จำเป็นต้องกำหนดค่าระเบียน DNS เพื่อให้ dkim ทำงานได้ ทำไมเขาถึงต้องการ? การสร้างคู่คีย์โดยใช้ OpenSSL

ด้วยลายเซ็น DKIM ผู้รับอีเมลสามารถตรวจสอบได้ว่ามาจากผู้ส่งที่ต้องการจริงๆ

คุณสามารถตั้งค่าลายเซ็น DKIM สำหรับอีเมลที่ส่งจากโดเมนของคุณ เพียงสร้างระเบียน TXT สำหรับโดเมนของคุณด้วยคีย์การลงนามสาธารณะ ในการลงนามในจดหมายที่คุณไม่ได้ส่งผ่านเซิร์ฟเวอร์ Yandex คุณต้องมีบันทึก TXT พร้อมรหัสลับด้วย คุณต้องกำหนดค่าบนเซิร์ฟเวอร์ที่ใช้ในการส่งอีเมล

หากคุณมอบหมายโดเมนให้กับยานเดกซ์ ลายเซ็น DKIM พร้อมรหัสสาธารณะจะถูกกำหนดค่าโดยอัตโนมัติ คุณสามารถดูและแก้ไขการตั้งค่าได้ใน Yandex.Mail สำหรับตัวแก้ไข DNS ของโดเมน

สามารถรับค่าของคีย์สาธารณะและส่วนตัวได้โดยใช้ (เฉพาะคีย์สาธารณะเท่านั้นที่มีในอินเทอร์เฟซ) โดยปกติแล้ว ระเบียน TXT สามารถจัดการได้ในหน้าการจัดการ DNS ของบริษัทที่ให้บริการโฮสติ้ง DNS แก่คุณ

รับบันทึก TXT ด้วยรหัสสาธารณะใน Yandex.Mail สำหรับโดเมน:

1. ในคอลัมน์ด้านขวาของหน้า ให้ค้นหาส่วน ลายเซ็นดิจิทัล DKIMและคลิกที่ลิงค์ แสดงเนื้อหาของโพสต์. ส่วนนี้อาจไม่ปรากฏหากลายเซ็น DKIM ได้รับการกำหนดค่าไว้ก่อนหน้านี้แล้ว ในกรณีนี้ คีย์สาธารณะสามารถเห็นได้ในค่ารายการในตัวแก้ไข DNS

   รายการประกอบด้วยสามส่วน:

   • ชื่อของรายการ ("mail._domainkey") แผงควบคุมบางตัวต้องการชื่อโดเมนย่อยแบบเต็ม เช่น "mail._domainkey.yourdomain.tld"

     ตัวเลือก DKIM:

     V=DKIM1; k=rsa; เสื้อ = s; p=MIGfMA0GCSEBtaCOteH4EBqJlKpe...

     พารามิเตอร์ p มีคีย์สาธารณะ DKIM

     การบ่งชี้โดเมน ( "คีย์เมล DKIM สำหรับ yourdomain.tld").

คัดลอกเนื้อหาของรายการ

เปิดหน้าการแก้ไข DNS ในแผงควบคุมบนเว็บไซต์ของบริษัทที่ให้บริการโฮสติ้ง DNS แก่คุณ

สร้างระเบียน TXT ด้วยค่าฟิลด์ต่อไปนี้:

• ชื่อคือ "mail._domainkey" ในบางแผงควบคุม DNS คีย์สาธารณะ DKIM จะต้องระบุโดเมนด้วย ตัวอย่างเช่น "mail._domainkey.yourdomain.tld".

  ค่า - การตั้งค่า DKIM พร้อมรหัสสาธารณะที่ได้รับใน Yandex.Mail สำหรับโดเมน

  ตัวอย่างเช่น, "v=DKIM1; k=rsa; เสื้อ = s; p=MIGfMA0GCSEBtaCOteH4EBqJlKpe...”.

