Полезные статьи для пользователей >> Инструкции по работе с хостингом >> Настройка SPF DKIM DMARC и некоторые нюансы работы с ними

Настройка SPF, DKIM и DMARC и некоторые нюансы работы с ними

Первое знакомство с аббревиатурами SPF, DKIM и DMARC может вызвать немало вопросов. Это цифровые записи, которые необходимо добавить на DNS-сервер и в настройки почтового сервера, для корректной отправки электронной почты со своего домена. Без них ваши письма с большой долей вероятности не дойдут до получателя или попадут в спам. В этой статье мы простым языком объясним, что означают все эти понятия и для чего они нужны.

Что такое SPF?

Каждый из приведенных выше терминов – это механизм по защите пользователей от атак злоумышленников, перехвата и подмены данных.

Для начала разберемся с базовым понятием – DNS (Domain Name System, или система доменных имен). DNS-сервер — это хранилище информации о доменных именах (например, example.com) и соответствующих им IP-адресах. К одному домену может быть привязано несколько IP-адресов. Например, субдомену или почтовому серверу домена будут соответствовать разные IP. Вся эта информация хранится на DNS-серверах, куда отправляются запросы при каждом обращении к сайту, субдомену и т.д. Подробнее можно почитать здесь.

Для того, чтобы зарегистрировать домен, вам необходимо предоставить регистратору список DNS-серверов, которые будут хранить ваши данные. У сайта может быть несколько таких хранилищ для стабильной работы.

SPF (Sender Policy Framework) – это запись, которая обеспечивает взаимопонимание между почтовыми серверами отправителя и получателя. Она содержит информацию о том, с каких IP-адресов может рассылаться почта от вашего домена.

Пример SPF-записи может выглядеть следующим образом:

v=spf1 ip4:165.165.165.0/24 ip4:136.136.136.0/20 a mx ~all
  • ip4: xx.xx.xx.xx - может добавлять произвольный IP адрес в качестве разрешенного отправителя.
  • a, mx - говорит о том, что почтовый сервер получателя должен определить у домена IP адреса основного домена и его почтового сервера, и также доверять конкретно этим адресам.
  • ~all — говорит о том, что письмо при несоответствии политике SPF будет помещено в Карантин (Спам). Бывает также "-all" , что говорит отвергать письма.

Одному домену соответствует одна SPF-запись.

Так, сервер получателя запрашивает SPF во время доставки сообщения. Если у отправителя есть эта запись, он передает в ней список IP-адресов, с которых может отправлять почту. Как правило, это данные одного или нескольких почтовых серверов.

Сервер получателя сверяет IP-адрес почтового сервера отправителя со списком из SPF. Если он нашел нужный IP в списке, то пропускает сообщение дальше.

Это первый маркер, который говорит о том, что это именно вы рассылаете информацию от имени своего домена. Потому, установка SPF важна для безопасного взаимодействия и повышения вероятности доставки вашей почты.

Что такое DKIM?

DKIM (DomainKeys Identified Mail) – вторая ступень защиты при передаче данных между почтовыми серверами. Это механизм, который работает через ключи шифрования - приватный ключ прикрепляется к письму, а публичный ключ, используемый для проверки - добавляется в DNS домена. При несоответствии ключа, или отсутствии публичного или приватного ключа - проверка DKIM считается не пройденной.

  • Приватный ключ используется почтовым сервером для подписи письма, перед отправлением;

  • Публичный ключ один раз вносится в DNS, и в остальное время лишь запрашивается из DNS почтовым сервером получателя, в момент приема письма (в большей степени во время проверок на спам).

Пример публичного ключа:

v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDl3Ju9fsWggJqzUZfaEjMjYZiNBJOtC6tZ+
UZnYHiNV8rWYvfH/qaOzwD9q8jivC7zk4GJuXh9cECd3MAb3sw+Qet10E5RkeLzDw+
0zKecYQWKCXWSGKOeHDfyP9VqrlL2Bi1KieM8Q0KsFFwC5eoZqil/PwDhGlkFcNYae3TrWwIDAQAB
  • «v» – версия протокола, всегда устанавливается как DKIM1;
  • «k» – тип ключа, всегда указывается как rsa;
  • «p» – сам открытый ключ.

Два ключа работают в связке. Когда сервер получателя видит письмо, он запрашивает ваш публичный ключ. С его помощью он расшифровывает скрытую подпись, которая подтверждает ваше авторство.

Соответственно, если DKIM у вас не установлен, многие почтовые сервера будут отклонять получение ваших писем. Это способ авторизации, который нельзя игнорировать.

