Как подключить dkim к домену

Организация — это уровень управления, с помощью которого администраторы могут просматривать все аккаунты Atlassian с адресами электронной почты в домене компании и управлять ими. Это верхний уровень в облачной иерархии Atlassian, обеспечивающий централизованное управление пользователями и контентом. В организации перечислены все сайты и продукты Atlassian, что дает полную картину облака Atlassian в компании. Для доступа к организации перейдите по ссылке admin.atlassian.com.

Это зависит от серверов, проводящих валидацию сообщения. Когда сообщение подписывается с помощью DKIM, получатель использует имеющиеся сведения о подписавшей сообщение организации, чтобы определить, что делать с сообщением. Сообщения от подписанта с хорошей репутацией будут проходить менее тщательную проверку фильтрами получателя.

1. Добавьте домен и создайте ключ DKIM

Если вы еще не добавили домен, с которого будете отправлять рассылки, добавьте свой адрес с этим доменом. Первый раз нужно заполнить анкету пользователя.

Если же вы уже отправляли форму ранее, добавить новый адрес отправителя можно с помощью кнопки «Добавить Email отправителя».

На email, указанный как email отправителя, придет письмо подтверждения. Перейдите по ссылке в письме и продолжите настройку DKIM-подписи.

После добавления домена нажмите кнопку «Создать ключ DKIM».

2. Нажмите кнопку «Сгенерировать».

3. Сохраните сгенерированный приватный ключ.

В колонке «Статус DKIM» напротив вашего домена появится надпись «Включен».

В разделе работы с DNS, который находится в панели управления доменом или хостингом нужно создать текстовую запись о публичном ключе.

Пример записи:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDNIutZoZRz+wN2vLhRs5sm+26MsPrr3/m7X7Rm0rjMfPqFO2qi7CqUe0EXouL1Fe4HWxXff7c777
aRZLm1CnhYWXrDFaND4ZMDIpzyhEjtVPGFAbgrrXvszLTgfLZdZ9x4KYlJMCh64yj203jRLyyhqf9USfBbIyUNT16p8idjbwIDAQAB

Имя записи: smtpsign._domainkey

Тип записи: TXT

Несколько часов необходимы для прохождения проверки записей на хостинге. Чтобы просмотреть информацию о DKIM-подписи вашего домена, кликните «Проверить DKIM» в выпадающем меню «Просмотр ключа».

Если вы настроили DKIM-подпись правильно, можете приступать к созданию рассылки.

Оценка: 4 / 5 (20)

SPF подтверждает, что домен не подделка

Sender Policy Framework (структура политики отправителя) — это запись со списком серверов и IP-адресов, с которых разрешается рассылать письма от имени домена. Настроив SPF, вы сообщите почтовым сервисам, что письмо отправили именно вы. Если письмо отправлено с IP или сервера, которого нет в записи, то провайдер расценит его как спам.

Чтобы настроить SPF, создайте текстовую запись серверов, с которых вы делаете рассылки. Настройки производят в панели управления хостинга домена.

Как настроить ISPmanager, чтобы ваши письма не попадали в спам

Новые
Сервисы
Решения
Для бизнеса
Техподдержка
Инструкции
Интервью
Авторская колонка
События
Праздники
Акции

Обидно, когда отправляешь клиентам или партнёрам письма, а они попадают в спам. Получатели могут даже не увидеть, что вы им написали. Это нужно исправить. И чем раньше, тем лучше, поскольку это не только обидно, но и часто убыточно. В вашем письме может быть коммерческое предложение или выгодные акции для клиентов, о которых они даже не узнают, потому что ваше письмо полетело в спам.

Ранее мы писали о том, что делать, чтобы письма не попадали в спам. А сейчас расскажем, как настроить ваш ISPmanager, чтобы всегда попадать во «Входящие» почтовых ящиков.

Чтобы убедить почтовые сервисы в том, что ваши письма «честные», рекомендуем использовать следующие методы защиты электронной почты:

1. SPF

SPF-запись снижает риск подделки вашего домена и исключает возможность попадания ваших писем в спам.

