Administratorالثاني دي البريد الإلكتروني الخاص الشديد للأعمال غالبا ما تواجه العديد من المشاكل والتحديات. من موجات SPAM والتي يجب حظرها بواسطة عوامل تصفية محددة ، أمن المراسلات في خادم البريد الإلكتروني المحلي والخوادم البعيدة ، ترتيب si مراقبة خدمات SMTP, POP, IMAP، بالإضافة إلى الكثير والكثير من التفاصيل الأخرى تهيئة SPF و DKIM و DMARC لاتباع أفضل الممارسات للبريد الإلكتروني الآمن.
العديد من المشاكل إرسال رسائل بريد إلكتروني أو المرسل إليه إلى / من مزودي الخدمة لديك ، تظهر بسبب التكوين غير الصحيح للمنطقة DNSوماذا عن خدمة البريد الإلكتروني.
من أجل إرسال رسائل البريد الإلكتروني من اسم المجال ، يجب أن تكون كذلك مستضاف على خادم البريد الإلكتروني تكوينها بشكل صحيح ، و اسم المجال للحصول على مناطق DNS إلى عامل حماية من الشمس, MX, DMARC SI DKIM مجموعة بشكل صحيح في المدير TXT DNS من المجال.
في مقال اليوم سوف نركز على مشكلة شائعة إلى حد ما خوادم البريد الإلكتروني التجارية الخاصة. غير قادر على إرسال بريد إلكتروني إلى Gmail و Yahoo! أو iCloud.
المحتوى
يتم رفض الرسائل المرسلة إلى @ Gmail.com تلقائيًا. "فشل في ارسال الرسالة: ارجاع الرسالة للمرسل"
لقد واجهت مشكلة في الآونة الأخيرة مجال بريد إلكتروني لشركة، والتي يتم من خلالها إرسال رسائل البريد الإلكتروني بانتظام إلى الشركات الأخرى والأفراد ، وبعضهم لديه عناوين @ gmail.com. عادت جميع الرسائل المرسلة إلى حسابات Gmail على الفور إلى المرسل. "فشل في ارسال الرسالة: ارجاع الرسالة للمرسل".
عادت رسالة الخطأ إلى خادم البريد الإلكتروني على EXIM يشبه هذا:
1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26 https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtpفي هذا السيناريو ليس شيئًا خطيرًا جدًا ، مثل تضمين اسم المجال المرسل أو عنوان IP في قائمة الرسائل الاقتحامية (SPAM) عالمي أو س خطأ كبير في التكوين من خدمات البريد الإلكتروني على سيفرير (EXIM).
على الرغم من أن العديد من الأشخاص يرون هذه الرسالة على الفور عندما يفكرون في الرسائل الاقتحامية (SPAM) أو خطأ في تكوين SMTP ، إلا أن المشكلة ناتجة عن المنطقة. TXT DNS من المجال. في معظم الأحيان ، لا يتم تكوين DKIM في منطقة DNS أو لا يتم تمريره بشكل صحيح في مدير DNS للمجال. غالبًا ما توجد هذه المشكلة في أولئك الذين يستخدمونها كلودفلاري كمدير DNS وننسى أن تمر TXT DNS: mail._domainkey (DKIM), DMARC si عامل حماية من الشمس.
كما تخبرنا رسالة رفض Gmail ، فشلت مصداقية ومصادقة مجال المرسل. "لا تحتوي هذه الرسالة على معلومات المصادقة أو تفشل في \ n550-5.7.26 اجتياز فحوصات المصادقة. " هذا يعني أن المجال ليس به DNS TXT مهيأ لضمان مصداقية خادم البريد الإلكتروني الخاص بالمستلم. Gmail ، في البرنامج النصي الخاص بنا.
عندما نضيف مجال ويب مع خدمة بريد إلكتروني نشطة على cPanel الخاص به VestaCP، يتم أيضًا إنشاء الملفات الموجودة في منطقة DNS للمجال المعني تلقائيًا. منطقة DNS التي تحتوي على تكوين خدمة البريد الإلكتروني: MX, عامل حماية من الشمس, DKIM, DMARC.
في الحالة التي نختار فيها المجال ليكون المدير CloudFlare DNS، يجب نسخ منطقة DNS لحساب استضافة المجال إلى CloudFlare حتى يعمل مجال البريد الإلكتروني بشكل صحيح. كانت هذه هي المشكلة في السيناريو أعلاه. في مدير DNS لجهة خارجية ، لا يوجد تسجيل DKIM ، على الرغم من وجوده في مدير DNS للخادم المحلي.
