Настройка DKIM, SPF и DMARC в Zimbra

Настройка DKIM в Zimbra

DKIM (DomainKeys Identified Mail) — это метод e-mail аутентификации, основанный на проверке подлинности цифровой подписи. DKIM необходим для того, чтобы почтовые сервисы проверяли отправителя и защищали получателя письма от мошеннических рассылок, которые производятся с подменой адреса отправителя.

Сначала – генерация ключей и селектора. Добавляем данные DKIM к домену, у которого еще нет существующей конфигурации DKIM

/opt/zimbra/libexec/zmdkimkeyutil -a -d mailserver.com -s mail

Получаем

DKIM Data added to LDAP for domain mailserver.com with selector mail

Public signature to enter into DNS:

mail._domainkey IN TXT ( "v=DKIM1; k=rsa; "

  "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2FOAZIEtDpzzPnlwWgDqYh2C1UUTrI+QALLHAQfqtmo/r/T6spzyjAbMHPXyiksBOX8kyGKN5/C9eMM/gQsAPOHPELJTUT6yzm4yiHvWdP7TXyMxrgeH2yDNHsl5as2qwh5UrnRD86okuZZLPrMvukeq98Csi8eX6tJ6srpzoSNgMrxI7idYjYBwaw8SixsDixEqCprXfeLUd5"

  "bQu6CN/M4DvCfQQ1iATAQlGTzKWII0XY5oXNjIizd4IBHku3emy1WR6/nh5SsnFgOG3ocgKi0ulCgwCVzjhPVsyN4S6z1BdN50EyQOj8r3xALyZqIf8g3xq72kjTyvtJxmZDg7fQIDAQAB" )  ; ----- DKIM key mail for mailserver.com

Также можно обновить DKIM данные для домена

/opt/zimbra/libexec/zmdkimkeyutil -u -d mailserver.com

Удалить DKIM данных для домена

/opt/zimbra/libexec/zmdkimkeyutil -r -d mailserver.com

Извлечь сохраненные данных DKIM для домена

/opt/zimbra/libexec/zmdkimkeyutil -q -d mailserver.com

Теперь – обновление DNS-записей домена.

Если возникнет необходимость отозвать ключ подписи DKIM, нужно установить пустой «р=» тег в записи TXT.

Проверить созданные записи можно с помощью онлайн-сервиса http://dkimcore.org/tools/

Sender Policy Framework (SPF)

SPF (Sender Policy Framework) — расширение для протокола отправки электронной почты через SMTP. SPF определен в RFC 7208. SPF-запись защищает от подделки вашего домена и позволяет предотвратить попадание в спам писем, отправленных с ваших адресов. SPF настраивается для адреса, используемого в envelope-from (SMTP конверте).

С помощью spf-записи владелец домена может указать список серверов, имеющих право отправлять email-сообщения для домена. В общем случае порядок следующий:

[версия] [механизмы] [-all | ~all | redirect]
Версия всегда spf1, модификаторы сообщают, кто может посылать почту:

a, mx — сервера из DNS записей A или MX соответственно,
ip4, ip6 — адрес сервера (можно указывать подсети, например: ip4:1.2.3.4/24),
include — взять данные с другого адреса

Параметры:

-all означает не принимать почту, если проверка механизма не прошла,
~all если проверка не прошла, то действовать на усмотрение сервера получателя.
redirect означает забрать правила с другого сервера

Принимать письма, отправленные с серверов указанных в A и MX записях, сообщения с других серверов должны быть отклонены.

Настройка DMARC

Domain-based Message Authentication, Reporting and Conformance (идентификация сообщений, создание отчётов и определение соответствия по доменному имени) или DMARC — это техническая спецификация, созданная группой организаций для борьбы со спамерами, подделывающими адреса отправителей. Она основана на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя. Таким образом почтовый сервер сам решает, хорошее сообщение или плохое и действует согласно DMARC записи. Благодаря настройке DMARC владельцы доменов могут создавать правила обработки писем, которые поступили с доменов, не прошедших авторизацию.

DMARC-запись может быть сгенерирована с помощью online-сервиса http://www.kitterman.com/dmarc/assistant.html

DMARC record for: mailserver.com 
Record should be published at _dmarc.mailserver.com

v=DMARC1; p=quarantine; rua=mailto:admin@mailserver.com; ruf=mailto:admin@mailserver.com; sp=quarantine

 

Онлайн сервисы для проверки DNS-записей:

https://mxtoolbox.com/SuperTool.aspx
https://dmarcian.com/dmarc-inspector
http://dkimcore.org/tools/keycheck.html