Назад | Перейти на главную страницу

SPF + DKIM + DMARC с учетной записью Gmail и внешним почтовым сервером

Я использую Gmail с собственным доменом (Google Apps) для своего проекта. Теперь я хочу добавить внешний почтовый сервер для отправки уведомлений пользователям. Gmail не предоставляет закрытые ключи для DKIM, и если ключи будут сгенерированы на внешнем почтовом сервере, в случае строгих правил вся почта из Gmail будет отклонена. Как я могу использовать SPF + DKIM + DMARC в этой ситуации, чтобы предотвратить спуфинг почты?

Добавьте сервер в существующую запись SPF с чем-то вроде ip4:<server ip address>

Если вы хотите подписывать сообщения DKIM, вы можете использовать OpenDKIM, популярный milter, и обновите свой DNS с помощью селектора.

Возможно, вам не нужно ничего редактировать в своей записи DMARC, но если вы не уверены, вы можете найти некоторые из этих ресурсов полезными в Инструменты развертывания DMARC страница.

Я использую такой конфиг с 2010 года, фактически DMARC появился позже. Я использую серверы Google Apps для отправки и получения электронной почты через веб-клиент. Мой сервер только отправляет электронные письма и не принимает их, поэтому нет необходимости изменять какие-либо записи MX DNS, а также порт 25 сервера не открыт для Интернета.

SPF

Я полагаю, вы прошли стандартное руководство Google по подключению своего домена к Google Apps. Поэтому вам нужно только настроить запись SPF / TXT вашей зоны DNS, чтобы включить в нее ваш сервер:

<yourdomain>. TXT "v=spf1 ip4:<yourserver-ip> include:_spf.google.com ~all"

DKIM

Если вы настроили DKIM для своей доменной зоны DNS с ключом, сгенерированным Google, вы также можете добавить любое количество своих пользовательских ключей DKIM, подробнее см. Здесь: https://support.google.com/a/answer/174124 . Итак, ваша другая запись DKIM в домене должна выглядеть так:

<yoursercer-key-id>._domainkey.<yourdomain>. TXT "v=DKIM1; g=*; k=rsa; <dkim key data here>"

Google будет подписывать исходящие электронные письма своим ключом, чтобы получатели проверяли его по идентификатору подписанного ключа. Электронные письма вашего сервера должны быть отправлены и подписаны вашим пользовательским DKIM с собственным идентификатором ключа, тогда почтовый сервер / клиент получателя будет просто искать этот пользовательский идентификатор ключа для проверки источника, а не Google - отлично!

DMARC

Наконец я настроил DMARC. Я получаю отчеты DMARC по учетной записи "admin @", которая фактически размещена в том же отслеживаемом домене и в Google Apps. Кроме того, я использую Уловка с псевдонимом электронной почты Google "+ dmarc", чтобы легко фильтровать эти отчеты и маркировать их.

_dmarc.<yourdomain>. TXT ""v=DMARC1; p=none; rua=mailto:admin+dmarc@<yourdomain>"

Вы не сможете отправлять электронную почту с адресом электронной почты Gmail в заголовке От:, если вы не используете сервер, с которого Gmail хочет, чтобы вы отправляли электронную почту. Это основной механизм восстановления доверия к адресам электронной почты, которые делают dkim, spf и так далее.

Насколько я понимаю. Если вам нужно отправить электронную почту с вашего собственного сервера, просто получите свой собственный домен, создайте свои собственные закрытые ключи dkim и отправьте его с законного адреса электронной почты @yourdomain. Вы можете снова переслать электронное письмо, отправленное на этот адрес, в Gmail. Вы также можете настроить Gmail на использование SMTP для отправки писем через ваш сервер.

Надеюсь, я ничего не пропустил ...