

I record SPF sono un modo per un proprietario/gestore di un dominio di indicare quali server sono autorizzati a inviare posta per conto di quel dominio. Questo aiuta a impedire agli spammer o ad altri malintenzionati di inviare posta che sembra provenire dal tuo dominio.

Hai bisogno di aiuto per ottenere il tuo record SPF giusto? Scorri verso il basso fino al nostro generatore di record SPF di seguito.

Allora come funziona? Un record SPF è un record DNS per il tuo dominio (un record di tipo TXT) simile a questo:

v=spf1 include:_spf.websavers.ca +a +mx +ip4:2.2.2.2 -all

Analizziamolo. Ogni parte del record significa qualcosa di diverso ed è separata da spazi bianchi:

  1. v=spf1 –> Questo indica che si tratta di un record SPF, versione 1 (predefinito/standard)
  2. include:_spf.websavers.ca –> Include dichiarazioni significa includere i record SPF disponibili all'indirizzo fornito. Questo in particolare significa includere tutti i server di posta in uscita che Websavers ha ritenuto accettabili. Sono pubblicati su _spf.websavers.ca (non puoi andare lì in un browser web per vederli, sono visibili solo alle richieste DNS)
  3. +a +mx –> Consenti ai server che risiedono su entrambi gli indirizzi dei record A e MX di inviare e-mail. Puoi eseguire una ricerca del tuo dominio per sapere a cosa sono impostati i record A e MX, o semplicemente guardare in Plesk o nel tuo host DNS se il DNS non è ospitato da noi.
  4. +ip4:2.2.2.2 –> Il server con indirizzo IP 2.2.2.2 è autorizzato a inviare e-mail dal tuo dominio
  5. -tutti –> Non consentire ad altri server di inviare messaggi.

Potresti vedere altri che usano ~all (con una tilde anziché un trattino), che è un debole equivalente del nostro "-all" predefinito. Usare un ~ è un po' come dire "se non corrisponde a questi, dipende da te se è legittimo o meno". Si consiglia vivamente di utilizzare "-all" come mostrato sopra. Ciò indica un'affermazione molto più ferma di "solo questi server sono validi".

Se vuoi saperne di più su SPF, come opzioni aggiuntive per ciò che puoi includere, controlla il sito web di OpenSPF.

Qualsiasi server che non compare nel tuo record SPF utilizzando uno dei metodi sopra descritti non è autorizzato a inviare email utilizzando nessuno degli indirizzi email di quel dominio e tutti i messaggi inviati tramite tali server potrebbero essere contrassegnati come spam o bloccati interamente a destinazione.

Usi la posta esterna? Anche se passi a utilizzare un provider di posta esterno, ma mantieni il tuo sito web ospitato presso di noi, è comunque importante mantenere entrambi i +a e include:_spf.websavers.ca nel tuo record SPF. Questo perché il tuo sito web spesso invia e-mail direttamente dal server su cui è ospitato (ad es. e-mail di registrazione o di notifica dell'ordine) anziché inviarle tramite il tuo provider di posta elettronica e desideri comunque consentire l'invio corretto di tali e-mail.

Generatore di record SPF

Abbiamo creato uno strumento per aiutarti a generare il record SPF corretto per il tuo dominio. Compila il modulo sottostante e verrà generato un record SPF da utilizzare.

Riferimento di configurazione SPF comune

I seguenti valori sono not l'intero record SPF, solo la parte che vorrai aggiungere al tuo record SPF per consentire ai server SMTP dell'azienda corrispondente di inviare email per conto del tuo dominio.

Quando aggiungi, assicurati che ci siano spazi tra queste aggiunte e le altre parti del record SPF. Assicurati inoltre che il tuo record inizi con v=spf1 e termina con ~all (sciolto) o -tutto (più severo). Guarda il record di esempio nella parte superiore di questa pagina per una rappresentazione visiva di dove inserire questi record.

  • Salvatori Web: includono:_spf.websavers.ca
  • Google: include:_spf.google.com (dettagli)
  • Bellnexxia: +ptr:bellnexxia.net
  • Eastlink: includono:_spf.eastlink.ca
  • Microsoft Office 365 :include:spf.protection.outlook.com (dettagli)
  • GoDaddy: include:spf.secureserver.net
  • Yahoo: Non possibile. Usa invece DMARC e forza il proprio SMTP a essere utilizzato solo dagli account Yahoo.
  • Shopify: include:shops.shopify.com (dettagli)

Registrazione DKIM

I record DKIM non sono un componente strettamente richiesto, tuttavia aggiungeranno più fiducia, quindi se puoi usarli, dovresti.

