SPF、DKIM、DMARCのDNS TXTゾーンを設定する方法と、ビジネス用の電子メールメッセージがGmailによって拒否されないようにする方法-メール配信に失敗しました

Administratorのii ビジネスのための厳しいプライベートメール 多くの場合、多くの問題や課題に直面します。 の波から SPAM 特定のフィルターでブロックする必要があります。 通信セキュリティ ローカル電子メールサーバーとリモートサーバーでは、 コンフィギュレーション si SMTPサービスの監視, POP, IMAP、さらに多くの詳細 SPF、DKIM、DMARCの構成 安全な電子メールのベストプラクティスに従うこと。

たくさんの問題 電子メールメッセージを送信する または 荷受人 プロバイダーとの間で、エリアの構成が正しくないために表示されます DNS、メールサービスはどうですか。

ドメイン名からメールを送信するには、次の条件を満たしている必要があります。 メールサーバーでホスト 適切に構成され、 DNSゾーンを持つドメイン名 以下のために SPF, MX, DMARC SI dkim 拡張子 マネージャーで正しく設定する TXT DNS ドメインの。

今日の記事では、かなり一般的な問題に焦点を当てます プライベートビジネスメールサーバー。 Gmail、Yahoo！にメールを送信できませんまた iCloud.

@ Gmail.comに送信されたメッセージは、自動的に拒否されます。 「メール配信に失敗しました：メッセージを送信者に返します」

最近問題が発生しました 会社のメールドメイン、そこから定期的に他の企業や個人に電子メールが送信され、その一部にはアドレスがあります @ gmail.com。 Gmailアカウントに送信されたすべてのメッセージは、すぐに送信者に返されます。 「メール配信に失敗しました：メッセージを送信者に返します」。

上の電子メールサーバーにエラーメッセージが返されました EXIM このように見えます：

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

このシナリオでは、次のようなそれほど深刻なものではありません。 送信ドメイン名または送信IPをSPAMリストに含める グローバルまたはo 主要な構成エラー sevrerの電子メールサービスのEXIM).
多くの場合でも、このメッセージが表示されたら、すぐにSPAMまたはSMTP構成エラーを考えてください。問題は、エリアによって発生します。 TXT DNS ドメインの。 ほとんどの場合、DKIMはDNSゾーンで構成されていないか、ドメインのDNSマネージャーで正しく渡されません。 この問題は、それを使用する人がよく遭遇します CloudFlareの DNSマネージャーとして、合格するのを忘れる TXT DNS: mail._domainkey (dkim 拡張子), DMARC si SPF.

Gmailの拒否メッセージが示すように、送信者ドメインの信頼性と認証は失敗しました。 「「このメッセージに認証情報がないか、\n550-5.7.26認証チェックに合格しませんでした。」 これは、受信者の電子メールサーバーの信頼性を確保するためにドメインにDNSTXTが構成されていないことを意味します。 スクリプト内のGmail。

cPanelにアクティブな電子メールサービスを含むWebドメインを追加する場合 VestaCP、それぞれのドメインのDNSゾーン内のファイルも自動的に作成されます。 電子メールサービスの構成を含むDNSゾーン： MX, SPF, dkim 拡張子, DMARC.
マネージャーとなるドメインを選択した場合 CloudFlare DNS、メールドメインが正しく機能するためには、ドメインのホスティングアカウントのDNSエリアをCloudFlareにコピーする必要があります。 それが上記のシナリオの問題でした。 サードパーティのDNSマネージャーでは、DKIM登録は存在しませんが、ローカルサーバーのDNSマネージャーには存在します。

DKIMとは何ですか。また、メールドメインにこの機能がない場合、メールが拒否されるのはなぜですか。

DomainKeys Identified Mail（DKIM） は、を追加する標準の電子メールドメイン認証ソリューションです。 デジタル署名 送信される各メッセージ。 宛先サーバーは、メッセージが送信者の法のドメインからのものであり、送信者のIDをマスクとして使用する別のドメインからのものではないかどうかをDKIMを介してチェックできます。 すべてのアカウントで、ドメインをお持ちの場合 ABCDqwerty.COM DKIMがないと、ドメイン名を使用して他のサーバーから電子メールが送信される可能性があります。 これは、個人情報の盗難が必要な場合です。これは、技術的には次のように呼ばれます。 メールのなりすまし.
電子メールメッセージを送信するときの一般的な手法 フィッシング詐欺 si スパム.

DKIMを通じて、次のことも保証できます。 送信者がメッセージを送信した後、メッセージの内容は変更されませんでした.

