Що насправді робить SPF?

Припустимо, спамер підробляє адресу hotmail.com і намагається відправити вам спам. Вони підключаються звідкись ще, крім Hotmail. Коли його повідомлення надіслано, ви бачите ПОШТУ ВІД: <forged_address@hotmail.com>, але ви не зобов'язані вірити йому на слово. Ви можете запитати Hotmail, чи виходить IP-адреса з їхньої мережі. Hotmail публікує запис SPF. Цей запис повідомляє вам (вашому комп'ютеру), як дізнатися, чи дозволено надсилаючому пристрою відправляти пошту з Hotmail. Якщо Hotmail повідомляє, що вони розпізнають відправляючу машину, це проходить, і ви можете припустити, що відправник той, за кого себе видає. Якщо повідомлення не проходить тест SPF, це спам.

Що таке SPF та чому це ускладнює моє життя?

Структура політики відправника (SPF) – це спроба контролювати підроблену електронну пошту. SPF безпосередньо не пов'язаний із зупинкою спаму – небажаної пошти. Йдеться про те, щоб надати власникам доменів можливість визначати, які поштові джерела є законними для їхнього домену, а які ні. SPF - це протокол, розроблений групою добровольців, об'єднаних спільним бажанням покращити роботу Інтернету. Це НЕ комерційний продукт, який пропонує комерційна корпорація. Протокол SPF впроваджується все більшою кількістю хостингів доменів та інтернет-провайдерів (ISP), і, як і за будь-якого розвитку технології, на шляху будуть деякі нерівності. Хоча люди, які стоять за цим веб-сайтом, і люди, які допомогли розробити SPF, можуть допомогти вам зрозуміти, як вирішувати проблеми, коли вони виникають, вони не несуть прямої відповідальності за проблеми, з якими ви можете мати справу.

Я не програміст та не розумію, як використовувати SPF. Чи буде пошта нормально доставлятися?

По-перше, якщо ви не керуєте своїм DNS-записом безпосередньо (більшість з нас цього не роблять) або ви не знаєте, що все це означає, то найшвидший спосіб знайти рішення - зателефонувати до відділу технічної підтримки вашого інтернет-провайдера. Розповісти їм про проблему, що виникла. Якщо проблема, з якою ви зіткнулися, пов'язана тільки з електронними листами, які ви надсилаєте зі свого робочого/домашнього облікового запису електронної пошти. По-друге, якщо у вас є свій власний домен, то зверніться на підтримку вашого хостера.

Чи варто використовувати SPF?

SPF - інструмент для власника домену. Якщо ви не є власником домену і домен вашої адреси електронної пошти має запис SPF, тоді так. Якщо ви є власником домену та адмініструєте свій власний домен, ви маєте вибір: впроваджувати SPF чи ні. Якщо ви цього не зробите, ваш домен буде вразливим для хакерів або спамерів, які хочуть використовувати ваш домен як прикриття для своєї незаконної діяльності.

У мене є свій власний домен і я хочу виправити свій запис SPF?

У цій статті викладена повна покрокова інструкція, як створити та підключити SPF запис до свого домену. Якщо ви не можете виконати це самостійно, зверніться до служби підтримки вашого провайдера або хостера.

Як додати DNS записи SPF, DKIM, DMARC і налаштувати поштові протоколи POP3 та IMAP4

У попередній статті ми розглянули, як інсталювати Exchange Server і як його налаштувати для запуску поштового сервера. У цій статті, продовжимо розповідати про те, що потрібно робити, щоб ваші листи дійшли до адресата і не потрапили в спам. Також, поговоримо про налаштування поштових протоколів POP3 та IMAP4.

Зміст

Для того, щоб ваші листи на шляху до одержувача пройшли перевірку і не потрапили до спаму, потрібно додати записи SPF, DKIM та DMARC до вашого DNS-хостингу.

