Інструкції - Налаштування

Як прописати dkim, dmarc, spf

Оскільки електронні листи зараз широко використовуються, вони стали засобом поширення вірусів, спаму, фішингових атак, таких як використання помилкових повідомлень для того, щоб спонукати одержувачів розголосити конфіденційну інформацію, відкрити вкладення або перейти по небезпечному посиланню.

SPF, DKIM та DMARC — це основні налаштування для захисту поштового сервера відправника від розсилок шкідливих листів. SPF і DKIM підтверджують те, що домен відправника справжній і що поштові повідомлення надходять саме від нього, тому без цих підписів листи відправника не доставлятимуться або потраплятимуть до спаму.

DKIM (DomainKeys Identified Mail) — це метод e-mail автентифікації, який ґрунтується на автентичності цифрового підпису.

SPF (Sender Policy Framework) — розширення протоколу надсилання електронної пошти через SMTP. SPF визначено в RFC 7208 (Wiki). Якщо простою мовою, то SPF - механізм для автентифікації повідомленням, шляхом перевірки сервера відправника.

DMARC - це алгоритм обробки листів, який є додатковим захистом і перевіркою ваших розсилок.

 

Усі підписи налаштовуються через відповідні записи в DNS клієнта, панель управління якого надає хостинг-провайдер, у якого куплено домен.

Після того, як записи були вказані в DNS домену, може пройти до 24 годин до того моменту, як вони почнуть виявлятися ззовні.

Якщо у вас періодично відкривається і пропадає проблема про те, що запис DKIM не виявлено — зверніться до свого хостинг-провайдера на підтримку.

 

Налаштування підпису DKIM за прикладом на mirohost.net

 

Крок 1. Увійдіть в контрольну панель Mirohost

Крок 2. Виберіть потрібний домен

Крок 3. Виберіть "Параметри поштового домену" ("Пошта" → "Поштовий домен" у бічному меню)

Крок 4. Виберіть домен/субдомен, що цікавить, натисніть кнопку «Вибрати»

Крок 5. Увімкніть DKIM для поштового домену:

Крок 6. Збережіть налаштування кнопкою «Застосувати»;

Почтовый домен новый

Крок 7. Отримайте згенерований запис.

Для перевірки на поштових серверах ваших адресатів вам необхідно додати наступний запис у налаштуваннях доменної зони. У разі використання ДНЗ mirohost налаштування доменної зони виконується в розділі УПРАВЛІННЯ ЗОНОЮ -> Налаштування зони.

Настройка ДКИМ

Крок 8. Перейдіть в налаштування DNS вашого домену

Крок 9. Додайте згенерований запис

  • хост - default._domainkey
  • тип запису - TXT
  • дані - k = rsa; p=MIGfMA0GCSqGSI...

Крок 10. Збережіть налаштування

mirohost_mail_dkim_003

 

Як додати запис DMARC


Запис DMARC потрібен для захисту домена від спуфінгу та фішингу та запобігання попаданню ваших листів до спаму

Щоб впровадити функції DMARC, потрібно додати запис DMARC у налаштуваннях DNS домену.

Підготувавши текст запису DMARC, додайте або змініть запис TXT DNS у реєстратора домену. Щоб змінити TXT-запис DNS, введіть рядок тексту, який відповідає вашому запису з правилами DMARC, у консолі керування у реєстратора домену.

При кожній зміні правил і запису DMARC необхідно також змінювати запис TXT DNS у реєстратора домену.

Субдомени та додаткові домени
Якщо у вас є кілька доменів, виконайте наведені нижче кроки для кожного з них. У кожного домену можуть бути свої правила та параметри звітів (визначаються у записі).

Якщо ви не створите правила DMARC для субдоменів, вони успадкують ці правила від батьківських доменів. Щоб визначити правила DMARC для субдоменів, використовуйте тег правил sp в записі DMARC для батьківського домену.

