Я хочу усилить аутентификацию отправителей на моем почтовом сервере и ищу полезные советы по этой теме.
Поскольку у меня всего 4 сервера Vps, с которых будут отправляться электронные письма, выполняться подтверждение регистрации, сброс пароля и т. д., а также несколько доменов, я хочу усилить безопасность авторизации электронной почты.
Итак, у меня есть VPS1, который является почтовым сервером на основе IRedMail, где я настроил
домен 1, 2, 3, 4 и 5
Веб-сайты для доменов находятся на разных VPS-серверах, поэтому у каждого из них свой IP-адрес.
Домены 1, 2 и 3 находятся на VPS2, домен 4 находится на VPS 3, а домен 5 на VPS 4.
Какой подход будет наилучшим для правильного создания моих записей SPF и DMARC?
Любая помощь по этой теме будет высоко оценена.
решение1
Предположим, что все VPS-серверы подключаются к VPS 1 для отправки электронных писем, а запись MX для всех доменов указывает на IP-адрес VPS 1:
СПФ
Создайте SPF TXTзапись для всех доменов: "v=spf mx ~all". В заявлении ~используется вместо . Это несколько спорно, но относится к примечаниям ниже. Жесткий сбой часто имеет нежелательные последствия для доставляемости.-all-
Обратите внимание, что проверками Return-Pathпроверяется домен (куда отправляются отказы) SPF, а не Fromадрес (именно поэтому нам нужен DMARC). Таким образом, если ваши письма используют разные адреса отказов и адреса From, домен в Bounce addressбудет проверяться на наличие SPFзаписи.
Имейте в виду, что SPFпроверка не будет выполнена для писем, пересылаемых правилами Transport / Inbox Rules или списками рассылки (если заголовок не Return-Pathпереписан). Обратите внимание, что проверки Return-Pathпроверяют домен (куда отправляются отказы) SPF, а не Fromадрес (именно поэтому нам нужен DMARC). Таким образом, если ваши письма используют адреса отказов, отличные от адресов From, домен в Bounce addressбудет проверен на SPFналичие записи. То же самое касается случаев использования поддоменов. Для каждого поддомена, который вы используете в качестве адреса отказов, вам необходимо настроить запись SPF (и MX).
ДМАРК
Создайте запись 'DMARC' TXTв каждом домене на _dmarc.domain.com: "v=DMARC1;p=reject". Поскольку ваша настройка настолько проста, вы можете не захотеть возиться с отчетами в XMLформате, отправляемом вам или сторонней службе, поскольку вы знаете, что только один хост должен быть авторизован для отправки писем от имени ваших доменов. Если вы расширяете свои услуги, вы можете добавить тег, ruaчтобы включить получение отчетов.
ДКИМ
Я настоятельно рекомендую добавить DKIMконфигурацию подписи в вашу настройку, чтобы улучшить доставку в случае SPFсбоя аутентификации, как описано в сценариях выше. DKIMвыдержит пересылку в случае SPFсбоя, хотя DKIMаутентификация может не пройти, если части письма будут изменены при транспортировке (например, при перезаписи адреса). Вместе SPFи DKIMбудут дополнять друг друга, чтобы улучшить доставку.
Некоторые основные советы по настройке DKIM — создать пару ключей DKIM с длиной бит 2048 и опубликовать открытый ключ в TXTзаписи DNS по адресу ._domainkey.domain.com, где вы можете выбрать собственное имя селектора. Для целей ротации ключей разумно настроить вторую запись селектора для использования в случае компрометации исходного закрытого ключа или в качестве наилучшей практики ротации по расписанию (например, каждые 6 месяцев).
Можно еще многое сказать о передовых методах подписания DKIM, однако это выходит за рамки вашего вопроса и прекрасно изложено в RFC.
Отказ от ответственности
Эта настройка отражает мои выборы того, как настроить аутентификацию электронной почты в описанном вами сценарии. В некоторых областях есть предположения, которые могут быть неверными или неполными и в противном случае привели бы к другому подходу.