SPF, DKIM і DMARC — це базові налаштування, які потрібно зробити перед запуском поштового сервера. Дані записи не дають шахраям розсилати шкідливі листи від вашого імені, а за їх відсутності повідомлення може зовсім не дійти до адресата.

Перейти до перегляду

🗄️ Як налаштувати архівацію даних, створити резервну копію та відновити Windows Server 🗄️

Як створити SPF запис

Запис SPF (Sender Policy Framework) – забезпечує взаєморозуміння між поштовими серверами відправника та отримувача. Вона містить інформацію про те, яким поштовим серверам дозволено надсилати пошту від вашого імені.

Без наявності SPF-запису, багато поштових сервісів можуть надсилати всю пошту, відправлену з поштових скриньок домену, в спам, незалежно від її вмісту. SPF-запис публікується на DNS-серверах, які обслуговують домен.

Перейдіть до панелі керування вашого DNS-хостингу і створіть запис txt, заповнивши всі ці поля. Запис містить такі ключі: версію spf, IP-адресу домену, v=spf1 — версія SPF.

Ключ – a — задає правила до конкретного домену, порівнюючи IP-адресу відправника з IP-адресою, вказаною в А-записах домену.

mx — включає всі адреси серверів, зазначені в MX-записах домену.

Значок тільди ~ — це відхилення. Лист буде прийнято, але буде позначено як спам.

all — всі адреси, які не вказані в записі.

Додаткові теги можна буде встановити пізніше, а зараз тиснемо – Зберегти.

Параметри, що визначають поведінку для зазначених ключів:

+ — параметр, який вказує на прийом листів (Pass). За замовчуванням, якщо немає інших.
– – відхилити (Fail). Лист не буде прийнято.
~ – “м’яке” відхилення (SoftFail). Лист буде прийнято, але буде позначено як спам.
? — нейтральне сприйняття відправника.

Ключі для визначення вузлів:

mx — включає всі адреси серверів, зазначені в MX-записах домену.
ip4 — вказати конкретні IP.
ptr — перевірка запису PTR на наявність вказаного домену.
exists — перевірка працездатності домену. Важливо враховувати, що ця перевірка також даватиме позитивну відповідь, якщо використовуються адреси виду 127.0.0.1 і т. д., через що її використання є досить сумнівним.
a — застосування правил до конкретного домену, порівнюючи IP-адресу відправника з IP-адресою, зазначеною в А-записах домену.
include — використання дозволених вузлів, зазначених у SPF-записах іншого домену.
redirect — правило вказує на те, що SPF-політика, яка використовується для цього домену, вказана в іншому домені. Деякою мірою, аналог include з ігноруванням записів поточного домену.
all — всі адреси, які не вказані в записі.

Як створити DKIM запис

Другий ступінь захисту під час передачі між поштовими серверами це – DKIM (DomainKeys Identified Mail). З його допомогою до вихідних повідомлень електронної пошти додається цифровий підпис. Отримувач використовує цей підпис для перевірки автентичності листів.

Сервер одержувача надсилає DNS-запит і отримує публічний ключ, який розміщується в DNS-записі. Цей ключ використовується для перевірки листа. Якщо ключі співпадають, то лист доходить до адресата, інакше – потрапляє в Спам.

За промовчанням MS Exchange Server не підтримує DKIM. Для його налаштування, на Exchange потрібно встановити сторонній агент транспорту – Exchange DKIM Signer.

https://github.com/Pro/dkim-exchange/releases/tag/v3.4.0

https://www.collaborationpro.com/exchange-2016-2019-implementing-dkim/

Після встановлення, потрібно його налаштувати. Запустіть програму, у відкритому вікні натисніть – Configure, тут переконайтеся, що агент – Exchange DKIM Signer має найнижчий пріоритет (останній у списку). Це потрібно для того, щоб листи підписувалися на останньому етапі після всіх можливих модифікацій, які зроблять інші агенти транспорту.

На закладці «DKIM Settings» вказується, які поля будуть підписані. За замовчуванням це: From, Subject, To, Date, Message-ID.