Як додати або змінити запис
Наведені нижче кроки слід виконувати в консолі керування свого реєстратора домену, а не в консолі адміністратора.

Важливо! Перш ніж впроваджувати DMARC, налаштуйте технології DKIM (DomainKeys Identified Mail) та SPF (Sender Policy Framework). Аутентифікація листів з їх допомогою повинна виконуватися щонайменше за 48 годин до ввімкнення DMARC.

Підготуйте текстовий файл або рядок, що представляють запис із правилами.
Увійдіть у консоль управління свого реєстратора домену.
Перейдіть до сторінки, на якій можна змінити записи DNS.
Додайте TXT-запис DNS або змініть існуючий, ввівши свої дані в поле для параметра _dmarc:
TXT record name (Назва запису TXT). У цьому полі в розділі DNS Host name (Ім'я хоста DNS) введіть наступне: _dmarc.solarmora.com.
Важливо! Деякі реєстратори домену автоматично додають ім'я домену після _dmarc. Після додавання запису TXT для DMARC ви можете перевірити коректність її назви.

TXT record value (Значення запису TXT). У другому полі введіть текст запису DMARC, наприклад:
v = DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com

Наведені тут назви полів можуть відрізнятись від тих, які використовує ваш реєстратор. Назви полів TXT-записів DNS можуть бути різними у різних реєстраторів. Тут наведено приклад домену. Замініть solarmora.com ім'ям свого домену.

Збережіть зміни.
Формат запису DMARC
Запис DMARC – це рядок звичайного тексту, в якому перераховані теги та значення DMARC через точку з комою. Не всі теги є обов'язковими.

Правила DMARC визначають, які дії робить сервер одержувача щодо повідомлень з вашого домену, які не пройшли автентифікацію. Дії задаються тегом правил (p),

v = DMARC1; p = reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim = s; aspf=s

Як задати запис SPF

Запис SPF визначає поштові сервери та домени, яким можна надсилати пошту від імені вашого домену. Поштові сервери, які приймають електронні листи від вашого домену, перевіряють запис SPF, щоб переконатися, що ці листи надіслані з дозволених серверів.

Кожен домен може мати лише один запис SPF, але в ньому можна вказати кілька серверів та сторонніх поштових сервісів.

Якщо всі електронні листи у вашій організації надсилаються за допомогою Google Workspace, використовуйте наступний запис SPF:

v=spf1 include:_spf.google.com ~all

Додайте інших відправників вашої організації до запису SPF для надсилання пошти за допомогою Google Workspace:

v=spf1 include:_spf.google.com ~all

Приклади IP-адрес та доменних імен. Замініть їх IP-адресами та доменами своїх відправників:

Приклад запису SPF:

v=spf1 ip4:192.168.0.0/16 include:_spf.google.com ~all

Опис:

Задає для домену наступних дозволених відправників електронної пошти:

Будь-який сервер з IP-адресою в діапазоні від 192.168.0.0 до 192.168.255.255.

Google Workspace

--------

Приклад запису SPF:

v=spf1 ip4:192.168.0.0/16 include:_spf.google.com include:sendyourmail.com ~all

Опис:

Задає для домену наступних дозволених відправників електронної пошти:

Сервери з адресами від 192.168.0.0 до 192.168.255.255.

Google Workspace

Сторонній сервіс Sendyourmail.

--------
Приклад запису SPF:

v=spf1 a:mail.solarmora.com ip4:192.72.10.10 include:_spf.google.com ~all

Опис:

Задає для домену наступних дозволених відправників електронної пошти:

Сервер mail.solarmora.com

Сервер з IP-адресою 192.72.10.10.

Google Workspace

--------

Приклад запису SPF:

v=spf1 include:servers.mail.net include:_spf.google.com ~all

Опис:

Задає для домену наступних дозволених відправників електронної пошти:

Сторонній поштовий сервіс із сервером servers.mail.net.

Google Workspace

Оновлено: 02/06/2023
icon