คุณต้องเซ็นชื่ออีเมลที่ส่งจากเซิร์ฟเวอร์ที่ไม่ใช่ Yandex ด้วย (ภายในบริการของเรา สามารถทำได้โดยใช้ Mail for Domain API เท่านั้น) ต้องระบุคีย์ผลลัพธ์บนเซิร์ฟเวอร์ที่ใช้ในการส่งจดหมาย

รอให้การเปลี่ยนแปลง DNS มีผล กระบวนการนี้อาจใช้เวลาถึง 72 ชั่วโมง

คำแนะนำในการตั้งค่าลายเซ็น DKIM สำหรับผู้ให้บริการโฮสติ้งบางราย

reg.ru

RU-CENTER (nic.ru)

masterhost.ru

โดเมนบน sweb.ru

โดเมนบน majordomo.ru

แผงควบคุม https://control.majordomo.ru/

การตั้งค่า SPF, DKIM, DMARC, FBL

บันทึก SPF

ระเบียน SPF ป้องกันการปลอมแปลงโดเมนของคุณ และช่วยป้องกันไม่ให้อีเมลที่ส่งจากที่อยู่ของคุณเข้าสู่สแปม มีการกำหนดค่า SPF สำหรับที่อยู่หรือไม่ ใช้ในซองจดหมายจาก (ซองจดหมาย SMTP) คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับระเบียน SPF หากต้องการเรียนรู้เกี่ยวกับความเข้าใจผิดทั่วไปเกี่ยวกับ SPF และข้อผิดพลาดที่พบบ่อยเมื่อตั้งค่า โปรดอ่าน

ในการตั้งค่าระเบียน SPF:

1. ไปที่เว็บไซต์ของผู้ให้บริการที่มีโซน DNS สำหรับจัดการโดเมนของคุณ
2. เข้าสู่ระบบและรหัสผ่านเพื่อเข้าสู่ "แผงควบคุม";
3. ไปที่ส่วนการจัดการโซน DNS ของโดเมนที่ต้องการ
4. เพิ่มระเบียน TXT ใหม่ ตัวอย่างของรายการดังกล่าว: "v=spf1 ip4:165.165.165.0/24 ip4:136.136.136.0/20 mx ~ทั้งหมด"

ผู้ให้บริการบางรายอ้างระเบียน SPF ด้วยตัวเอง คุณจึงตรวจสอบกับผู้ให้บริการโฮสติ้งเพื่อขอใบเสนอราคา หรือทำเช่นเดียวกันกับระเบียน TXT ของโดเมนอื่น หากมีอยู่

หากคุณไม่ทราบว่าการตั้งค่าระเบียน SPF ของ ISP อยู่ที่ใด ให้ใช้คำแนะนำสำหรับผู้ใช้ biz.mail.ru อย่าลืมแทนที่เนื้อหาของระเบียน TXT ด้วยเนื้อหาที่เกี่ยวข้องกับคุณ

Postmaster Mail.ru ตรวจสอบระเบียน SPF สัปดาห์ละครั้ง

ลายเซ็น DKIM

ในการตั้งค่าลายเซ็น DKIM:

1. สร้างคู่คีย์ DKIM (คีย์ส่วนตัวและคีย์สาธารณะ)

การสร้างคู่คีย์โดยใช้ OpenSSL	การสร้างคู่คีย์โดยใช้ OpenDKIM
หากต้องการสร้างไพรเวตคีย์บนบรรทัดคำสั่ง ให้พิมพ์ opensl genrsa -out privatekey.pem 1024 โดยที่ "privatekey.pem" คือไฟล์ไพรเวตคีย์ "1024" คือความยาวของคีย์ ตัวอย่างผลลัพธ์: หากต้องการสร้างรหัสสาธารณะ ให้ป้อนคำสั่ง: opensl rsa -pubout -in privatekey.pem -ออก publickey.pemโดยที่ "publickey.pem" เป็นไฟล์รหัสสาธารณะ ตัวอย่างผลลัพธ์:	หากต้องการสร้างคีย์ ให้ใช้คำสั่ง opendkim-genkey -d example.ru -s จดหมายโดยที่ "example.ru" คือโดเมนของคุณ "mail" คือตัวเลือก ในเวลาเดียวกัน ไฟล์ mail.private ที่มีรหัสส่วนตัวและไฟล์ mail.txt ที่มีรหัสสาธารณะสำเร็จรูปในรูปแบบบันทึก DNS จะถูกสร้างขึ้นในไดเร็กทอรีปัจจุบัน