Il problema più grande con i record DKIM è che sono un sistema di convalida in due parti:sia un record DNS che un'intestazione che viene aggiunta a ogni singola e-mail dal server di posta in uscita (SMTP). Per questo motivo, devi assolutamente assicurarti che tutte le e-mail inviate dagli indirizzi @tuodominio.com passino attraverso lo stesso identico server SMTP. Ciò significa che anche i messaggi inviati tramite il tuo sito Web, CRM e qualsiasi altro strumento Web o basato su server che invia e-mail per conto del tuo dominio devono essere configurati per utilizzare il tuo server SMTP per trasmettere i messaggi.

  • Host email esterno :se la tua email è ospitata esternamente, temo che tu debba parlare con il tuo provider di posta per ottenere il record DNS corretto da applicare.
  • Websavers Exchange Mail: Il nostro servizio Exchange è uno di questi servizi che non supporta DKIM, quindi puoi saltare questa sezione.
  • Websavers Plesk Hosting: Se sei ospitato con noi su condiviso, rivenditore o VPS (con Plesk Panel), puoi semplicemente abilitare DKIM in Plesk e configurerà sia il server SMTP che il tuo DNS di conseguenza! Consulta questa guida di Plesk per informazioni su come abilitare DKIM. Se il tuo DNS è esterno, puoi controllare il record DNS che Plesk ha creato per questo scopo e dovrai duplicarli sul tuo host DNS. Tieni presente che possiamo aiutarti con questo processo solo se il tuo DNS è ospitato presso di noi, altrimenti il ​​tuo host DNS dovrà essere la tua strada per il supporto.

Record DMARC

Laddove DKIM e SPF vengono utilizzati per verificare che le e-mail provengano dai server corretti, DMARC si basa su tali strumenti (in particolare SPF) e viene utilizzato per verificare che la busta e gli indirizzi e-mail siano corretti. Aiuta anche i mittenti a sapere come va la loro posta con i grandi fornitori come Google e Microsoft pubblicando un indirizzo email a cui tu (come mittente) desideri ricevere rapporti sulla capacità di recapito.

Mentre il record SPF non utilizza sottodomini e si applica direttamente al tuo dominio root (@), DMARC utilizza il sottodominio _dmarc . Ecco come appare nella sua forma più semplice:

  • Sottodominio:_dmarc
  • Digita:TXT
  • Valore:v=DMARC1; p=nessuno

Ma quel disco dice fondamentalmente "hey, ho un record SPF e possibilmente un record DKIM, ma non desidero che tu (il destinatario) faccia qualcosa di speciale con DMARC". Ravviviamolo un po' e forniamo un paio di valori alternativi da usare. Nota che con ognuno di questi il ​​sottodominio e il tipo sono sempre gli stessi di sopra e non dovresti mai pubblicare più record DMARC.

Il seguente esempio di record dice di mettere in quarantena (questo di solito significa mettere nello spam, ma alcuni provider nascondono letteralmente il messaggio dai destinatari fino a quando un amministratore di posta elettronica non lo consente) tutti i messaggi che non corrispondono (SPF, DKIM, Envelope). Dice inoltre che per il 20% di tutti i messaggi ricevuti dal tuo dominio, in caso di errori, invia un rapporto su ogni errore all'indirizzo email specificato.

v=DMARC1; p=quarantine; pct=20; ruf=mailto:[email protected];

Il seguente record dice di:rifiutare tutti i messaggi che non corrispondono; che desideri ricevere segnalazioni circa il 100% dei guasti; che DKIM dovrebbe essere trattato come rilassato; che SPF dovrebbe essere trattato come severo; che non si desidera visualizzare rapporti *singoli* su ciascun messaggio non riuscito (ruf ), ma ottieni piuttosto un rapporto aggregato (rua ). Credo che i rapporti vengano generalmente inviati mensilmente, ma ciò potrebbe essere a discrezione del provider ricevente, come Google o Microsoft.

v=DMARC1; p=reject; pct=100; adkim=r; aspf=s rua=mailto:[email protected];

Dovrai inserire l'effettivo indirizzo email a cui desideri ricevere questi rapporti, altrimenti lascia semplicemente fuori l'opzione rua/ruf e l'opzione pct, in quanto è inutile se non vuoi vedere i rapporti. Puoi usare pct e ruf/rua con p=none. Ciò significherà solo che il server ricevente trasmetterà il messaggio normalmente anche se fallisce i controlli DKIM, SPF, DMARC.

