Uwierzytelnianie poczty e-mail przez SPF i DKIM

Znowu się zaczyna! Znowu akronimy, rzeczy, które warto wiedzieć, znowu informacje dla nerdów! No nie, to poważna sprawa, a prawidłowe dostarczanie Twoich e-maili zależy od tych akronimów. Wiemy z własnego doświadczenia, że ​​te akronimy mogą brzmieć obco, przerażająco i mogą wydawać się zupełnie nieciekawe. A może brzmią znajomo, ale nigdy nie zależało ci na tyle, by sprawdzić, czym naprawdę są. Spróbujmy coś zrobić przejrzystość dla osób niebędących technikami.

Tak czy inaczej, nadszedł czas, aby dowiedzieć się trochę o tym, czym są SPF i DKIM oraz jak skonfigurować je w rekordach DNS serwera pocztowego, jeśli chcesz mieć lepszą kontrolę nad dostarczaniem wiadomości e-mail. Postaram się wyjaśnić to prostymi słowami, które będą zrozumiałe nie tylko dla programistów.

Co to jest SPF? Jak działa SPF?

Mówiąc prościej, Sender Policy Framework (SPF) to mechanizm bezpieczeństwa stworzony w celu zapobiegania wysyłaniu wiadomości e-mail przez przestępców w Twoim imieniu. Mechanizm polega na komunikacji między serwerami DNS… i tutaj wszystko zaczyna wyglądać przerażająco! Ale nie panikuj. Postaram się, aby było to tak proste, jak to tylko możliwe.

Załóżmy, że wysłałeś wiadomość e-mail do Boba. Ale skąd serwer DNS Boba wie, że wiadomość e-mail została faktycznie wysłana przez Ciebie? Problem w tym, że tak naprawdę nie wie. Chyba że masz skonfigurowany SPF na serwerze DNS. No cóż, musielibyśmy wyjaśnić, czym jest serwer DNS, ale pomińmy to, bo inaczej wyślesz mnie do piekła!

SPF określa, które adresy IP mogą być używane do wysyłania wiadomości e-mail z Twojej domeny. Wyobraźmy sobie więc dwie możliwe „rozmowy” między serwerami. Aby to ułatwić, załóżmy, że masz na imię Paweł.

Scenariusz 1 – Nie ustawiłeś SPF.

Serwer Mike'a: Hej, serwer Boba. Mam nową wiadomość od Mike'a.
Serwer Boba: Cześć serwer Mike'a. Jaki masz filtr SPF?
Mike's Server: Tak, o SPF… kogo to obchodzi, naprawdę. nie mam jednego. Zaufaj mi, to od Mike'a.
Bob's Server: Jeśli nie masz SPF, nie mogę być pewien, czy Mike go wysłał. Podaj mi dozwolone adresy IP Mike'a, żebym mógł je porównać z twoimi.
Serwer Mike'a: Nie mam białej listy adresów IP Mike'a.
Serwer Boba: W takim razie nie chcę twojej wiadomości. Odmowa dostawy. Przepraszam kolego…

Scenariusz 2 – Ustawiłeś SPF.

Serwer Mike'a: Hej, serwer Boba. Mam nową wiadomość od Mike'a.
Serwer Boba: Cześć serwer Mike'a. Jaki masz filtr SPF?
Serwer Mike'a: Oto mój SPF. Istnieje cała lista adresów IP, które sam Mike zadeklarował jako te, których można użyć w jego imieniu.
Serwer Boba: Ok, zobaczę… A wiadomość, którą masz do mnie, jest wysyłana z adresu IP 64.233.160.19. Ok, jest na liście. Wszystko wygląda dobrze. Daj mi wiadomość, pokażę ją Bobowi. Dziękuję!

Przepraszam wszystkich czytelników sys za to uproszczenie, wiem, że masz dreszcze, ale proszę, wybacz mi i pamiętaj, że zazdrościmy ci wiedzy technicznej, ale muszę mówić do publiczności nietechnicznej i muszę upraszczać.

W każdym razie morał z tych dwóch krótkich dialogów jest następujący: ustaw swój SPF. Jeśli tego nie zrobisz, możesz wyglądać jak zły chłopiec i nie wszystkie Twoje e-maile zostaną dostarczone.