2. ใส่รหัสส่วนตัวในไฟล์ในไดเร็กทอรีแบบจำกัดบนเซิร์ฟเวอร์ส่งของคุณ โปรดทราบว่าเมลเซิร์ฟเวอร์ต้องมีสิทธิ์เข้าถึงไฟล์นี้

3. เปิดใช้งานการสนับสนุน DKIM บนเซิร์ฟเวอร์อีเมลของคุณ ในบางเซิร์ฟเวอร์มีการสนับสนุนอยู่แล้ว ในบางเซิร์ฟเวอร์สามารถใช้งานได้โดยใช้โปรแกรมฟรี

4. ไปที่เว็บไซต์ของผู้ให้บริการที่มีโซน DNS สำหรับจัดการโดเมนของคุณ

5. ป้อนชื่อผู้ใช้และรหัสผ่านเพื่อเข้าสู่ "แผงควบคุม"

6. ไปที่ส่วนการจัดการโซน DNS ของโดเมน

7. เพิ่มระเบียน TXT ใหม่ โดยระบุรหัสสาธารณะที่สร้างขึ้นในแท็ก "p" โปรดทราบว่าอาจใช้เวลาถึง 48 ชั่วโมงในการอัปเดตบันทึก ตัวอย่างระเบียน TXT:

8. ผู้รับจดทะเบียนบางรายใส่เครื่องหมายคำพูดสำหรับระเบียน TXT (SPF และ DKIM) ด้วยตนเอง ดังนั้นเพื่อความปลอดภัย ให้พิมพ์หรือคัดลอกตามที่แสดงไว้ในคำแนะนำ - พร้อมเครื่องหมายคำพูด

ความถูกต้องของการตั้งค่าลายเซ็น DKIM สามารถรับรู้ได้จากการมีอยู่ของลายเซ็น DKIM ในส่วนหัวของข้อความ เช่นเดียวกับบรรทัด dkim=pass ในส่วนหัว "Authentication-Results"

ตัวอย่างของลายเซ็น DKIM ในส่วนหัวของอีเมล:

ในลายเซ็น DKIM พารามิเตอร์ [d] จะต้องตรงกับชื่อโดเมนของคุณที่คุณต้องการดูสถิติใน Postmaster Mail.ru

หากคุณไม่ทราบวิธีตั้งค่าลายเซ็นในอีเมล โปรดติดต่อผู้ดูแลระบบหรือฝ่ายสนับสนุนการโฮสต์ของคุณ

เป็นไปไม่ได้ที่จะดูสถิติใน Postmaster หากไม่มีลายเซ็น DKIM

ดีมาร์ค

ในการเริ่มต้นการตั้งค่า ให้ไปที่ลิงก์ "การตั้งค่า" แล้วคลิก "ระบุ" ถัดจากชื่อโดเมน

ในหน้าต่างที่ปรากฏขึ้น ให้ป้อนที่อยู่อีเมลที่คุณต้องการรับรายงาน แล้วคลิก "บันทึก" อีเมลยืนยันจะถูกส่งไปยังที่อยู่อีเมลที่ระบุ ทันทีที่คุณยืนยันที่อยู่โดยคลิกที่ลิงก์ในอีเมล รายงานจะถูกส่งถึงคุณ

การดูแลระบบชื่อโดเมน,

สแปมและป้องกันสแปม

สวัสดีฮับ! บทความนี้จะให้คำแนะนำในการตั้งค่าระเบียน DKIM/SPF/DMARC และสิ่งที่ทำให้ฉันเขียนบทความนี้คือการขาดเอกสารในภาษารัสเซียทั้งหมด บทความทั้งหมดในหัวข้อนี้ที่ฉันพบไม่มีข้อมูลมากนัก

1. ดีคิม

DKIM (DomainKeys Identified Mail) เป็นวิธีการยืนยันตัวตนทางอีเมลโดยใช้การตรวจสอบลายเซ็นดิจิทัล รหัสสาธารณะถูกจัดเก็บไว้ในระเบียน TXT ของโดเมน

ทำไมเขาถึงต้องการ?