Налаштування параметрів домену виконується на вкладці – Domain Settings. Тиснемо Add, вказуємо ім’я домену, селектор (ім’я DNS запису). Тут можна або згенерувати ключ, або вказати його розташування. Для створення публічного ключа натисніть – Generate new key, після чого він з’явиться у цьому вікні.

Потім, перейдіть в панель керування хостингом домену, і створіть txt запис. Задайте йому ім’я “mail._domainkey”, і в полі – Значення, вставте ваш публічний ключ. Після внесених налаштувань, у програмі натискаємо кнопку «Save domain». Налаштування застосовуються автоматично.

Як додати DMARC запис

Ну і нарешті розберемо, що таке DMARC (Domain-based Message Authentication, Reportingand Conformance). Це наступний етап захисту після SPF та DKIM. Цей запис визначає, що робити з повідомленнями, якщо вони не пройшли аутентифікацію за допомогою SPF та DKIM. Це правило, яке встановлюється для листів, надісланих від вашого імені.

Перед установкою DMARC важливо переконатися, що SPF та DKIM прописані коректно, інакше це може призвести до фільтрації листів від вас. Для налаштування DMARC, на панелі керування вашого DNS-хостингу, створіть txt запис _dmarc.

Де потрібно вказати як мінімум версію механізму та політику. При першому налаштуванні в якості політики рекомендується вказати – none (не робити нічого, крім надсилання звітів).

Надалі можна буде змінити запис, посиливши його, дописавши потрібні теги.

v — версія DMARC.
p — правило домену. Може приймати одне із значень:
- none — не робити нічого, крім надсилання звітів.
- quarantine — додавати листи до спаму.
- reject — відхиляти листи.
sp — це правило для субдоменів. Може набувати таких же значень, як і p.
aspf та adkim — дозволяють перевіряти відповідність записів SPF та DKIM. Можуть приймати значення:
- r (relaxed) — м’яка перевірка.
- s (strict) — сувора відповідність.
pct — кількість листів, що підлягають фільтрації, у відсотках.
ruf — визначає пошту, на яку потрібно надсилати звіти про листи, які не пройшли перевірку DMARC.
fo — визначає умови створення звітів. Може приймати значення:
- 0 — надсилати звіт, якщо не пройдено автентифікацію ні SPF, ні DKIM. Значення за промовчанням.
- 1 — надсилати звіт, якщо не пройдено жодну з аутентифікацій — SPF або DKIM.
- d — надсилати звіт, якщо не пройдено автентифікацію DKIM.
- s — надсилати звіт, якщо не пройдено автентифікацію SPF.

На цьому налаштування електронної пошти завершено. Тепер, для перевірки надішліть тестовий лист зі своєї електронної скриньки.

Як налаштувати поштові служби IMAP та POP3 в Exchange Server

https://learn.microsoft.com/en-us/exchange/clients/pop3-and-imap4/configure-imap4?view=exchserver-2019

Тепер, переходимо до налаштування поштових служб POP3 та IMAP4. За промовчанням, служби Exchange POP3 та IMAP4 вимкнено. Для налаштування підключення клієнтів за IMAP та POP3, потрібно їх запустити та налаштувати автоматичний запуск.

Відкрийте – Services, знайдіть службу – Microsoft Exchange IMAP4, встановіть тип запуску – Автоматично і запустіть службу, а потім Apply та Ok.

Далі, такі ж самі маніпуляції проводимо зі службою – Microsoft Exchange IMAP4 Backend, Microsoft Exchange POP3 та Microsoft Exchange POP3 Backend. Після запуску служб необхідно налаштувати сертифікат. Відкрийте Панель керування Exchange, перейдіть до розділу – Servers – Certificates.

Панель керуваннч Exchange – Servers – Certificates

Відкрийте SSL сертифікат, клацнувши по ньому двічі лівою кнопкою миші, перейдіть у вкладку – Services і встановіть позначки навпроти – IMAP та POP, а потім Save.