SPF (Sender Policy Framework) — TXT-запись в DNS зоне домена. В ней хранятся списки IP-адресов и серверов, которые имеют право отправлять письма от имени конкретного домена, а также механизм обработки писем, которые отправляются из других источников.

В панели управления ISPmanager SPF-запись создаётся автоматически. Чтобы посмотреть какая SPF-запись настроена для конкретного домена, сделайте следующее:

В панели управления хостингом выберите Главное → Доменные имена, выберите домен и нажмите кнопку «Записи».

Читать еще: Как подключить провода мтс домашний интернет

2. Найдите текстовый тип записи. Например, это может выглядеть так:

v=spf1 ip4:193.151.90.204 a mx

Чтобы было понятно, расшифруем каждый ключ:

v=spf — версия. Она всегда равна spf1.

a — ключ, который разрешает отправлять письма с адреса, который указан в A иили AAAA записи домена отправителя.

mx — разрешает отправлять письма с адреса, который указан в mx записи домена.

all — говорит, что делать с письмами, которые не соответствуют политике:

» — дополнительные проверки, «?» — нейтрально

Для данной записи возможно настроить и другие параметры, подробнее о которых вы можете узнать на сайте проекта openspf.org

2. DKIM

В заголовки исходящих сообщений необходимо добавить цифровую подпись, согласно стандарту DKIM (Domain Keys Identified Mail).

DKIM-подпись говорит почтовым сервисам, достоверно ваше письмо или нет.

Для подписи создаются два ключа — публичный и приватный.

Публичный ключ указывается в TXT-записи домена, чтобы почтовый сервер получателя расшифровал необходимый заголовок и проверил достоверность письма.

Приватны ключ генерируется сервером и недоступен для пользователя.

Важно, чтобы приватный и публичный ключ были согласованы между собой. Если публичный ключ в доменной зоне изменить, все письма будут попадать в спам.

Когда подписанное DKIM-ключом письмо не удаётся расшифровать, возникает ошибка DKIM-invalid. Спам-фильтры на такую ошибку реагируют остро.

Чтобы включить DKIM-подпись, зайдите в раздел Почта → Почтовые домены:

Выберите ваш домен и нажмите «Изменить».

Поставьте галочку возле надписи «Включить DKIM для домена»:

3. DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) — расширение для идентификации почтового домена отправителя.

Активировать DMARC можно только после того, как будут настроены SPF и DKIM.

Чтобы включить DMARC зайдите в раздел Почта → Почтовые домены.

Выберите нужный домен и нажмите «Изменить».

В открывшемся окне поставьте галочку напротив «Включить DMARC для домена».

SPF, DKIM и DMARC — DNS-записи, для настройки которых нужно знать, какие NS-сервера (Name Servers) используются для домена. Это можно проверить в панели управления вашего регистратора доменного имени в соответствующей вкладке.

Если NS-сервера указаны наши, никаких дополнительных действий выполнять не нужно. Просто настройте всё, как мы описали в пунктах выше, и немного подождите, чтобы информация обновилась. Обычно около часа.

Если указаны NS-сервера провайдера, добавьте эти записи в доменной зоне провайдера в том виде, в котором они представлены в панели управления в меню «Доменные имена» для того или иного домена.

Примеры записей NS-серверов смотрите на скриншоте ниже.

4. Greylisting

Greylisting (серые списки) — фильтр входящего спама. Принцип работы основан на том, что сервер не сразу принимает приходящее письмо, а сначала даёт ответ «Я сейчас занят, повторите отправку чуть позже».

Большинство спамерских механизмов доставки не утруждают себя повторными отправлениями почты, в отличие от нормальных сервисов, которые вновь и вновь, пытаются доставить письмо отправителю.

Отметим, что письма, отправленные впервые от одного получателя другому, а также впервые при смене IP-адреса, доставляются с задержкой, если со стороны получателя включен Greylisting.

Обычно это 15 минут для нашего хостинга. Возможно, что на стороне получателя данная технология также включена, и её настройки слегка отличаются от наших, поэтому письмо может быть доставлено раньше или позже.