จำเป็นต้องใช้ DKIM เพื่อให้บริการอีเมลสามารถตรวจสอบได้ว่าผู้ส่งนั้นถูกต้องตามกฎหมายหรือไม่ เหล่านั้น. ปกป้องผู้รับจดหมายจากจดหมายหลอกลวงต่างๆ (ซึ่งส่งโดยแทนที่ที่อยู่ของผู้ส่ง)

การกำหนดค่าลายเซ็น DKIM และระเบียน DNS

ในการทำเช่นนี้ เราต้องสร้างคู่คีย์:

openssl genrsa -out private.pem 1024 // สร้างคีย์ส่วนตัวที่มีความยาว 1024
opensl rsa -pubout -in private.pem -out public.pem // รับรหัสสาธารณะจากส่วนตัว
หรือคุณสามารถใช้บริการออนไลน์ซึ่งฉันไม่แนะนำอย่างยิ่ง

ตัวอย่างของรายการคือ
mail._domainkey.your.tld TXT "v=DKIM1; k=rsa; t=s; p=<публичный ключ>"

ที่ไหน
จดหมาย - ตัวเลือก คุณสามารถระบุหลายรายการด้วยตัวเลือกที่แตกต่างกัน โดยที่แต่ละรายการจะมีรหัสของตัวเอง ใช้เมื่อมีหลายเซิร์ฟเวอร์ที่เกี่ยวข้อง (แต่ละเซิร์ฟเวอร์มีรหัสของตัวเอง)
v - เวอร์ชัน DKIM ใช้ค่า v=DKIM1 เสมอ (อาร์กิวเมนต์ที่จำเป็น)
k - ประเภทคีย์ k=rsa เสมอ (อย่างน้อยก็ตอนนี้)
p - รหัสสาธารณะที่เข้ารหัส base64 (อาร์กิวเมนต์ที่จำเป็น)
เสื้อ - ธง:
t=y - โหมดการทดสอบ สิ่งเหล่านี้แตกต่างจากที่ไม่ได้ลงนามและจำเป็นสำหรับการติดตามผลลัพธ์เท่านั้น
t=s หมายความว่ารายการจะใช้สำหรับโดเมนที่เป็นของรายการเท่านั้น ไม่แนะนำหากใช้โดเมนย่อย
เป็นไปได้:
ชั่วโมง - อัลกอริทึมแฮชที่ต้องการสามารถใช้ค่า h=sha1 และ h=sha256
s - ประเภทของบริการที่ใช้ DKIM ยอมรับค่า s=email (อีเมล) และ s=* (บริการทั้งหมด) ค่าเริ่มต้นคือ "*"
; - ตัวคั่น

นอกจากนี้ยังควรลงทะเบียนบันทึก ADSP ที่ช่วยให้คุณเข้าใจว่าจดหมายนั้นต้องลงนามหรือไม่
_adsp._domainkey.example.com TXT "dkim=ทั้งหมด"

สามารถมีได้สามค่า:
ทั้งหมด - จดหมายทุกฉบับต้องลงนาม
ทิ้งได้ - ไม่รับข้อความที่ไม่มีลายเซ็น
ไม่ทราบ - ไม่ทราบ (ซึ่งโดยพื้นฐานแล้วเหมือนกับไม่มีบันทึก)

2.เอสพีเอฟ

SPF (Sender Policy Framework) เป็นส่วนเสริมสำหรับโปรโตคอลสำหรับการส่งอีเมลผ่าน SMTP ค่า SPF กำหนดไว้ใน RFC 7208 (Wiki) พูดง่ายๆ ก็คือ SPF เป็นกลไกสำหรับการตรวจสอบข้อความโดยการตรวจสอบเซิร์ฟเวอร์ของผู้ส่ง สำหรับฉัน เทคโนโลยีนี้มีประโยชน์ร่วมกับผู้อื่น (DKIM และ DMARC)