ما هو DKIM ولماذا يتم رفض رسائل البريد الإلكتروني إذا لم تكن لدينا هذه الميزة في مجال البريد الإلكتروني؟
البريد المحدد بمفاتيح النطاق (DKIM) هو حل قياسي لمصادقة مجال البريد الإلكتروني يضيف ملف التوقيع الرقمي يتم إرسال كل رسالة. يمكن لخوادم الوجهة التحقق من خلال DKIM ما إذا كانت الرسالة تأتي من المجال القانوني للمرسل وليس من مجال آخر يستخدم هوية المرسل كقناع. بكل الحسابات ، إذا كان لديك المجال ABCDqwertyكوم بدون DKIM ، يمكن إرسال رسائل البريد الإلكتروني من خوادم أخرى باستخدام اسم المجال الخاص بك. هذا إذا كنت تريد سرقة الهوية ، وهو ما يسمى من الناحية الفنية انتحال البريد الإلكتروني.
تقنية شائعة عند إرسال رسائل البريد الإلكتروني التصيد si البريد المزعج.
يمكن أيضًا التأكد من ذلك من خلال DKIM ، لم يتم تغيير محتوى الرسالة بعد أن أرسلها المرسل.
إن ضبط DKIM بشكل صحيح على المضيف الصارم لنظام البريد الإلكتروني وفي منطقة DNS يلغي أيضًا إمكانية وصول رسائلك إلى الرسائل الاقتحامية (SPAM) إلى المستلم أو لا تصل على الإطلاق.
مثال على DKIM هو:
mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"بالطبع ، تم الحصول على قيمة DKIM بواسطة خوارزمية تشفير RSA فريد لكل اسم مجال ويمكن إعادة إنشائه من خادم البريد الإلكتروني للمضيف.
تثبيت DKIM وضبطه بشكل صحيح في TXT DNS المدير ، من الممكن جدًا حل مشكلة الرسائل التي يتم إرجاعها إلى حسابات Gmail. على الأقل لخطأ "فشل تسليم البريد":
"SMTP error من خادم البريد البعيد بعد نهاية البيانات المخططة: 550-5.7.26 لا تحتوي هذه الرسالة على معلومات المصادقة أو تفشل في \ n550-5.7.26 اجتياز فحوصات المصادقة. لحماية مستخدمينا بشكل أفضل من الرسائل غير المرغوب فيها ، تم حظر رسالة \ n550-5.7.26 ".
خلاصة موجزة ، يضيف DKIM توقيعًا رقميًا لكل رسالة مرسلة، والذي يسمح للخوادم الوجهة بالتحقق من صحة المرسل. إذا وصلت الرسالة من شركتك ولم يتم استخدام عنوان الجهة الخارجية من أجل استخدام هويتك.
جوجل (جوجل) ربما يرفض تلقائيًا جميع الرسائل قادمة من المجالات التي لا تحتوي على دلالات رقمية DKIM.
ما هو SPF ولماذا هو مهم لإرسال البريد الإلكتروني الآمن؟
تمامًا مثل DKIM و عامل حماية من الشمس يهدف إلى منع رسائل التصيد si انتحال البريد الإلكتروني. بهذه الطريقة ، لن يتم وضع علامة على الرسائل المرسلة كرسائل غير مرغوب فيها.
إطار سياسة المرسل (SPF) هي طريقة قياسية لمصادقة المجال الذي يتم إرسال الرسائل منه. تم تعيين إدخالات نظام التعرف على هوية المرسل (SPF) على TXT DNS manager من المجال الخاص بك ، وسيحدد هذا الإدخال اسم المجال أو IP أو المجالات التي يُسمح لها بإرسال رسائل بريد إلكتروني باستخدام اسم المجال الخاص بك أو الخاص بمؤسستك.
يمكن أن يسمح المجال الذي لا يحتوي على نظام التعرف على هوية المرسل (SPF) لمرسلي البريد العشوائي بإرسال رسائل بريد إلكتروني من خوادم أخرى ، باستخدام اسم المجال الخاص بك كقناع. بهذه الطريقة يمكنهم الانتشار معلومات خاطئة أو قد يتم طلب بيانات حساسة نيابة عن منظمتك
بالطبع ، لا يزال من الممكن إرسال الرسائل نيابة عنك من خوادم أخرى ، ولكن سيتم وضع علامة عليها كرسائل غير مرغوب فيها أو رفضها إذا لم يتم تحديد اسم الخادم أو المجال في إدخال TXT لنظام التعرف على هوية المرسل (SPF) الخاص بنطاقك.
