Sådan godkendes din e-mail

Din guide til SPF, DMARC & DKIM

Foto af NeONBRAND på Unsplash

Adgangskrav:

  • Dit Domain Name System (DNS) Editor (dvs. GoDaddy Admin, der har e-mail-adresserne registreret)
  • Tredjeparts e-mail-administratorkonti (e-mail-eksplosionsservice [Mailchimp, ConstantContact osv.], Yderligere mailserver, du muligvis bruger osv.)

Du læser muligvis dette, fordi du vil have hjælp til at løse en fejl, du lige har modtaget. Denne fejl angiver muligvis noget om dine DMARC-poster, og at e-mailen ikke blev godkendt. Og mest sandsynligt forsøgte du at e-maile nogen med en '@ gmail.com' eller '@ yahoo.com' adresse eller lignende gratis, store e-mail-udbydere, som har højere standardretningslinjer end en e-mailserver, du ville oprette gennem dit eget firma.

Jeg var også der og kæmpede ganske lang tid for at få dette regnet ud - ikke kun hvad du har brug for, men også hvordan man får det til, på den rigtige måde.

For at være 100% kompatibel med hensyn til e-mail-godkendelse, skal du konfigurere 3 ting:

  • SPF (Sender Policy Framework): en ramme, der bruges til at forhindre e-mail-forfalskning aka Spoofing. Forfalskning er, når nogen foregiver at blive sendt fra din e-mail-adresse.
  • DKIM (DomainKeys Identified Mail): Dette tillader en server at sende e-mails i dit navn, mens de bliver autentificeret for at sikre, at det virkelig er dig. Hvis du f.eks. Bruger MailChimp eller ConstantContact til nyhedsbrevsprængninger og siger, at det er fra '[email protected]', sendes e-mails stadig fra MailChimp eller ConstantContacts-serveren. Du bekræftede dog med din Blast-e-mail-service, at det faktisk er dig og ikke nogen, der foregiver at være dig. Dette er den vigtigste at oprette korrekt for virksomheder, da ellers vil der være en høj tilbagebetalingsrate!
  • DMARC (domænebaseret meddelelsesgodkendelse, rapportering og overholdelse): Også en Anti-Spoofing-mekanisme, der fungerer sammen med SPF. At have den ene eller den anden er ineffektiv - du skal begge være ordentligt beskyttet.

DNS Editor / DNS Zone Editor, GoDaddy-skærmbilledeeksempler (Login og naviger først til dit administratorpanel):

GoDaddy Administrer domæner Dashboard-skærmbillede med pil, der peger på indstillingen Administrer. (1)GoDaddy Domains Dashboard Skærmbillede med pilen peger på indstillingen Administrer zoner. (1)

Vælg det domæne, du har brug for at tilføje DNS-poster til på skærmen efter at have klikket på Administrer zoner.

GoDaddy DNS Zone Editor Admin Dashboard Skærmbillede med pil peger på Tilføj muligheden. (1)

I bunden af ​​dine poster til højre vil du se en 'Tilføj' -knap, der fører til følgende dialog-menu, hvor du indtaster SPF-, DMARC- og DKIM-posterne hver for sig:

GoDaddy Tilføj DNS-indtastning Admin Dashboard Skærmbillede med knap, der peger på Gem-knappen og TXT som type, _dmarc som vært og den krævede værdi under TXT-værdi fremhævet. (1)

For andre guider til Zone Editors skal du bare gå til din domæneudbyders videnbase / supportcenter.

Opsætning af SPF:

SPF er den nemmeste at konfigurere. Du har brug for to ting:

  1. Din DNS Editor (dvs. GoDaddy Admin Portal)
  2. IP-adressen på din e-mail-server

Når du har adgang til din DNS Editor (også kaldet DNS Zone Editor i CPanel), ønsker du at oprette en ny TXT-post. I denne TXT-indgang skal du have 3 mulige felter: Host, TXT Value / Value & TTL (Time-To-Live). Det, du indtaster i disse felter, er følgende (nogle detaljer kan variere, dette er baseret på en GoDaddy-installation):

Vært: @
TXT-værdi: v = spf1 + a + mx + ip4:  ~ alle
TTL: 1 time
GoDaddy DNS-prøve TXT-indtastning til SPF-indstillingerne som beskrevet ovenfor.

