SPF, DKIM un DMARC iestatīšana

Satura rādītājs

SPF, DKIM un DMARC ieraksti ir paredzēti cīņai pret nevēlamu pastu un e-pasta viltotu nosūtīšanu. Šie mehānismi neatpazīst ziņas saturu, lai atrastu ļaunprogrammas kodu, pastam līdzīgu saturu vai saturu, kas varētu tikt izmantots zvejas mēģinājumā. Citas speciāli izstrādātas rīku kopas ir jāizmanto, lai atklātu vīrusus un ļaunprātīgus skriptus vai atzīmētu ziņas kā pastam līdzīgas vai krāpšanas ziņas, pamatojoties uz e-pasta ziņojuma saturu.

SPF pārskats

SPF (Nosūtītāja politikas ietvars) palīdz cīnīties pret e-pasta viltotu nosūtīšanu, kad ļaunprātīgs nosūtītājs viltoti izveido "MAIL FROM" lauku ziņojumā. Lai ieviestu šo risinājumu, domēna īpašniekiem ir jāizveido speciāls TXT ieraksts domēna DNS zonā, kas informē visus saņēmējus par atļautajiem sūtītājiem viņu domēnam.

SPF ieraksts sastāv no šādām daļām, kas ir sadalītas ar tukšumiem, un katru daļu apstrādā secībā:

v=spf1 – protokola versija

mehānismi – veidi, kā interpretēt atļautos sūtītājus. Parasti tiek izmantoti: a, mx, ip4, include, all. Ierakstā vismaz vienam mehānismam jābūt:

a: Visi domēna A DNS ieraksti tiek pārbaudīti.
mx: Visi domēna visu MX ierakstu A DNS ieraksti tiek pārbaudīti saskaņā ar MX prioritāti.
ip4: CIDR-spec ir IP tīkla diapazons. Ja prefiksa garums nav norādīts, tiek pieņemts /32.
include: Norādītais domēns tiek pārbaudīts, lai atrastu atbilstību. Ja meklēšana neatgriež atbilstību vai kļūdu, apstrāde turpinās ar nākamo norādi. Brīdinājums: Ja šim citam domēnam nav derīga SPF ieraksta, rezultāts ir "Pastāvīga kļūda".
all: Šis mehānisms vienmēr atbilst. all jābūt jūsu SPF ieraksta beigās.

Katrā mehānismā ir kvalifikators – tas norāda darbību, kas jāveic. Kvalifikatoru saraksts:

+ rezultātam, kas norāda, ka tests ir izgājis veiksmīgi. Tas tiek izmantots pēc noklusējuma, ja nav iestatīts neviens cits kvalifikators, un bieži tiek izlaists no SPF ierakstiem.
? NEITRĀLS rezultātam. Nav jāveic nekādas darbības (ignorējiet šo mehānismu).
~ (tilde) SOFTFAIL rezultātam. Parasti tiek interpretēts kā "pieņemt šo ziņojumu, bet atzīmējiet to".
- (mīnus) FAIL rezultātam, pastam vajadzētu tikt noraidītam.

Piemēra SPF ieraksts domēnam domain.com:

 $ dig txt domain.com +short
  "v=spf1 a ip4:10.10.10.10 include:spf.example.com -all"

Tajā ir 4 mehānismi: a, ip4, include un all. Pirmajiem 3 mehānismiem ir + vai PASS kvalifikators (ja mehānismam nav iestatīts kvalifikators, noklusējumā tiek izmantots "PASS" kvalifikators). Pēdējam all mehānismam ir - kvalifikators, kas norāda uz (FAIL). Šis ieraksts nosaka, ka ziņojumam vajadzētu tikt pieņemtam, ja tas nāk no IP adrešu, uz kuru domēna.com A ieraksts atsaucas, vai no piemēra IP 10.10.10.10. Turklāt, ziņojums tiks pieņemts, ja tas pāriet citu domēnu politiku – spf.example.com. Visbeidzot, ziņojums tiks noraidīts, ja tas nepāriet iepriekšējos mehānismus.

SPF pārvaldīšana cPanel

SPF ieraksts vienai DNS zonai var tikt iestatīts vai modificēts WHM DNS zonas redaktorā (Home »DNS Functions »Edit DNS Zone). Zemāk minētās opcijas prasa root piekļuvi! Lai pievienotu SPF ierakstus jau esošiem domēniem, dodieties uz (Home »DNS Functions »Enable DKIM/SPF Globally) un noklikšķiniet uz "Proceed". Arī skripts /usr/local/cpanel/scripts/enable_spf_dkim_globally var tikt izmantots šiem mērķiem, skatiet dokumentāciju cPanel.