การตั้งค่าระเบียน SPF

ตัวอย่างของระเบียน SPF ทั่วไปคือ your.tld TXT "v=spf1 a mx ~ทั้งหมด"
ที่นี่:
v=spf1 เป็นเวอร์ชัน spf1 เสมอ
ก - อนุญาตให้ส่งอีเมลจากที่อยู่ที่ระบุในระเบียน A และ/หรือ AAAA ของโดเมนของผู้ส่ง
mx - อนุญาตให้ส่งอีเมลจากที่อยู่ที่ระบุในระเบียน mx ของโดเมน
(สำหรับ a และ mx คุณยังสามารถระบุโดเมนอื่นได้ เช่น ถ้าค่าเป็น a:example.com จะได้รับอนุญาตให้เขียนไม่ใช่โดเมนของผู้ส่ง แต่ ตัวอย่าง.คอม)
คุณยังสามารถเพิ่มที่อยู่ IP แต่ละรายการได้โดยใช้ ip4: และ ip6: ตัวอย่างเช่น ip4:1.1.1.1 ip6: 2001:0DB8:AA10:0001:0000:0000:0000:00FB นอกจากนี้ยังมี: (include:spf.example.com) ที่ให้คุณรวมระเบียน spf จากโดเมนอื่นเพิ่มเติมได้ ทั้งหมดนี้สามารถรวมกันผ่านช่องว่าง หากคุณเพียงต้องการใช้ระเบียนจากโดเมนอื่นโดยไม่เพิ่ม ควรใช้การเปลี่ยนเส้นทาง: (redirect:spf.example.com)
-ทั้งหมด - หมายถึงสิ่งที่จะเกิดขึ้นกับข้อความที่ไม่เป็นไปตามนโยบาย: "-" - ปฏิเสธ, "+" - ข้าม, "~" - ตรวจสอบเพิ่มเติม, "?" - เป็นกลาง.

3.DMARC

การรับรองความถูกต้องของข้อความตามโดเมน การรายงาน และการปฏิบัติตามข้อกำหนด (การระบุข้อความ การรายงาน และการจับคู่ชื่อโดเมน) หรือ DMARC เป็นข้อกำหนดทางเทคนิคที่สร้างขึ้นโดยกลุ่มองค์กรที่ออกแบบมาเพื่อลดจำนวนของอีเมลขยะและฟิชชิ่งตามการระบุโดเมนอีเมลของผู้ส่งบน ตามกฎและลักษณะเฉพาะที่ระบุในเมลเซิร์ฟเวอร์ของผู้รับ (วิกิ) นั่นคือ เซิร์ฟเวอร์อีเมลจะตัดสินใจเองว่าข้อความนั้นดีหรือไม่ดี (เช่น ตามนโยบายด้านบน) และดำเนินการตามบันทึก DMARC

การกำหนดค่าระเบียน DMARC

รายการทั่วไปมีลักษณะดังนี้: _dmarc.your.tld TXT "v=DMARC1; p=none; rua=mailto: [ป้องกันอีเมล]"
ไม่ได้ดำเนินการอื่นใดนอกจากจัดทำและส่งรายงาน

ตอนนี้เพิ่มเติมเกี่ยวกับแท็ก:
v - เวอร์ชัน รับค่า v=DMARC1 (พารามิเตอร์บังคับ)
p - กฎสำหรับโดเมน (จำเป็น) สามารถเป็นไม่มี , กักกันและปฏิเสธ , ที่ไหน
p=none ไม่ทำอะไรนอกจากเตรียมรายงาน
p=quarantine เพิ่มอีเมลใน SPAM
p=reject ปฏิเสธจดหมาย
แท็ก sp รับผิดชอบโดเมนย่อยและรับค่าเดียวกันกับ p
aspf และ adkim อนุญาตให้จับคู่บันทึกและสามารถใช้ค่า r และ s โดยที่ r ผ่อนคลาย การตรวจสอบที่ผ่อนคลายกว่า s เข้มงวด
pct รับผิดชอบจำนวนอีเมลที่ต้องกรอง โดยระบุเป็นเปอร์เซ็นต์ เช่น pct=20 จะกรองอีเมล 20%
rua - ให้คุณส่งรายงานประจำวันไปยังอีเมล เช่น rua=mailto: [ป้องกันอีเมล]คุณยังสามารถระบุอีเมลหลายฉบับโดยคั่นด้วยช่องว่าง (rua=mailto: [ป้องกันอีเมล]จดหมาย: [ป้องกันอีเมล])