Le opzioni adkim e aspf sembrano essere rilassate per impostazione predefinita se le tralasciate.

Suggerimento:dovresti sempre usare DMARC, anche se non hai abilitato DKIM. Ma assicurati di avere SPF configurato correttamente, altrimenti DMARC non ti sarà utile.

Dove inserisco questi record DNS?

Se il tuo DNS è ospitato da noi, ecco come modificare i tuoi record DNS. In quella guida, cercherai di modificare un record esistente di tipo TXT .

Se il tuo DNS è ospitato altrove, dovrai accedere al loro pannello per modificare o aggiungere il tuo record SPF.

Con il nostro hosting Plesk configuriamo tutti questi record per te, tuttavia se riscontri problemi con la deliverability, dovresti ricontrollare che siano corretti. Potresti avere una versione precedente del record che non è ottimale oppure tu o qualcuno con accesso al tuo account potresti averlo modificato senza conoscerne le implicazioni.

Non creare più record SPF. Se ne vedi uno esistente nelle tue impostazioni DNS, assicurati di modificarlo piuttosto che aggiungerne un altro . I record duplicati spesso non faranno funzionare nessuno di essi.

Poiché si tratta di record DNS, le modifiche apportate alle impostazioni DNS richiederanno alcune ore (fino a 48 ore) per essere applicate in tutto il mondo. Per favore sii paziente.

Risoluzione dei problemi

Errore troppe ricerche SPF: se vedi un errore con un controllo record SPF relativo a troppe ricerche, la semplice interpretazione è che ci sono troppi elementi nel tuo record. L'unico modo per risolvere questo problema è rimuovere gli elementi meno importanti dal tuo record SPF e/o consolidare i servizi di posta in modo da non utilizzarne così tanti. Se utilizzi un servizio di mailing list, puoi cambiare la sua configurazione per utilizzare un sottodominio come mailing-list.mydomain.com e spostare invece quella parte del tuo record SPF nel record SPF del sottodominio.

Leggi di più sull'errore SPF Too Many Lookups in questo articolo dettagliato qui.

Se utilizzi un servizio di posta esterno come Google Workspace (in precedenza G Suite), la soluzione migliore per ridurre il numero totale di ricerche è rimuovere la parte Websavers del record SPF (include:_spf.websavers.ca ). Ma se lo fai, assicurati assolutamente che tutti i siti web che hai ospitato con noi siano configurati per inviare e-mail utilizzando il servizio SMTP del tuo provider di posta esterno (come Google Workspace in questo esempio). Ciò assicurerà che tutta la posta proveniente dal sito Web passi attraverso un server SMTP che rimane autorizzato nel tuo record SPF e non i nostri server che non rimarranno nel tuo record SPF.

Se devi rimuovere l'istruzione "include", conservala definitivamente in quanto consentirà al nostro inoltro di posta principale di continuare a servire la tua posta:

+ip4:149.56.38.109

Messaggi consegnati a Spam o Posta indesiderata: se hai configurato correttamente tutti i record DNS di cui sopra e sono trascorse 48 ore da quando lo hai fatto (ricorda che le modifiche al DNS richiedono tempo per propagarsi), ma le tue e-mail continuano ad arrivare nelle cartelle di posta indesiderata dei tuoi destinatari, consulta la nostra guida alla risoluzione dei problemi qui.


Plesk
  1. Come installare DKIM sul server Ubuntu

  2. Come creare record SRV in hosting condiviso

  3. Come creare un account di posta in Plesk

  4. Come creare o aggiungere un gruppo di posta in Plesk

  5. Come utilizzare DNS esterno con Plesk

Come creare un account di posta nel pannello di Plesk

Come gestire i record SPF su cPanel?

Come gestire i record DKIM su cPanel?

Come impostare i record SPF e DKIM

Come impostare i record DMARC nel cPanel

Come aggiungere o modificare un record DNS in Plesk