Procurando fortalecer a autenticação de envio do meu servidor de e-mail, estou procurando algumas dicas úteis sobre o assunto.
Como tenho no total 4 servidores Vps de onde serão enviados os emails, confirmação de cadastro, redefinição de senha etc... além de vários domínios, procuro fortalecer a segurança das autorizações de email.
Então eu tenho o VPS1 que é o servidor de email baseado no IRedMail, onde configurei
domínio 1, 2, 3, 4 e 5
Os sites dos domínios estão respectivamente em servidores vps diferentes, portanto, cada um com um endereço IP diferente.
Os domínios 1, 2 e 3 estão no VPS2. O domínio 4 está no vps 3 e o domínio 5 no vps 4.
Qual seria a melhor abordagem para criar corretamente meus registros SPF e DMARC
Qualquer ajuda neste tópico é muito apreciada.
Responder1
Supondo que todos os servidores VPS se conectem ao VPS 1 para enviar e-mails e que o registro MX de todos os domínios aponte para o endereço IP do VPS 1:
FPS
Crie um SPF TXTregistro para todos os domínios: "v=spf mx ~all". The ~é usado em vez de the -na allinstrução. Isso é um tanto controverso, mas está relacionado às notas abaixo. A falha grave -geralmente tem consequências indesejáveis na capacidade de entrega.
Observe que o Return-Pathdomínio (para onde vão as rejeições) é verificado por SPFcheques, e não o Fromendereço (é por isso que precisamos DMARC). Portanto, se seus e-mails usarem endereços de devolução diferentes dos endereços De, o domínio no Bounce addressserá verificado em busca de um SPFregistro.
Lembre-se de que SPFa verificação falhará em e-mails encaminhados pelas regras de transporte/caixa de entrada ou listas de discussão (a menos que o Return-Pathcabeçalho seja reescrito). Observe que o Return-Pathdomínio (para onde vão as rejeições) é verificado por SPFcheques, e não o Fromendereço (é por isso que precisamos DMARC). Portanto, se seus e-mails usarem endereços de devolução diferentes dos endereços De, o domínio no Bounce addressserá verificado em busca de um SPFregistro. O mesmo se aplica quando você usa subdomínios. Para cada subdomínio usado como endereço de devolução, você precisa configurar um registro SPF (e MX).
DMARC
Crie um registro 'DMARC' TXTem cada domínio em _dmarc.domain.com: "v=DMARC1;p=reject". Como sua configuração é tão simples, talvez você não queira se preocupar com relatórios em XMLformato enviado para você ou para um serviço de terceiros, pois sabe que apenas um host deve estar autorizado a enviar e-mails em nome de seus domínios. Se você expandir seus serviços, poderá adicionar a ruatag para permitir o recebimento de relatórios.
DKIM
Eu recomendo fortemente adicionar uma DKIMconfiguração de assinatura à sua configuração para melhorar a capacidade de entrega caso a SPFautenticação falhe conforme descrito nos cenários acima. DKIMsobreviverá ao encaminhamento onde SPFfalhar, embora DKIMa autenticação possa falhar quando partes do e-mail forem alteradas no transporte (por exemplo, reescrita de endereço). Juntos SPFe DKIMse complementarão para melhorar a capacidade de entrega.
Alguns conselhos básicos para configurar o DKIM são criar um par de chaves DKIM com comprimento de bits de 2048 e publicar a chave pública em um TXTregistro DNS em ._domainkey.domain.com, onde você pode escolher seu próprio nome de seletor. Para fins de rotação de chaves, é aconselhável configurar um segundo registro de seletor para usar quando a chave privada inicial for comprometida ou como melhor prática de rotação em um cronograma (por exemplo, a cada 6 meses).
Há muito mais a dizer sobre as melhores práticas de assinatura DKIM, no entanto, isso está além do escopo da sua pergunta e está perfeitamente definido na RFC.
Isenção de responsabilidade
Esta configuração reflete minhas escolhas sobre como configurar a autenticação de e-mail no cenário descrito. Existem suposições em determinadas áreas que podem não ser corretas ou completas e, de outra forma, levariam a uma abordagem diferente.