電子メールシステムの厳密なホストとDNS領域にDKIMを正しく設定すると、メッセージが受信者にスパムで届いたり、まったく届かなかったりする可能性もなくなります。

DKIMの例は次のとおりです。

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

もちろん、によって得られるDKIM値 RSA暗号化アルゴリズム ドメイン名ごとに一意であり、ホストの電子メールサーバーから再生成できます。

DKIMをインストールして正しく設定する TXT DNS マネージャー、Gmailアカウントに返されるメッセージの問題を解決することは非常に可能です。 少なくとも「メール配信に失敗しました」エラーの場合：

「SMTP error データのパイプライン終了後のリモートメールサーバーから：550-5.7.26このメッセージには認証情報がないか、\n550-5.7.26認証チェックに合格しませんでした。 ユーザーをスパムから最大限に保護するために、\n550-5.7.26メッセージはブロックされています。」

簡単な要約として、 DKIMは、送信される各メッセージにデジタル署名を追加します、これにより、宛先サーバーは送信者の信頼性を検証できます。 あなたの会社からのメッセージであり、あなたの身元を使用するために第三者のアドレスが使用されなかった場合。

Gmailの （グーグル）多分 すべてのメッセージを自動的に拒否します そのようなDKIMデジタルセマンティクスを持たないドメインから来ています。

SPFとは何ですか？安全な電子メール送信にとってなぜ重要なのですか？

DKIMのように、そして SPF 防ぐことを目指しています フィッシングメッセージ si メールのなりすまし。 これにより、送信されたメッセージがスパムとしてマークされなくなります。

送信者ポリシーフレームワーク（SPF） メッセージの送信元のドメインを認証する標準的な方法です。 SPFエントリはに設定されます TXTDNSマネージャー このエントリは、ドメイン名、IP、またはあなたまたはあなたの組織のドメイン名を使用して電子メールメッセージを送信することを許可されているドメインを指定します。

SPFのないドメインでは、スパマーが他のサーバーから電子メールを送信できるようになります。 ドメイン名をマスクとして使用する。 このように彼らは広がることができます 虚偽の情報 または 機密データが要求される場合があります 組織を代表して

もちろん、他のサーバーからメッセージを送信することもできますが、そのサーバーまたはドメイン名がドメインのSPF TXTエントリで指定されていない場合、メッセージはスパムとしてマークされるか、拒否されます。

DNSマネージャーのSPF値は次のようになります。

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

ここで、「ip4」は電子メールサーバー上のIPv4です。

複数のドメインにSPFを設定するにはどうすればよいですか？

他のドメインが自分のドメインに代わって電子メールメッセージを送信することを許可する場合は、値「」で指定します。include」SPFTXTの場合：

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

これは、電子メールメッセージをドメイン名からexample1.comおよびexample2.comに送信することもできることを意味します。
たとえば、XNUMXつあれば非常に便利なレコードです。 オンラインで買い物する 住所について」example1.com"、しかし、私たちはオンラインストアから顧客へのメッセージを残してほしい 会社のドメインアドレス、これは「example.com「。 に SPFTXT 「example.com」の場合、必要に応じてIPおよび「include：example1.com」とともに指定します。 組織に代わってメッセージを送信できるようにします。

IPv4およびIPv6にSPFを設定するにはどうすればよいですか？

両方のメールサーバーがあります IPv4 とと IPv6、両方のIPがSPFTXTで指定されていることが非常に重要です。

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

次に、「ip」の後にディレクティブ「include」出荷を許可されたドメインを追加します。

どういう意味ですか "~all"、"-all"そして"+allSPFの？

上記のように、プロバイダー（ISP）は、SPFポリシーで指定されていないドメインまたはIPから送信された場合でも、組織に代わって電子メールを受信できます。 「all」タグは、他の無許可のドメインからのこれらのメッセージを処理し、あなたまたはあなたの組織に代わってメッセージを送信する方法を宛先サーバーに指示します。

~all ：SPT TXTにリストされていないドメインからメッセージを受信した場合、メッセージは宛先サーバーで受け入れられますが、スパムまたは疑わしいものとしてマークされます。 それらは、受信者プロバイダーのグッドプラクティスのスパム対策フィルターの対象となります。

-all ：これは、SPFエントリに追加される最も厳密なタグです。 ドメインがリストされていない場合、メッセージは無許可としてマークされ、プロバイダーによって拒否されます。 配達もされません macスパムで。

+all ：ほとんど使用されておらず、まったく推奨されていません。このタグを使用すると、他のユーザーがあなたやあなたの組織に代わって電子メールを送信できます。 ほとんどのプロバイダーは、SPFTXTを使用するドメインからのすべての電子メールメッセージを自動的に拒否します。」+all「。 「メールヘッダー」チェック後を除いて、送信者の信憑性を検証できないからです。