ตัวอย่างรายงาน

1.1.1.1 1 ไม่มี your.tld your.tld ผ่าน your.tld ผ่าน 1.1.1.1 1 ไม่มี ส่งต่อ your.tld your.tld ผ่าน your.tld ผ่าน

ruf - รายงานข้อความที่ไม่ผ่านการตรวจสอบ DMARC อย่างอื่นเหมือนกับด้านบน

บทส่งท้าย

เราได้เรียนรู้วิธีกำหนดค่า DKIM/SPF/DMARC และต่อต้านการปลอมแปลง ขออภัย การดำเนินการนี้ไม่ได้รับประกันความปลอดภัยในกรณีที่เซิร์ฟเวอร์ถูกแฮ็กหรืออีเมลถูกส่งไปยังเซิร์ฟเวอร์ที่ไม่รองรับเทคโนโลยีเหล่านี้ โชคดีที่บริการยอดนิยมยังคงสนับสนุนพวกเขา (และบางคนเป็นผู้ริเริ่มนโยบายเหล่านี้)

บทความนี้เป็นเพียงคำแนะนำสำหรับเรกคอร์ดที่กำหนดค่าเอง ซึ่งเป็นเอกสารประกอบชนิดหนึ่ง ไม่มีตัวอย่างสำเร็จรูปโดยเจตนา เนื่องจากแต่ละเซิร์ฟเวอร์ไม่ซ้ำกันและต้องมีการกำหนดค่าของตนเอง

ฉันยินดีที่จะวิจารณ์และแก้ไขอย่างสร้างสรรค์

บทความนี้จะกล่าวถึงการตั้งค่าลายเซ็นดิจิทัลสำหรับโดเมนของคุณ

เทคโนโลยี จดหมายระบุคีย์โดเมน(DKIM) เป็นวิธีการตรวจสอบสิทธิ์อีเมล: ส่วนหัวจะถูกเพิ่มในข้อความที่ส่ง ดีคิมซิกเนเจอร์ซึ่งมีข้อมูลที่เข้ารหัสเกี่ยวกับโดเมนของผู้ส่ง ดังนั้นเนื้อหาส่วนหัว ดีคิมซิกเนเจอร์ยืนยันผู้ส่งจดหมาย ในฝั่งของผู้รับ ลายเซ็นจะถูกตรวจสอบโดยอัตโนมัติ หลังจากนั้น " รายการสีขาว" และ " บัญชีดำ". หลังจากประเมินชื่อเสียงของผู้ส่งจดหมายแล้ว สามารถรับจดหมายนี้ได้ โดยวางไว้ในโฟลเดอร์ " สแปมหรือส่งไปตรวจสอบเพิ่มเติม

การตั้งค่า DKIM เมื่อส่งอีเมลผ่าน Beget hosting

เป็นเจ้าภาพ เริ่มสามารถปรับแต่งได้ ลายเซ็น DKIMสำหรับวิธีการส่งอีเมลดังต่อไปนี้

• ผ่าน เซิร์ฟเวอร์ SMTP;
• ผ่านฟังก์ชัน PHP จดหมาย (), เขาคือ ส่งอีเมล์

สำหรับการสร้าง ลายเซ็น DKIMสำหรับอีเมลที่ส่งโดยใช้ PHP จดหมาย (), ที่จำเป็น ที่อยู่ IP เฉพาะ- ค่าใช้จ่ายคือ 660 รูเบิล / ปี คุณสามารถเชื่อมต่อได้จากในส่วน ถัดไป ในการตั้งค่าลายเซ็น DKIM คุณต้องเขียนตั๋วจากส่วนโดยระบุโดเมนของไซต์ในนั้น

สำหรับการสร้าง ลายเซ็น DKIMสำหรับจดหมายที่ส่งโดย เอสเอ็มทีพีคุณต้องเขียนตั๋วจากส่วน ระบุโดเมนไซต์ในนั้น การตั้งค่า DKIM สำหรับ SMTP ทำได้เฉพาะในบัญชีแบบชำระเงินเท่านั้น (อย่างน้อยหนึ่งเดือนตามแผนภาษีปัจจุบัน) การตั้งค่าลายเซ็น DKIM ในส่วนของเราจะทำได้ก็ต่อเมื่อมีการส่งจดหมายผ่านโฮสติ้งของเราและอีเมลทำงานผ่านเรา นั่นคือ จะมีค่าเป็นระเบียน MX สำหรับโดเมน:

mx1.site mx2.site

การกำหนดค่า DKIM เมื่อส่งจดหมายผ่านบริการของบุคคลที่สาม (ในตัวอย่างของ unisender.com)