Далі потрібно зв’язати домен зі службами pop3 та imap. Відкрийте Пуск, Microsoft Exchange Server – Exchange Management Shell та виконайте команду.

Вводимо першу команду для служби POP3, тут потрібно вказати зовнішній домен:порт 995 і SSL, потім ще раз домен зі 110 портом, і наприкінці вказуємо ім’я сертифіката. Відкриваємо сертифікат у панелі керування та копіюємо ім’я.

Set-PopSettings -ExternalConnectionSettings “mail.hetmansoftware.com:995:SSL”,“mail.hetmansoftware.com:110:TLS” -x509CertificateName hetmansoftware.com

Після виконання команди потрібно перезапустити службу POP3. У вікні служб, клацніть по відповідній службі правою кнопкою миші – Restart. І друга служба POP3 backend.

Далі, виконайте команду, щоб зв'язати службу – IMAP.

Set-ImapSettings -ExternalConnectionSettings “mail.hetmansoftware.com:993:SSL”,“mail.hetmansoftware.com:143:TLS” -x509CertificateName hetmansoftware.com

Після цього, перезапустіть службу IMAP та IMAP backend.

На наступному кроці потрібно перевірити та, уразі необхідності, відкрити у вашій мережі порти для даних служб: 995, 993, 110 і 143. Відкрийте налаштування мережі та відкрийте порти для сервера Exchange.

Наступне, що потрібно зробити – це змінити параметри конектора прийому. У панелі керування перейдіть до розділу - Mail flow – receive connectors – Client Frontend exchange.

Mail flow – receive connectors – Client Frontend exchange

Відкрийте вкладку – scoping, FQDN – змініть домен із внутрішнього на зовнішній – mail.hetmansoftware.com. та натисніть Save .

Далі, потрібно вказати сертифікат, який використовуватиметься для шифрування підключень SMTP. Для початку потрібно дізнатися про ID сертифіката, який хочемо зв'язати зі службами.

Відкрийте Exchange Shell та виконайте таку команду:

Get-exchangecertificate

Скопіюйте значення сертифіката – Thumbprint.

https://learn.microsoft.com/en-us/exchange/clients/pop3-and-imap4/configure-authenticated-smtp?view=exchserver-2019

Вкажіть сертифікат, який використовується для шифрування автентифікованих клієнтських підключень SMTP. Для цього потрібно виконати три команди.

Виконайте першу команду:

$TLSCert = Get-ExchangeCertificate -Thumbprint <ThumbprintValue>

наприкінці додайте значення сертифіката.

Після цього, другу команду:

$TLSCertName = "<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)"

І потім третю команду:

Get-ReceiveConnector -Identity "Client Frontend*" | Set-ReceiveConnector -TlsCertificateName $TLSCertName

Щоб переконатися, що ви вказали сертифікат, який використовується для шифрування автентифікованих клієнтських підключень SMTP, виконайте таку команду:

Get-ReceiveConnector -Identity "Client Frontend*" | Format-List Name,Fqdn,TlsCertificateName

Перевірка правильності наданого сертифіката

В результаті, ви отримаєте ім'я сертифіката: тут має бути ім'я сертифіката, який ви вказали. На наступному кроці потрібно перевірити, чи включені дані протоколи на рівні поштових скриньок. Якщо вони відключені в поштових скриньках, користувачі не зможуть налаштовувати свої профілі в outlook, для використання POP3 та IMAP4. За промовчанням вони мають бути включені.

Для перевірки відкрийте панель керування Exchange, перейдіть до розділу – recepients – mailboxes, відкрийте потрібний обліковий запис (поштова скринька) та перейдіть до розділу – mailbox features, тут перевірте чи встановлено значення – Enable, для даних служб.

Перевіряємо чи включені протоколи на рівні поштових скриньок

А щоб перевірити роботу служб, виконайте команду:

-Test

Test-PopConnectivity -ClientAccessServer expc -Lightmode -MailboxCredential (Get-Credential)

Вводимо пароль та отримуємо успішний результат.