Ir arī skripts /usr/local/cpanel/bin/spf_installer SPF ierakstu pārvaldībai. Piemēram, varat pievienot pielāgotu mehānismu include:spf.example.com visām DNS zonām:

 for acct in $(awk '{print $2}' /etc/trueuserdomains); do /usr/local/cpanel/bin/spf_installer $acct include:spf.example.com; done

SPF ierakstu pārbaude

Daudzas pakalpojumu, kur var pārbaudīt SPF ierakstu domēnam:

mxtoolbox.com/spf.aspx
emailaudit.com/
dmarcian.com/spf-survey/

Papildu resursi par SPF

DKIM Pārskats

Domaīna Atslēgu Identifikācijas Pastiņa (DKIM) tiek izmantota, lai pārbaudītu, vai ziņojums tiešām tika nosūtīts no domēna, kas ir norādīts LAI laukā. Sūtītājs izveido pāri atslēgu savam pastu domēnam: privāto un publisko. Privātā atslēga tiek glabāta pastu serverī un ar to tiek parakstīts katrs izejošais e-pasta ziņojums. Privāto atslēgu varētu koplietot arī ar trešās puses servisu, kas nosūta ziņojumus sūtītāja domēna vārdā. Publisko atslēgu var piekļūt ikviens internetā un to izmanto, lai atšifrētu parakstīto ziņojumu. Otrā pusē, saņēmējs atšifrē ziņojumu un var izmantot DKIM pārbaudes rezultātu turpmākai apstrādei, piemēram, noraidīt ziņojumus, kuri neizdod DKIM pārbaudi, vai atzīmēt šos ziņojumus kā nevēlamus.

Tātad, izmantojot DKIM, tiek risinātas divas e-pasta apmaiņas problēmas:

Sūtītāja pārbaude
Pārliecība, ka ziņojuma saturs nav mainījies, pārvadājot to no sūtītāja pastu servera uz saņēmēja pastu serveri

DKIM izvēlnes nosacītājs tiek izmantots, lai noteiktu vairākas atslēgas vienā pastu domēnā. Piemēram, ja vairāki departamenti izmanto vienu pastu domēnu, lai nosūtītu ziņojumus, pastu administratori var iestatīt atsevišķas izvēlnes katram departamentam, lai labāk kontrolētu izejošo pastu. Tomēr vispārēji, noklusējuma izvēlni ir pietiekami, ja nav specifisku vajadzību pēc vairākām izvēlnēm.

DNS izmantošana DKIM atslēgu publicēšanai

DNS tiek izmantots, lai visiem pastu serveriem padarītu zināmu publisko atslēgu, kas var būt nepieciešama DKIM pārbaudei no sūtītāja. Šim nolūkam tiek izmantots TXT ieraksts. Piemēram, šeit ir publiskā atslēga noklusējuma DKIM izvēlnes knownhost.com pastu domēnam:

$ dig txt default._domainkey.knownhost.com +short
  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxG+doMvKHVEE9r4YkdhEqBBHUYYZqs+g9L/9M30cSP/s0ZW6XMVHF3KwhJUcukq3kZNe3TMRFRiFxLb6ncLBnn7+491qS66yKMMStE6TdUFCFu5yq/bdpM/l04kPNcHutNkUJy1zLC6pGUuyxFIOIPlshry+oUkfhULw3E925kk1AOhn404702EBt1DObMXd+" "AQ+hWW/xworVfZwCTRVSQ4TvJ7YH3X+wG6HLRqoEkVsOx2rc4XqHy52FFuoSFDhtNq45jCcOOVK2AdONPq4I5VEbTPAqBzItK3shDOnzvUAzwBl74Zl4sJoA8gyi0XxcNlmrOE6fkjeQqcwPxAUZQIDAQAB;"

Jūs varat pamanīt atstarpi starp divām sadaļām pēc pieturzīmēm. Tas tikai norāda uz TXT ieraksta garuma ierobežojumu, un publiskā atslēga netiek sadalīta divās daļās: tās tiek apvienotas, kad mūsdienu lietotnes izšķir ierakstu.

DKIM ieraksts var būt arī CNAME, nevis TXT, un norādīt uz citu ierakstu, kurš satur publisko atslēgu pastu domēnam.

DKIM verifikācija saņēmējā

Reizē ar e-pasta serveri, kuram ir konfigurēta DKIM verifikācija, saņemot ziņojumu, tas meklē galvenes sadaļā šādu rindu (piemērs):

 DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=default;
  ...

Tag-vērtības laukumā s=default norāda, ka tiek izmantots noklusējuma izvēlnes nosacītājs. Tad e-pasta serveris vaicā TXT DNS ierakstu default._domainkey.example.com, iegūst no tā publisko atslēgu un atšifrē ziņojumu.