Forklaring / betydning af disse indstillinger:

'@' Er betegnelsen i GoDaddy, der refererer til det domæne, du arbejder i. Så hvis du arbejder inden for 'doecompany.com', kan du erstatte '@' med 'doecompany.com', og resultatet ville være det samme. Det er dog bedste praksis at bruge '@' symbolet i stedet for GoDaddy.

er IP-adressen for, hvor dine e-mails sendes fra. Dette er ikke nødvendigvis den samme IP, som det aktuelle websted er vært på.

+ a: Inkluderer en post

+ mx: Inkluderer postserver-post

+ ip4: Angiver fra hvilken IPv4-server

~ alle: Registreringer uden for de tidligere erklærede registreringer mislykkes.

TTL = 1 time (eller 3600 sekunder): Time-To-Live, eller hvor ofte dette skal udløbe. Hvis du skulle skifte e-mail-servere, ville du være glad for, at der kun er en maksimal afstand på 1 time for ikke at blive godkendt.

Opsætning af DKIM:

Dette er den mest kedelige af de tre, der skal opsættes, og den mest kritiske. Du godkender tredjepart, der skal sendes på vegne af dit e-mail-navn, dvs. "[email protected]".

Jeg har i øjeblikket oprettet 2 DKIM'er:

  1. For min faktiske Mailserver, der bor på en anden server end mit faktiske websted (dette er mere almindeligt i Enterprise-miljøer).
  2. For min e-mail-nyhedsbrev blast-tjenesteudbyder (ConstantContact i dette tilfælde kan det let være Mailchimp eller en anden i din sag).

I begge scenarier er dit benarbejde det samme. Du skal kontakte e-mail-support fra din postserver eller tredjeparts e-mail-sendetjeneste og få dem til at installere DKIM i slutningen for din konto.

Dette er helt ude af dine hænder og tager dem typisk 1-2 dage at gennemføre denne opgave. Grundlæggende er det, der sker, at de vil registrere og installere en RSA på mindst 1024-bit-kodning (2048 er bedre) på deres server.

Når de har konfigureret det, sender de dig en offentlig nøgle, som du vil bruge i det næste trin til at opsætte din DKIM-post.

Ligesom med SPF- og DMARC-posterne får du adgang til din DNS Editor (også kaldet DNS Zone Editor i CPanel) og oprette en ny TXT-post. I denne TXT-indgang skal du have 3 mulige felter: Host, TXT Value / Value & TTL (Time-To-Live). Det, du indtaster i disse felter, er følgende (nogle detaljer kan variere, dette er baseret på en GoDaddy-installation med e-mails, der hostes på inmotionhosting.com og ConstantContact som nyhedsbrevtjeneste). Husk at oprette 1 separat post pr. DKIM-post:

Host:  ._ domænetast
TXT-værdi: v = DKIM1; k = rsa; p = 
TTL: 1 time

Sørg for ikke at efterlade nogen mellemrum efter symbolerne '='.

GoDaddy DNS-prøve TXT-indtastning til DKIM-indstillingerne som beskrevet ovenfor.

Forklaring / betydning af disse indstillinger:

Værten kan være et navn eller nummer og er virkelig unik for tredjepart. Når der sendes en e-mail på dine vegne, vil den e-mail have det navn eller det nummer inkluderet i overskriften. Det er den rekord, den vil kigge efter under dit domæne.

I lægmandsbetingelser og vores eksempel ville modtagerserveren gå til ‘doecompany's DNS-poster og se, om det, som tredjepart hævder at være sandt, vil være der. Kun hvis den offentlige nøgle korrekt validerer med nøglen på deres server, vil e-mails blive sendt ud.

v = DKIM1: Specificer blot den version af DKIM, der skal bruges til at afklare yderligere, hvad man skal kigge efter.

k = rsa: RSA er den mest typiske at bruge som nøgle (k). Din 3. part kan muligvis vælge at bruge noget andet. Men RSA med en 2048 bit-kryptering er den mest sikre mulighed, du kan have i øjeblikket. 1024 bit er også godt.

p = : I stedet for '' ville du være forsynet med enten en 1024 bit eller 2048 bit streng med tilsyneladende tilfældig tekst og tal eller andre værdier, der passer til uanset hvilken kryptering tredjepart besluttede at bruge.

TTL = 1 time (eller 3600 sekunder): Time-To-Live, eller hvor ofte dette skal udløbe. Hvis du skulle skifte e-mail-servere, ville du være glad for, at der kun er en maksimal afstand på 1 time for ikke at blive godkendt.