Jakie aplikacje należy uwzględnić w SPF?

Ogólną ideą jest upewnienie się, że wszystkie aplikacje, które wysyłają e-maile w Twoim imieniu (i które używają ich SMTP, a nie Twojego) są uwzględnione w Twoim SPF. Na przykład, jeśli używasz Google Apps do wysyłania e-maili ze swojej domeny, powinieneś umieścić Google w swoim SPF. Oto instrukcje Google, jak to zrobić.

Ale ważne jest, aby upewnić się, że Google nie jest jedyną aplikacją, która ma uprawnienia w Twoim SPF. Na przykład, jeśli używamy HelpScout do zarządzania naszymi e-mailami wsparcia i MailChimp do wysyłania naszych biuletynów, uwzględniamy oba w naszym SPF.

Czy powinienem również uwzględnić dzięcioła w moim SPF?

Nie. Jak już powiedziałem, powinieneś pamiętać o umieszczeniu aplikacji, które wysyłają e-maile w Twoim imieniu, ale używają własnego SMTP, w swoim rekordzie SPF. Woodpecker używa własnego SMTP do wysyłania wiadomości e-mail, więc jest to bardziej internetowy klient poczty e-mail niż aplikacja do masowej poczty e-mail.

To powiedziawszy, dostarczalność wiadomości e-mail wysyłanych z Woodpecker zależy od reputacji Twojej domeny. Ustawienie SPF i DKIM pomoże Ci chronić dobrą reputację Twojej domeny, a tym samym poprawić dostarczalność Twoich e-maili.

Jak krok po kroku ustawić rekord SPF na serwerze?

Pierwszym krokiem jest sprawdzenie, jaki jest Twój aktualny rekord SPF. Możesz to zrobić za pomocą narzędzi takich jak:

• MxToolbox
• Zestaw narzędzi Aplikacji Google

Gdy wpiszesz swoją domenę (na przykład wpiszę woodpecker.co), narzędzia przeprowadzą kilka testów i pokażą aktualny SPF lub powiadomienie, że nie został jeszcze ustawiony.

Jakie są kolejne kroki?

W zależności od usługodawcy hostingowego domeny kroki będą się różnić. Zasadniczo jest to kwestia wklejenia odpowiednio ustrukturyzowanego wiersza tekstu we właściwe miejsce w konsoli. Jeśli na przykład używasz Aplikacji Google do wysyłania wszystkich e-maili ze swojej domeny, wiersz powinien wyglądać następująco:

„v=spf1 zawiera:_spf.google.com ~wszystko”

Część „v=spf1” rekordu nazywana jest wersją, a te, które następują po niej, nazywane są mechanizmami.

Zobaczmy teraz, co dokładnie oznacza każda część.

• v=spf1 ten element identyfikuje rekord jako SPF
• obejmuje:_spf.google.com ten mechanizm obejmuje serwery pocztowe, które są serwerami autoryzowanymi
• ~v=spf1 ten element wskazuje, że jeśli wiadomość e-mail zostanie odebrana z nieautoryzowanego serwera (nie wymienionego w mechanizmie „include:”), zostanie ona oznaczona jako miękka porażka, co oznacza, że ​​może zostać przepuszczona, ale może zostać oznaczona jako spam lub podejrzana.

Ale jeśli używasz więcej aplikacji niż ta (na przykład czegoś do wysyłania biuletynu, czegoś do wysyłania wiadomości wsparcia itp.), Linia będzie nieco dłuższa, ponieważ będziesz musiał uwzględnić wszystkie inne aplikacje w To. Lub jeśli nie używasz Google Apps, ale serwer z innego hosta, na przykład GoDaddy, wiersz będzie inny.

Oto jak ustawić SPF dla najpopularniejszych usługodawców hostingowych:

• Google
• Microsoft
• Zoho
• Idź Tato
• Amazon SES

Co to jest DKIM?

Standard DomainKeys Identified Mail (DKIM) został stworzony z tego samego powodu, co SPF: aby uniemożliwić złym ludziom podszywanie się pod Ciebie jako nadawcę wiadomości e-mail. Jest to sposób na dalsze podpisywanie wiadomości e-mail w sposób, który pozwala serwerowi odbiorcy sprawdzić, czy nadawcą jesteś Ty, czy nie.