DKIM pārvaldīšana cPanel

Lai iespējotu DKIM jaunizveidotiem domēniem, dodieties uz (Home »Server Configuration »Tweak Settings) un atriet "Iespējot DKIM domēniem jaunizveidotiem kontiem" opciju cilnē "Domēni". Lai pievienotu DKIM jau esošiem domēniem, dodieties uz (Home »DNS Functions »Enable DKIM/SPF Globally) un noklikšķiniet uz "Proceed". Jūs varat atļaut/atcelt DKIM verifikāciju ienākošiem ziņojumiem Exim konfigurācijā (Home »Service Configuration »Exim Configuration Manager) cilnē "ACL options". Atslēgas katram domēnam tiek glabātas šādos direktorijos:

/var/cpanel/domain_keys/public/
/var/cpanel/domain_keys/private/

DKIM ierakstu pārbaude

Ir daudzi pakalpojumi, kur var pārbaudīt DKIM ierakstu domēnam, piemēram:

Papildu resursi par DKIM

DMARC pārskats

Kamēr SPF un DKIM tehnoloģijas ļauj e-pasta serveriem validēt sūtītājus ienākošajiem e-pasta ziņojumiem, tās neietver mehānismus, lai sūtītāji varētu publicēt politikas par darbībām, kas jāveic pēc autentifikācijas neveiksmēm. DMARC (Domaīna pamatota ziņojumu autentifikācija, pārskatošana un saskaņošana) aizpilda šo plaisu. Tas ļauj domēna īpašniekiem pateikt, kādas ir noteikumi, kas jāpiemēro ziņojumiem, kuriem nav izdevies SPF un/vai DKIM autentifikācija. Turklāt DMARC ļauj nosūtīt atpakaļ ziņojumus domēna īpašniekiem par validācijas rezultātiem pēc sūtītāja IP adreses.

DNS izmantošana DMARC ierakstu publicēšanai

Īpaši formatēts TXT ieraksts tiek izmantots, lai publicētu DMARC ierakstu domēnam. Tas sastāv no apakšdomēna _dmarc un tag-vērtības laukiem, kas ir sadalīti ar semikoliem. Piemērs ierakstam domēnam domain.com:

_dmarc.domain.com

Šeit ir vērtības piemērs, kas norāda, ka jāapstrādā 100% ziņojumu, kas nāk no domēna domain.com, jānoraida tie, kas neatbilst DKIM/SPF politikām, nekā nedariet (turpiniet apstrādi) ja ziņojums nāk no domēna subdomēna, un jānosūta apkopotas statistikas ikdienas uz info@domain.com:

"v=DMARC1; p=reject; sp=none; pct=100; ri=86400; rua=mailto:info@domain.com"

Šajā piemērā:

v – protokola versija
p – politika, iespējamās vērtības ir: reject, quarantine vai none
sp – politika apakšdomēniem (tās pašas iespējamās vērtības)
pct – ziņojumu īpatsvars, kas pakļauts filtrēšanai
ri – apkopotās ziņojumu pārskatu intervāls
rua – pārskatu URI(s) apkopotajiem datiem

Nav visi taga-vērtības parametri obligāti. Vienīgie obligātie parametri ir versija (v) un politika (p). Jūs varat atrast vairāk tagu vietnē tools.ietf.org/html/rfc7489#section-11.4

Šeit ir vēl viens piemērs DMARC ierakstam, domēnam gmail.com. Tas norāda, ka visiem ziņojumiem no gmail.com jātiek nodoti tālākai apstrādei (neitrāli, neizolēti, neatzīti), bet ziņojumiem no gmail.com apakšdomēna (piemēram, subdomēns.gmail.com) jābūt izolētiem.

$ dig txt _dmarc.gmail.com +short
  "v=DMARC1; p=none; sp=quarantine; rua=mailto:mailauth-reports@google.com"

DMARC ierakstu pārvaldīšana cPanel

DMARC ieraksti var tikt izveidoti vai modificēti WHM DNS zonas redaktorā (Home »DNS Functions »Edit DNS Zone). To var veikt arī pēc DNS zonas redaktora (AAAA, CAA, SRV, TXT) funkcijas iespējošanas pakotnē (šī funkcija aizstāj Advanced Zone Editor cPanel).

DMARC ierakstu pārbaude

Resursi, lai pārbaudītu DMARC ierakstus domēniem:

DMARC pārskatu analīze

Resursi, lai analizētu DMARC pārskatus par domēnu:

mxtoolbox.com/DmarcReportAnalyzer.aspx

SPF, DKIM un DMARC iestatīšana