概要： Sender Policy Framework（SPF）とはどういう意味ですか？

• DNSキャッシュを無効にしてクリアする- Windows 7、Vista & XP
• Webページの読み込みを高速化するための代替DNSサーバーを使用します
• OS XのDNSアドレスを変更する方法
• どのように我々はOS XでDNSキャッシュをリセットすることができます
• Googleの公開DNSに高速インターネットブラウジングを増やし

TXT / SPF DNSゾーンを介して、ドメインまたは会社から電子メールメッセージを送信できるIPとドメイン名を承認します。 また、許可されていないドメインから送信されるメッセージに適用される結果も適用されます。

DMARCとはどういう意味ですか？また、メールサーバーにとってDMARCが重要なのはなぜですか？

DMARC (ドメインベースのメッセージ認証のレポートと準拠）ポリシー標準と密接に関連しています SPF si dkim 拡張子.
DMARCは 検証システム 保護するように設計されています あなたまたはあなたの会社の電子メールドメイン名、電子メールのなりすましや フィッシング詐欺.

Sender Policy Framework（SPF）とDomain Keys Identified Mail（DKIM）の制御標準を使用して、DMARCは非常に重要な機能を追加します。 レポート.

ドメイン所有者がDNSTXTエリアでDMARCを公開すると、SPFおよびDKIMで保護されたドメインを所有する会社に代わって誰が電子メールメッセージを送信するかに関する情報を取得します。 同時に、メッセージの受信者は、これらのグッドプラクティスポリシーが送信ドメインの所有者によって監視されているかどうか、およびどのように監視されているかを知ることができます。

DNSTXTのDMARCレコードは次のようになります。

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

DMARCでは、分析とレポートのためにインシデントと電子メールアドレスを報告するためのより多くの条件を設定できます。 受信するメッセージの量が多い場合があるため、DMARC専用の電子メールアドレスを使用することをお勧めします。

DMARCタグは、あなたまたはあなたの組織によって課されたポリシーに従って設定できます。

v -既存のDMARCプロトコルのバージョン。
p -DMARCが電子メールメッセージについて検証できない場合は、このポリシーを適用します。 次のような値をとることができます。none"、"quarantine「OR」reject「。 使用されている "none” メッセージ フローとピンのステータスに関するレポートを取得しますsora.
rua -ISPがXML形式でフィードバックを送信できるURLのリストです。 ここにメールアドレスを追加すると、リンクは次のようになります。rua=mailto:feedback@example.com"。
ruf -ISPが組織に代わって犯したサイバーインシデントや犯罪のレポートを送信できるURLのリスト。アドレスは次のとおりです。ruf=mailto:account-email@for.example.com"
rf -サイバー犯罪の報告フォーマット。 形作ることができます」afrf「OR」iodef"
pct -ISPに、失敗したメッセージの特定の割合にのみDMARCポリシーを適用するように指示します。 たとえば、次のようになります。pct=50%「またはポリシー」quarantine"そして"reject「。 それは決して受け入れられないでしょう。」none"
adkim – 「配置」を指定します ModeDKIM デジタル署名の場合。 これは、DKIM エントリのデジタル署名とドメインの一致がチェックされることを意味します。 adkim 値を持つことができます： r (Relaxed）または s (Strict).
aspf -場合と同じように adkim 「配置」を指定した場合 Mode」の SPF がサポートされており、同じ値がサポートされています。 r (Relaxed）または s (Strict).
sp -このポリシーは、組織ドメインから派生したサブドメインがドメインのDMARC値を使用できるようにするために適用されます。 これにより、エリアごとに個別のポリシーを使用する必要がなくなります。 これは、実質的にすべてのサブドメインの「ワイルドカード」です。
ri -この値は、DMARCのXMLレポートを受信する間隔を設定します。 ほとんどの場合、毎日の報告が望ましいです。
fo -不正レポートのオプション。 「「法医学 options「。 SPFとDKIMの両方の検証が失敗した場合にインシデントを報告するための値は「0」、SPFまたはDKIMが存在しないか検証に合格しないシナリオの場合は値「1」の場合があります。

したがって、あなたまたはあなたの会社の電子メールが確実に受信トレイに届くようにするには、これらXNUMXつの基準を考慮する必要があります。」メールを送信するためのベストプラクティス" dkim 拡張子, SPF si DMARC。 これら XNUMX つの標準はすべて DNS TXT に属しており、ドメインの DNS マネージャーから管理できます。