พิจารณาสร้างรายการที่จำเป็นในตัวอย่างบริการ unisender.com สำหรับบริการส่งไปรษณีย์อื่นๆ คำแนะนำจะคล้ายกัน

เมื่อสองสามปีก่อน ฉันได้เขียนบทความเรื่อง "How to keep emails from your spam box"

เมื่อวานนี้ ฉันและเพื่อนร่วมงานได้ตั้งค่าวิธีการยืนยันทางอีเมลอีกวิธีหนึ่งที่เรียกว่า DKIM สามารถใช้ร่วมกับ SPF

ผลการพิสูจน์ตัวตน: mxfront7.mail.yandex.net; spf=พาส(mxfront7.mail.yandex..85.212.180 ในฐานะผู้ส่งที่อนุญาต) smtp.mail=askme@site; dkim = ผ่าน header.i=@site

ข้อแตกต่างคือ SPF - ยืนยันที่อยู่ IP ของผู้ส่ง ในทางกลับกัน DKIM ไม่คำนึงถึงที่อยู่ IP แต่ยืนยันว่าผู้ส่งมีรหัสลับที่สามารถตรวจสอบได้ด้วยรหัสสาธารณะที่ระบุในระเบียน DNS

ยานเดกซ์ดูเหมือนจะถือว่า DKIM มีความสำคัญสูงกว่าในการต่อสู้กับสแปม ดูบทความ "ลายเซ็นดิจิทัล - Yandex.Help: Mail" ด้วยเหตุนี้ เฉพาะอีเมลที่ยืนยันผ่าน DKIM เท่านั้นที่จะได้รับเหรียญเล็กๆ ข้างที่อยู่ผู้ส่ง

การยืนยัน DKIM สำหรับผู้รับนั้นง่ายกว่า SPF มาก ในการตรวจสอบ DKIM คุณต้องขอระเบียน DNS เพียงรายการเดียว เช่น สำหรับโดเมน default._domainkey.site ของฉัน และรับรหัสสาธารณะของโดเมนจากที่นั่น ซึ่งคุณสามารถใช้ตรวจสอบแฮชของส่วนหัวได้ เช่น ลายเซ็นดิจิทัล (ซึ่งจะพิสูจน์ว่าฉันเป็นเจ้าของคีย์ส่วนตัว)

ในกรณีของ SPF ขั้นตอนการตรวจสอบจะซับซ้อนกว่าเพราะ คุณต้องใช้บันทึก dns จากนั้นใช้รายการ ip ที่อนุญาตและลิงก์ไปยังบันทึก spf อื่น ๆ ซึ่งจำเป็นต้องประมวลผลซ้ำ ฯลฯ จากนั้นตรวจสอบ IP ของผู้ส่งด้วยรายการนี้ ในกรณีที่จดหมายผ่านเซิร์ฟเวอร์หลายแห่ง ขอแนะนำให้เซ็นชื่อทั้งหมด

แต่สำหรับผู้ส่ง การตั้งค่าการรองรับ SPF นั้นง่ายกว่าการตั้งค่า DKIM ตามลำดับความสำคัญ อย่างที่ฉันเขียนไปแล้ว ในการกำหนดค่า SPF ก็เพียงพอแล้วที่จะสร้างรายการ:

เว็บไซต์. ใน TXT "v=spf1 a include:_spf.google.com ~all"

บรรทัดนี้อนุญาตให้คุณส่งอีเมลจาก ip ที่ระบุใน A-record ของโดเมน และจากเซิร์ฟเวอร์ของ Google เท่านั้น

วิธีตั้งค่า DKIM ในบริการของ Google สำหรับโดเมน

ทุกอย่างมีรายละเอียดอยู่ในคู่มือนี้:
http://support.google.com/a/bin/answer.py?hl=ru&answer=174124
ในระยะสั้นแล้ว