Чтобы включить фильтр Greylisting, зайдите в раздел Почта → Почтовые домены.

Выберите домен и нажмите «Изменить». Поставьте галочку возле «Включить Greylisting»:

5. PTR

PTR (pointer) — запись, связывающая IP адрес с доменом вашего сайта.

У вашего домена в DNS зоне прописана А-запись. Она связывает ваш домен с IP-адресом сервера, где расположен сайт. А PTR запись делает обратное — связывает IP-адрес с доменом.

PTR-запись нужна, чтобы идентифицировать IP-адрес, с которого осуществляется отправка. Некоторые почтовые сервера предварительно проверяют наличие данной записи для IP-адреса сервера, с которого пришло письмо. Либо используют для фильтрации чёрные списки, которые выполняют аналогичную проверку.

Читать еще: Как подключить определитель номера на домашний телефон ростелеком

При отсутствии PTR-записи есть вероятность, что письмо попадёт в спам или будет отвергнуто почтовым сервером получателя.

Добавить такую запись самостоятельно нельзя. Её должен зарегистрировать и прописать у себя провайдер — владелец предоставленного вам IP-адреса.

Эта особенность используется для дополнительной проверки почтовых серверов. Почтовый сервер считается правильно настроенным, если для его имени узла есть соответствующая обратная запись.

Для клиентов нашего хостинга PTR-запись уже настроена по умолчанию.

Чтобы ваши письма не попадали в спам, в ISPменеджер нужно внедрить пять настроек, описанных выше. Кроме этого, важно выбрать для своего проекта стабильный хостинг с поддержкой, которая всегда на связи и готова быстро решить любую задачу.

А если вам нужна грамотная консультация по вопросам веб-размещения как небольших, так и масштабных проектов, обращайтесь к нам 24/7.

Настройка служебных заголовков своими силами

Если сотрудники вашей службы безопасности не рекомендуют передавать права на домен третьего уровня, то напишите в службу поддержки — мы вышлем инструкцию по ручной настройке служебных заголовков.

Обращаем внимание, что это сложный, многоступенчатый процесс, который лучше передать соответствующему техническому специалисту. Если вы представляете малый и средний бизнес и делаете все сами, то смысла в ручной настройке нет — логичнее и проще будет сделать это при помощи службы поддержки Sendsay.

Настройка DKIM/SPF/DMARC записей или защищаемся от спуфинга

1. DKIM

DKIM (DomainKeys Identified Mail) — это метод e-mail аутентификации, основанный на проверке подлинности цифровой подписи. Публичный ключ хранится TXT записи домена.

Зачем же он нужен?

DKIM необходим для того, чтобы почтовые сервисы могли проверять, является ли отправитель достоверным или нет. Т.е. защищает получателя письма от различных мошеннических писем (которые отправлены с подменой адреса отправителя).

Настройка DKIM подписи и DNS записей

Для это нам необходимо создать пару ключей:

Или можно воспользоваться онлайн-сервисом, чего я крайне не советую.

Далее необходимо указать путь с секретному ключу в файле конфигурации (для этого лучше почитать документацию) почтового сервера и публичный ключ в DNS.

Примером записей является
mail._domainkey.your.tld TXT «v=DKIM1; k=rsa; t=s; p= »

где
mail — селектор. Можно указать несколько записей с разными селекторами, где в каждой записи будет свой ключ. Применяется тогда, когда задействовано несколько серверов. (на каждый сервер свой ключ)
v — версия DKIM, всегда принимает значение v=DKIM1 . (обязательный аргумент)
k — тип ключа, всегда k=rsa . (по крайней мере, на текущий момент)
p — публичный ключ, кодированный в base64. (обязательный аргумент)
t — Флаги:
t=y — режим тестирования. Такие отличают отличаются от неподписанных и нужны лишь для отслеживания результатов.
t=s — означает, что запись будет использована только для домена, к которому относится запись, не рекомендуется, если используются субдомены.
возможные:
h — предпочитаемый hash-алгоритм, может принимать значения h=sha1 и h=sha256
s — Тип сервиса, использующего DKIM. Принимает значения s=email (электронная почта) и s=* (все сервисы) По-умолчанию «*».
; — разделитель.