Далі, виконайте таку ж команду для IMAP:

Test-ImapConnectivity -ClientAccessServer expc -Lightmode -MailboxCredential (Get-Credential)

Пароль від облікового запису. Ця конфігурація також працює.

Перевірка служб POP3 та IMAP

Щоб переконатися, що ви увімкнули та налаштували IMAP4 на сервері Exchange, виконайте такі процедури:

На сайті Microsoft ви можете скористатися спеціальним сервісом, який перевірить протоколи POP3 та IMAP. https://testconnectivity.microsoft.com/tests/Imap/input

Перевірка роботи IMAP на сайті Microsoft

Заповнюємо всі обов'язкові поля та тиснемо – Виконати перевірку. Перевірка пройшла успішно, але із попередженням. Справа в тому, що Microsoft не може перевірити ланцюжок сертифіката. Можливо, на сервері вимкнено або неправильно налаштовано цю функцію.

Що стосується SSL сертифіката, то я в ньому впевнений на 100 відсотків, тому можна не звертати увагу на це попередження. Служба працює нормально.

Далі, перевіримо протокол POP3. https://testconnectivity.microsoft.com/tests/pop/input

Перевірка роботи POP3 на сайті Microsoft

Все робимо за тим же принципом, заповнюємо поля та тиснемо – Виконати перевірку. Перевірка пройшла успішно.

Тепер перевіримо, як ходить пошта. В Оutlook налаштуємо з'єднання через IMAP або POP3 протокол, та надішлемо тестовий лист.

Тепер пошта не потрапляє до спаму і дійшла прямо до адресата без жодних помилок.

Помилки

А зараз, давайте розберемо кілька помилок, які можуть виникати при неправильному налаштуванні або відсутності DNS-записів.

Помилка 550 SPF Check Failed. Якщо на сервері Microsoft Exchange встановлено програму від спаму, помилка може мати такий вигляд:

SMTP; 550 5.7.1 550 Message rejected because SPF check failed.

Ця помилка означає, що домен відправника має неправильний запис SPF, або те, що відправник використовує підроблену поштову адресу.

У тому випадку, якщо DNS-запис SPF відсутній, неправильно налаштований або відключений при надсиланні листа на зовнішню поштову адресу, ви можете отримати повідомлення з такою помилкою: mx.google.com відхилив ваші повідомлення на наступні адреси електронної пошти.

Для її усунення додайте SPF запис у вашому DNS-хостингу.

Під час перевірки запису DMARC, може спостерігатися така помилка:

Message Failed DMARC Compliance

Message Failed Verification Tests & is not DMARC Compliant

Ця помилка означає, що повідомлення не пройшло автентифікацію і не відповідає вимогам DMARC. Помилка відповідності DMARC означає, що перевірочні тести SPF та DKIM не пройдені. Ці збої можуть негативно вплинути на доставку електронної пошти, оскільки поштові скриньки не можуть перевірити справжність вашої електронної пошти.

Так виглядає помилка, пов'язана з DKIM записом:

"DKIM-Result: fail (bad signature)"

Зазвичай ця помилка з'являється під час початкового налаштування DKIM, після оновлення програми або після міграції сервера.

Часто, проблема викликана помилками в написанні тегів або налаштуванням відкритого ключа. Якщо у Вас немає запису DKIM або його неправильно налаштовано, у отриманому листі ви побачите попередження. Це ж стосується і запису DMARC. Якщо лист виглядає таким чином, змініть налаштування відповідного запису.

Висновок

Отже, ми розглянули доступний кожному адміністратору простий набір засобів, які допомагають посилити безпеку поштових серверів Microsoft. Правильно налаштовані записи DKIM-, SPF- та DMARC дозволять максимально знизити потік спаму, розсилок, і різних шкідливих листів. Я показав лише базове налаштування та принцип роботи, для повноцінного захисту потрібні точніші налаштування.