1. ไปที่หน้าที่ต้องการในแผงเจ้าของโดเมน Google
2. เลือกโดเมนและรับรหัสเพื่อใส่ใน DNS
3. วางรหัสที่จำเป็นลงในระเบียน TXT ของโดเมนย่อย ตัวอย่างเช่น ฉันมี google2._domainkey.site
4. เปิดใช้งาน
5. กำไร. อีเมลของคุณที่ส่งจาก Gmail ได้รับการลงชื่อด้วยรหัสโดเมนแล้ว

วิธีตั้งค่าลายเซ็นของจดหมายจากเซิร์ฟเวอร์เมื่อส่งผ่าน PHP

หากคุณส่งอีเมลใน PHP ผ่านเซิร์ฟเวอร์ SMTP ของ Google ทุกอย่างก็เสร็จเรียบร้อยแล้ว Google ใช้ลายเซ็นเมื่อส่งผ่าน SMTP

หากคุณส่งเมลโดยใช้ฟังก์ชันเมล คุณต้องติดตั้งแพ็คเกจ dkim-filter บนระบบของคุณ

ยำติดตั้งตัวกรอง dkim

ความถนัดในการติดตั้งตัวกรอง dkim

จากนั้นสร้างรหัสผ่าน dkim-genkey คนขี้เกียจอย่างเราก็ใช้ได้ทุกโดเมนบนเซิร์ฟเวอร์ ต้องเพิ่มคีย์สาธารณะที่สร้างในไฟล์ .txt ลงในระเบียน DNS ของโดเมน

ผู้ใช้ Linux สามารถพิมพ์ # dig google2._domainkey.txt site

หรือส่งจดหมายไปที่กล่องใน Google หรือ Yandex

ใน gmail หากคุณคลิกที่ลูกศรคุณจะเห็นสิ่งที่ต้องการ

บทสรุป

ฉันต้องการดึงดูดความสนใจไปที่จุดอื่นอีกสองสามจุด

หากคุณใช้คุณสมบัติ gmail " ส่งอีเมลเป็น:, เช่น. อย่าส่งโดยตรงจากกล่องจดหมายของคุณ gmail นั้นจะลงชื่อ DKIM ด้วยกล่องจดหมายของผู้ส่งดั้งเดิม ไม่ใช่โดเมนของคุณ

หากคุณแน่ใจอย่างยิ่งว่าคุณได้กำหนดค่า DKIM เรียบร้อยแล้ว คุณสามารถป้องกันไม่ให้เซิร์ฟเวอร์อื่นๆ ยอมรับอีเมลที่มีโดเมนของคุณ แต่ไม่มีลายเซ็น โดยการเพิ่มรายการ ADSP:

_adsp ._domainkey ใน TXT "dkim=all"

อัปเดต

ฉันลืมที่จะพูดถึงวิธีการกำหนดลายเซ็นโดเมนให้กับที่อยู่อีเมลที่ระบุ ความจริงก็คือคุณสามารถส่งจดหมายจากโดเมน X ผ่านเซิร์ฟเวอร์อีเมลของโดเมน Y และลงชื่อด้วยรหัสของโดเมน Z และมันจะใช้งานได้ =) คีย์ถูกกำหนดค่าในไฟล์ /etc/mail/dkim-milter/keys/keypath ที่นี่ควรให้ความสนใจกับส่วนของบรรทัดที่ระบุรูปแบบผู้ส่ง อาจมีเครื่องหมายดอกจันเป็นส่วนหนึ่งหรือทั้งโดเมน หากคุณระบุเพียงเครื่องหมายดอกจัน จดหมายทั้งหมดจะถูกเซ็นชื่อด้วยคีย์และโดเมนนี้

# รูปแบบผู้ส่ง: การลงนามโดเมน: เส้นทางคีย์ # *:example.com:ตัวเลือก *@เว็บไซต์:site:/etc/mail/dkim-milter/keys/default # นี่คือโดเมนอื่นๆ ทั้งหมด และด้านล่างคือโดเมนลายเซ็นเริ่มต้น * :verytec.ru:/etc/mail/dkim-milter/keys/default

ผู้อ่านที่เอาใจใส่สังเกตว่าเส้นทางไปยังรหัสลับนั้นเหมือนกันสำหรับทุกโดเมน สิ่งนี้ไม่รบกวนการทำงานของลายเซ็น

สิ่งที่ดีที่สุดสำหรับคุณ =)