Так же стоит прописать ADSP запись, которая позволяет понять, обязательно должно быть письмо подписано или нет.
_adsp._domainkey.example.com. TXT «dkim=all»

Значений может быть три:
all — Все письма должны быть подписаны
discardable — Не принимать письма без подписи
unknown — Неизвестно (что, по сути, аналогично отсутствию записи)

2. SPF

SPF (Sender Policy Framework) — расширение для протокола отправки электронной почты через SMTP. SPF определен в RFC 7208 (Wiki). Если простым языком, то SPF — механизм для проверки подлинности сообщением, путем проверки сервера отправителя. Как по мне, данная технология полезна в связке в другими (DKIM и DMARC)

Читать еще: Обшивка дома плиткой под кирпич

Настройка SPF записей

all»
Здесь:
v=spf1 является версией, всегда spf1
a — разрешает отправляет письма с адреса, который указан в A иили AAAA записи домена отправителя
mx — разрешает отправлять письма c адреса, который указан в mx записи домена
(для a и mx можно указать и другой домен, например, при значении a:example.com , будет разрешена а запись не домена отправителя, а example.com)
Так же можно добавлять и отдельные ip адреса, используя ip4: и ip6: . Например, ip4:1.1.1.1 ip6: 2001:0DB8:AA10:0001:0000:0000:0000:00FB . Еще есть include: ( include:spf.example.com ), позволяющий дополнительно подключать spf записи другого домена. Это все можно комбинировать через пробел. Если же нужно просто использовать запись с другого домена, не дополняя её, то лучше всего использовать redirect: ( redirect:spf.example.com )
-all — означает то, что будет происходить с письмами, которые не соответствуют политике: «-» — отклонять, «+» — пропускать, «

» — дополнительные проверки, «?» — нейтрально.

3.DMARC

Domain-based Message Authentication, Reporting and Conformance (идентификация сообщений, создание отчётов и определение соответствия по доменному имени) или DMARC — это техническая спецификация, созданная группой организаций, предназначенная для снижения количества спамовых и фишинговых электронных писем, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя (Wiki). То есть почтовый сервер сам решает, хорошее сообщение или плохое (допустим, исходя из политик выше) и действует согласно DMARC записи.

Настройка DMARC записей

Типичная запись выглядит так: _dmarc.your.tld TXT «v=DMARC1; p=none; rua=mailto:postmaster@your.tld»
В ней не предпринимаются никакие действия, кроме подготовки и отправки отчета.

Теперь подробнее о тегах:
v — версия, принимает значение v=DMARC1 (обязательный параметр)
p — правило для домена. (Обязательный параметр) Может принимать значения none , quarantine и reject , где
p=none не делает ничего, кроме подготовки отчетов
p=quarantine добавляет письмо в СПАМ
p=reject отклоняет письмо
Тэг sp отвечает за субдомены и принимает такие же значения, как и p
aspf и adkim позволяют проверять соответствиям записям и могут принимать значения r и s , где r — relaxed более мягкая проверка, чем s — strict.
pct отвечает за кол-во писем, подлежащих фильтрации, указывается в процентах, например, pct=20 будет фильтровать 20% писем.
rua — позволяет отправлять ежедневные отчеты на email, пример: rua=mailto:postmaster@your.tld , так же можно указать несколько email через пробел ( rua=mailto:postmaster@your.tld mailto:dmarc@your.tld )

ruf — отчеты писем, не прошедшие проверку DMARC. В остальном все так же, как и выше.

Эпилог

Мы научились настраивать DKIM/SPF/DMARC и противостоять спуфингу. К сожалению, это не гарантирует безопасность в случае взлома сервера или же отправки писем на серверы, не поддерживающие данные технологии. Благо, что популярные сервисы все же их поддерживают (а некоторые и являются инициаторами данных политик).

Эта статья — лишь инструкция по самостоятельной настройке записей, своего рода документация. Готовых примеров нет намеренно, ведь каждый сервер уникален и требует своей собственной конфигурации.