Что такое DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) – третий этап защиты. Это технология, которая определяет, что делать с вашими сообщениями, если они не прошли аутентификацию с помощью SPF и DKIM. Это правило, которое вы устанавливаете для писем, отправленных от вашего имени.

Так, вы защищаете своих получателей от злоупотреблений вашей репутацией, использования вашего домена мошенниками.

Перед установкой DMARC важно убедиться, что SPF и DKIM прописаны корректно, иначе это может привести к фильтрации писем от вас.

Есть три основных правила, по которым работает механизм DMARC, если распознает сообщения, как подозрительные:

  1. Не предпринимает никаких действий;
  2. Помечает письмо как спам и отправляет в карантин;
  3. Отклоняет сообщение без доставки адресату.

Письма отправляемые с ящика не проходят проверку DMARC policy.

В случае отправки с сайта(ов) писем и получения следующей ошибки:

relay=mxs.mail.ru[217.69.139.150]:25, delay=2.6, delays=2.2/0.01/0.08/0.32, dsn=5.7.1, status=bounced (host mxs.mail.ru[217.69.139.150] said: 550 5.7.1 
This message was not accepted due to domain (mail.ru) owner DMARC policy (RFC 7489)
https://help.mail.ru/mail-help/postmaster/dmarc (in reply to end of DATA command))

Это сообщение говорит о том, что на стороне домена mail.ru включена жесткая политика DMARK (-all), и со сторонних серверов запрещено использовать отправителя из пула доменов mail.ru (mail.ru, bk.ru, list.ru, inbox.ru), в связи с чем письмо и было отклонено получателем.

Для исправления ошибки следует указать ящик на принадлежащем Вам домене.

Включение DMARC, DKIM, SPF в панели хостинга Hostland.

Чтобы включить любую из записей на хостинге Hostland, необходимо перейти в панель управления хостингом, раздел «Почта».

К примеру, чтобы подключить SPF, нажмите на кнопку «SPF выключен» и далее в диалоговом окне, ознакомившись со справочной информацией о данной технологии, нажмите кнопку «Подключить». Все необходимые настройки будут выполнены автоматически. Записи SPF и DMARC добавляются мгновенно, DKIM запись для домена добавляется в течение 15 минут.

Настройка SPF

Письма отклоняются как спам с ошибкой spam message rejected.

При отправке почты и получении ошибки вида 550 spam message rejected, принимающий сервер отклонил письмо, заподозрив, что это спам.

Пример подобного лога:

relay=mxs.mail.ru[94.100.180.31]:25, delay=1.7, delays=1.1/0.01/0.08/0.58, dsn=5.0.0, 
status=bounced (host mxs.mail.ru[94.100.180.31] said: 550 spam message rejected. 
Please visit http://help.mail.ru/notspam-support/id?c=rmpZBF9Np3OAjKvBbqzLjPiDdemyJDJv2AKc3agLB2xrzwPBaYDZJiMAAADA8AAAJJXLOQ~~ 
or  report details to abuse@corp.mail.ru. 
Error code: 04596AAE73A74D5FC1AB8C808CCBAC6EE97583F86F3224B2DD9C02D86C070BA8C103CF6B26D98069 
ID: 000000230000F0C039CB9524 (in reply to end of DATA command))

Для решения проблемы, необходимо связаться с поддержкой сервера получателя. Ссылка указана в тексте самой ошибки и имеет вид:

http://help.mail.ru/notspam-support/id?c=rmpZBF9Np3OAjKvBbqzLjPiDdemyJDJv2AKc3agLB2xrzwPBaYDZJiMAAADA8AAAJJXLOQ

Или можно заполнить форму вручную на данной странице, скопировав из ошибки следующие данные: «Error code» и «ID письма». В данном случае это:

Error code: 04596AAE73A74D5FC1AB8C808CCBAC6EE97583F86F3224B2DD9C02D86C070BA8C103CF6B26D98069
ID: 000000230000F0C039CB9524
Резюме:

DNS-сервер хранит информацию о домене и его IP-адресах. Внести записи SPF и DKIM (публичный ключ) в DNS можно через вашего регистратора доменного имени.

SPF – запись, где заложена информация о почтовых серверах, с которых вы отправляете сообщения. Если от вас приходят письма с других IP, нежели это указано в SPF, они не пройдут проверки на подлинность.

DKIM – механизм защиты, основанный на шифровании. Публичный ключ вносится в DNS-записи и доступен для чтения, приватный – шифрует вашу скрытую подпись в заголовках писем. Расшифровка происходит при доставке сообщений получателем.

DMARC – набор правил для писем от вашего имени, которые не прошли аутентификацию по SPF и DKIM.

Удачной работы! Если возникнут вопросы - напишите нам, пожалуйста, тикет из панели управления хостингом, раздел «Помощь и поддержка».