تبدو قيمة SPF في مدير DNS كما يلي:
@ : "v=spf1 a mx ip4:x.x.x.x ?all"حيث يكون "ip4" هو IPv4 على خادم البريد الإلكتروني الخاص بك.
كيف أقوم بتعيين SPF لنطاقات متعددة؟
إذا أردنا تخويل المجالات الأخرى لإرسال رسائل بريد إلكتروني نيابة عن مجالنا ، فسنحددها بالقيمة "include"في SPF TXT:
v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~allهذا يعني أنه يمكن أيضًا إرسال رسائل البريد الإلكتروني من اسم المجال الخاص بنا إلى example1.com و example2.com.
إنه سجل مفيد للغاية إذا كان لدينا على سبيل المثال واحد للتسوق عبر الإنترنت على العنوان "example1.com"، لكننا نريد مغادرة الرسائل من المتجر الإلكتروني للعملاء عنوان مجال الشركة، هذا الكائن "example.com". في SPF تكست لـ "example.com" ، حسب الحاجة لتحديد بجوار IP و "include: example1.com". بحيث يمكن إرسال الرسائل نيابة عن المنظمة.
كيف أقوم بتعيين SPF لـ IPv4 و IPv6؟
لدينا خادم بريد مع كليهما IPv4 ومع IPv6، من المهم جدًا تحديد كلا عنوانَي IP في SPF TXT.
v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~allبعد ذلك ، بعد "ip" التوجيه "include"لإضافة المجالات المصرح بها للشحن.
ماذا يعني ذلك "~all"،"-all"و"+allمن SPF؟
كما هو مذكور أعلاه ، لا يزال بإمكان الموفرين (ISPs) تلقي رسائل البريد الإلكتروني نيابة عن مؤسستك حتى لو تم إرسالها من مجال أو IP غير محدد في سياسة نظام التعرف على هوية المرسل (SPF). تخبر علامة "الكل" الخوادم الوجهة بكيفية التعامل مع هذه الرسائل من المجالات الأخرى غير المصرح بها وإرسال الرسائل نيابة عنك أو عن مؤسستك.
~all : إذا تم استلام الرسالة من مجال غير مدرج في SPT TXT ، فسيتم قبول الرسائل على الخادم الوجهة ، ولكن سيتم تمييزها على أنها بريد عشوائي أو مريبة. سيخضعون لمرشحات مكافحة البريد العشوائي للممارسات الجيدة لمزود المستلم.
-all : هذه هي العلامة الأكثر صرامة المضافة إلى إدخال نظام التعرف على هوية المرسل (SPF). إذا لم يكن المجال مدرجًا ، فسيتم وضع علامة على الرسالة على أنها غير مصرح بها وسيتم رفضها من قبل المزود. لن يتم تسليمها أيضًا macفي البريد العشوائي.
+all : نادرًا ما تستخدم هذه العلامة ولا ينصح بها على الإطلاق ، فهي تتيح للآخرين إرسال رسائل بريد إلكتروني نيابة عنك أو نيابة عن مؤسستك. يرفض معظم الموفرين تلقائيًا جميع رسائل البريد الإلكتروني التي تأتي من المجالات ذات SPF TXT. "+all". على وجه التحديد لأنه لا يمكن التحقق من أصالة المرسل ، إلا بعد التحقق من "رأس البريد الإلكتروني".
ملخص: ماذا يعني إطار سياسة المرسل (SPF)؟
يصرح عبر منطقة TXT / SPF DNS وعناوين IP وأسماء المجال التي يمكنها إرسال رسائل بريد إلكتروني من مجالك أو شركتك. كما أنه يطبق النتائج التي تنطبق على الرسائل المرسلة من مجالات غير مصرح بها.
ماذا يعني DMARC ولماذا هو مهم لخادم البريد الإلكتروني الخاص بك؟
DMARC (تقارير مصادقة الرسائل المستندة إلى المجال والمطابقة) يرتبط ارتباطًا وثيقًا بمعايير السياسة عامل حماية من الشمس si DKIM.
DMARC هو ملف نظام التحقق مصممة للحماية اسم مجال البريد الإلكتروني الخاص بك أو شركتك، وممارسات مثل انتحال البريد الإلكتروني و حيل الخداع.
باستخدام إطار سياسة المرسل (SPF) ومعايير التحكم في البريد المعرّف بمفاتيح النطاق (DKIM) ، يضيف DMARC ميزة مهمة جدًا. التقارير.