Konfigurując DKIM na swoim serwerze DNS, dodajesz jeszcze jedną metodę, aby powiedzieć odbiorcom „tak, to rzeczywiście ja wysyłam tę wiadomość”.

Jak ustawić dkim i spf

Cały pomysł opiera się na szyfrowaniu i deszyfrowaniu dodatkowego podpisu umieszczonego w nagłówku Twojej wiadomości. Aby było to możliwe, musisz mieć dwa klucze:

• klucz prywatny (który jest unikalny dla Twojej domeny i dostępny tylko dla Ciebie. Pozwala zaszyfrować Twój podpis w nagłówku wiadomości).
• klucz publiczny (który dodajesz do swoich rekordów DNS za pomocą standardu DKIM, aby serwer odbiorcy mógł go pobrać i odszyfrować Twój podpis ukryty w nagłówku Twojej wiadomości).

Weź Game of Thrones, aby uzyskać pełny obraz DKIM. Ned Stark wysyła wronę z wiadomością do króla Roberta. Każdy mógł wziąć kartkę, napisać wiadomość i podpisać ją Ned Stark. Istnieje jednak sposób na uwierzytelnienie wiadomości – pieczęć. Teraz wszyscy wiedzą, że sigil Neda to A Wilkor (to jest klucz publiczny). Ale tylko Ned ma oryginalną pieczęć i może umieszczać ją na swoich wiadomościach (to jest klucz prywatny).Konfiguracja DKIM to po prostu umieszczanie informacji o kluczu publicznym w rekordach serwera. To po prostu rekord txt, który należy umieścić we właściwym miejscu.

Po skonfigurowaniu tej konfiguracji za każdym razem, gdy ktoś otrzyma od Ciebie wiadomość e-mail, serwer odbiorcy spróbuje odszyfrować Twój ukryty podpis przy użyciu klucza publicznego. Jeśli się powiedzie, spowoduje to dalsze uwierzytelnienie Twojej wiadomości, aw konsekwencji zwiększenie autorytetu wszystkich Twoich e-maili.

Jak krok po kroku ustawić rekord DKIM na swoim serwerze?

Najpierw musisz wygenerować klucz publiczny. Aby to zrobić, musisz zalogować się do konsoli administracyjnej dostawcy poczty. Kolejne kroki mogą się różnić w zależności od dostawcy poczty e-mail.

Jeśli używasz Aplikacji Google do wysyłania e-maili, oto istruzioni krok po kroku. Użytkownicy Google Apps powinni wiedzieć, że podpisy DKIM są domyślnie wyłączone, więc musisz je włączyć ręcznie w konsoli administracyjnej Google.

Gdy masz klucz publiczny, weź wygenerowany rekord txt i wklej go we właściwym miejscu w swoich rekordach DNS.

Na koniec musisz włączyć podpisywanie wiadomości e-mail, aby rozpocząć wysyłanie wiadomości e-mail z podpisem zaszyfrowanym kluczem prywatnym. Oto jak, jeśli używasz Aplikacji Google do wysyłania e-maili.

Ustaw SPF i DKIM i popraw dostarczalność

Jeśli wysyłasz dużo e-maili, czy to w celach marketingowych, czy w celu sprzedaży przychodzącej lub wychodzącej, reputacja Twojej domeny jest kluczowa i powinieneś o nią dbać. Nie chcesz, aby Twoja domena znalazła się na czarnej liście, a Twoje e-maile trafiały do ​​spamu. Prawidłowe ustawienie rekordów SPF i DKIM na serwerze DNS jest niezbędnym krokiem dla bezpieczeństwa Twojej domeny i wysokiej dostarczalności Twoich wiadomości.

Konfiguracja ich może wydawać się skomplikowana, ale bez wątpienia jest tego warta. Na twoim miejscu poszedłbym na swoje konto i sprawdził, czy moje SPF i DKIM są teraz poprawnie skonfigurowane, lub poprosił o to moich informatyków. A jeśli okaże się, że odpowiedź brzmi „nie”, poprosiłbym ich o pomoc.