내 이메일 서버의 전송 인증을 강화하기 위해 해당 주제에 대한 몇 가지 유용한 힌트를 찾고 있습니다.
이메일이 전송되는 곳, 등록 확인, 비밀번호 재설정 등 총 4개의 Vps 서버가 있고 여러 도메인이 있으므로 이메일 인증의 보안을 강화하려고 합니다.
그래서 저는 IRedMail을 기반으로 하는 이메일 서버인 VPS1을 가지고 있습니다.
도메인 1, 2, 3, 4 및 5
도메인의 웹사이트는 각각 서로 다른 vps 서버에 있으므로 각각 IP 주소가 다릅니다.
도메인 1, 2, 3은 VPS2에 있습니다. 도메인 4는 vps 3에, 도메인 5는 vps 4에 있습니다.
SPF 및 DMARC 레코드를 올바르게 생성하는 가장 좋은 방법은 무엇입니까?
이 주제에 대한 도움을 주시면 감사하겠습니다.
답변1
모든 VPS 서버가 VPS 1에 연결되어 이메일을 보내고 모든 도메인의 MX 레코드가 VPS 1의 IP 주소를 가리킨다고 가정합니다.
SPF
SPF TXT모든 도메인에 대한 레코드를 생성합니다 : "v=spf mx ~all". 명령문에서는 ~the 대신 the 가 사용됩니다 . 이것은 다소 논란의 여지가 있지만 아래 참고 사항과 관련이 있습니다. 심각한 오류로 인해 바람직하지 않은 전달 가능성이 초래되는 경우가 많습니다.-all-
Return-Path(반송이 가는 곳) 도메인은 주소가 아닌 검사로 확인됩니다 ( SPF이것이 From우리에게 필요한 이유입니다 DMARC). 따라서 이메일이 보낸 사람 주소와 다른 반송 주소를 사용하는 경우 해당 도메인 Bounce address에 대한 기록이 확인됩니다 SPF.
SPF전송/받은 편지함 규칙 또는 메일링 목록에 의해 전달된 이메일에 대해서는 확인이 실패한다는 점을 명심하십시오 ( Return-Path헤더를 다시 작성하지 않는 한). Return-Path(반송이 발생하는 곳) 도메인은 주소가 아닌 검사로 확인됩니다 ( SPF이것이 From우리에게 필요한 이유입니다 DMARC). 따라서 이메일이 보낸 사람 주소와 다른 반송 주소를 사용하는 경우 해당 도메인 Bounce address에 대한 기록이 확인됩니다 SPF. 하위 도메인을 사용할 때도 마찬가지입니다. 반송 주소로 사용하는 모든 하위 도메인에 대해 SPF(및 MX) 레코드를 설정해야 합니다.
DMARC
TXT_dmarc.domain.com의 각 도메인에 'DMARC' 레코드를 만듭니다 "v=DMARC1;p=reject". 설정이 매우 간단하기 때문에 귀하 또는 제3자 서비스에 전송되는 형식의 보고서에 신경쓰고 싶지 않을 수도 있습니다 XML. 단 하나의 호스트만이 귀하의 도메인을 대신하여 이메일을 보낼 수 있도록 승인되어야 한다는 것을 알고 있기 때문입니다. 서비스를 확장하는 경우 rua태그를 추가하여 보고서 수신을 활성화할 수 있습니다.
디킴
위 시나리오에 설명된 대로 인증이 실패 DKIM하는 경우 전달 가능성을 향상시키기 위해 설정에 서명 구성을 추가하는 것이 좋습니다 . 이메일의 일부가 전송 중에 변경되면(예: 주소 다시 쓰기) 인증이 실패할 수도 있지만 전달이 실패해도 살아남습니다 . 함께, 서로를 보완하여 전달 가능성을 향상시킵니다 .SPFDKIMSPFDKIMSPFDKIM
DKIM 설정에 대한 몇 가지 기본 조언은 비트 길이가 2048인 DKIM 키 쌍을 생성하고 TXT자신의 선택기 이름을 선택할 수 있는 ._domainkey.domain.com의 DNS 레코드에 공개 키를 게시하는 것입니다. 키 순환 목적을 위해서는 초기 개인 키가 손상되었을 때 또는 일정에 따른 모범 사례 순환(예: 6개월마다)으로 사용할 두 번째 선택기 레코드를 구성하는 것이 좋습니다.
DKIM 서명 모범 사례에 대해 할 말이 더 많이 있지만 이는 귀하의 질문 범위를 벗어나며 RFC에 완벽하게 설명되어 있습니다.
부인 성명
이 설정은 설명된 시나리오에서 이메일 인증을 설정하는 방법에 대한 제가 선택한 사항을 반영합니다. 특정 영역에는 정확하지 않거나 완전하지 않을 수 있는 가정이 있으며 그렇지 않으면 다른 접근 방식으로 이어질 수 있습니다.