عندما ينشر مالك النطاق DMARC في منطقة TXT لنظام أسماء النطاقات ، فإنه سيحصل على معلومات حول من يرسل رسائل بريد إلكتروني نيابة عنه أو عن الشركة التي تمتلك النطاق المحمي بواسطة نظام التعرف على هوية المرسل (SPF) و DKIM. في الوقت نفسه ، سيعرف مستلمو الرسائل ما إذا كان مالك مجال الإرسال يراقب سياسات أفضل الممارسات وكيفية ذلك.
يمكن أن يكون سجل DMARC في DNS TXT:
V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;في DMARC ، يمكنك وضع المزيد من الشروط للإبلاغ عن الحوادث وعناوين البريد الإلكتروني للتحليل والتقارير. يُنصح باستخدام عناوين بريد إلكتروني مخصصة لـ DMARC لأن حجم الرسائل المستلمة قد يكون كبيرًا.
يمكن تعيين علامات DMARC وفقًا للسياسة التي تفرضها أنت أو مؤسستك:
v - نسخة من بروتوكول DMARC الحالي. p - قم بتطبيق هذه السياسة عندما يتعذر التحقق من DMARC لرسائل البريد الإلكتروني. يمكن أن يكون لها قيمة: "none"،"quarantine"أو"reject". مستخدم "none"للحصول على تقارير حول تدفق الرسائل وحالة الدبوسsora.rua - هي قائمة بعناوين URL التي يمكن لمزودي خدمة الإنترنت أن يرسلوا تعليقات عليها بتنسيق XML. إذا أضفنا عنوان البريد الإلكتروني هنا ، فسيكون الرابط:rua=mailto:feedback@example.com".ruf - قائمة عناوين URL التي يمكن لمزودي خدمة الإنترنت من خلالها إرسال تقارير عن حوادث الإنترنت والجرائم المرتكبة نيابة عن مؤسستك. سيكون العنوان:ruf=mailto:account-email@for.example.com". rf - تنسيق الإبلاغ عن الجرائم الإلكترونية. يمكن تشكيلها "afrf"أو"iodef". pct - يوجه مزود خدمة الإنترنت لتطبيق سياسة DMARC فقط لنسبة معينة من الرسائل الفاشلة. على سبيل المثال ، قد يكون لدينا:pct=50%"أو السياسات"quarantine"و"reject". لن يتم قبوله ابدا ".none". adkim - حدد "محاذاة Mode"لتوقيعات DKIM الرقمية. هذا يعني أنه تم التحقق من مطابقة التوقيع الرقمي لإدخال DKIM مع النطاق. adkim يمكن أن يكون لها القيم: r (Relaxed) أو s (Strict). aspf - بنفس الطريقة كما في الحالة adkim تم تحديد "محاذاة" Mode"لـ SPF ويدعم نفس القيم. r (Relaxed) أو s (Strict). sp - تنطبق هذه السياسة على السماح للنطاقات الفرعية المشتقة من نطاق المؤسسة باستخدام قيمة DMARC للنطاق. هذا يتجنب استخدام سياسات منفصلة لكل مجال. وهو عمليًا "حرف بدل" لجميع المجالات الفرعية. ri - تحدد هذه القيمة الفاصل الزمني الذي سيتم فيه تلقي تقارير XML لـ DMARC. في معظم الحالات ، يفضل إعداد التقارير على أساس يومي. fo - خيارات لتقارير الاحتيال. "الطب الشرعي options". قد تحتوي على قيم "0" للإبلاغ عن الحوادث عندما يفشل كل من التحقق من نظام التعرف على هوية المرسل (SPF) و DKIM ، أو القيمة "1" للسيناريو حيث لا يوجد نظام التعرف على هوية المرسل (SPF) أو DKIM أو لا يجتاز عملية التحقق.
لذلك ، لضمان وصول رسائل البريد الإلكتروني الخاصة بك أو لشركتك إلى صندوق الوارد الخاص بك ، عليك مراعاة هذه المعايير الثلاثة ".أفضل الممارسات لإرسال رسائل البريد الإلكتروني". DKIM, عامل حماية من الشمس si DMARC. تنتمي جميع هذه المعايير الثلاثة إلى DNS TXT ويمكن إدارتها من مدير DNS للمجال.
1 فكرت في "كيفية تكوين منطقة TXT DNS لنظام التعرف على هوية المرسل (SPF) و DKIM و DMARC وكيفية تجنب رسائل البريد الإلكتروني التجارية التي يتم رفضها بواسطة Gmail - فشل تسليم البريد"