Opsætning af DMARC:

Påmindelse: For at DMARC skal udføre sit job, SKAL du konfigurere SPF OG DKIM før. Fordi DMARC verificerer SPF & DKIM-indstillinger, og om afsenderen passer til disse indstillinger og ikke er en spoofer. Hvis SPF & DKIM ikke er konfigureret, fungerer DMARC ikke og vil resultere i afviste e-mails.

Ligesom med SPF-posterne får du adgang til din DNS Editor (også kaldet DNS Zone Editor i CPanel) og oprette en ny TXT-post. I denne TXT-indgang skal du have 3 mulige felter: Host, TXT Value / Value & TTL (Time-To-Live). Det, du indtaster i disse felter, er følgende (nogle detaljer kan variere, dette er baseret på en GoDaddy-installation med e-mails, der hostes på inmotionhosting.com):

Vært: _dmarc
TXT-værdi: v = DMARC1; p = afvis; sp = ingen; adkim = r; aspf = r; pct = 100; fo = 0; rf = afrf; ri = 86400
TTL: 1 time
GoDaddy DNS-prøve TXT-indtastning for DMARC-indstillingerne som beskrevet ovenfor.

Forklaring / betydning af disse indstillinger:

Værten er erklæret som '_dmarc', fordi den inden for GoDaddy automatisk tilføjer '.johndoe.com' som et underdomæne. Dette betyder, at når der sendes en e-mail, vil DMARC altid blive kontrolleret under denne vælger mod dit domæne. Hvis dette ikke er konfigureret korrekt som '_dmarc', kan e-mailserverne ikke finde din DMARC-post og vil automatisk svigte din e-mail, da de mener, at der ikke er nogen post til at begynde med.

v = DMARC1: Erklarer versionen af ​​DMARC for at afklare, hvad der bruges og gøre godkendelse mere legitim.

p = afvise: E-mails vil blive afvist fra modtagerens e-mailserver, hvis de ikke svarer til DMARC-posterne.

sp = none: Kontroller ikke, om underdomæner og hoveddomænet har justerede indstillinger; dette er valgfrit.

adkim = r: Uanset om de skal være strenge (r) eller afslappet (r) med DKIM-identifikationsindstillingerne; afslappet er standard.

aspf = r: Om SPF-id-indstillingerne skal være strenge (r) eller afslappet (r); afslappet er standard.

pct = 100: 100 procent af e-mails vil blive påvirket af DMARC. Heltalværdier mellem 1 og 100 kun. Det mindre sæt ville kun give mening til testning; skal være 100 af sikkerhedsmæssige formål.

fo = 0: Der oprettes en DMARC-fejlrapport, hvis SPF & DKIM ikke godkendes. 0 er standardværdien. Andre er 1, d og s. 1 er, hvis en af ​​dem mislykkes, at generere en post. d hvis underskriften mislyktes. s hvis SPF-evaluering mislykkedes.

rf = afrf: Formateringen til meddelelsen er rapporter. afrf er den eneste understøttede værdi på dette tidspunkt.

ri = 86400: Hvor mange sekunder gik mellem sendingen af ​​rapporten til afsenderen. 86400 er standard, som er 24 timer eller 1 dag. Mange af de største postkasseudbydere som Gmail, Yahoo osv. Sender mere end en rapport om dagen.

TTL = 1 time (eller 3600 sekunder): Time-To-Live, eller hvor ofte dette skal udløbe. Hvis du skulle skifte e-mail-servere, ville du være glad for, at der kun er en maksimal afstand på 1 time for ikke at blive godkendt.

Og det er sådan, du autentificerer dine e-mails. Jeg håber, at dette tog noget af mysteriet og komplikationen ud for dig. Du er på din vej til ikke at få de besværlige tilbageslag fra din mailer-dæmon mere!

Forfatter:

Andreas Lopez - https://www.linkedin.com/in/andreaslopez/

Redaktion:

Stevan Pupavac - https://www.linkedin.com/in/stevan-pupavac/

Frederick Alcantara - https://www.linkedin.com/in/frederick-alcantara/

Kilder:

  1. GoDaddy-skærmbilleder af DMARCanalyzer.com: https://www.dmarcanalyzer.com/dmarc/dmarc-record-setup-guides/dmarc-setup-guide-godaddy/