Kiel validigi vian retpoŝtan aŭtentikigon estas ĝuste agordita (DKIM, DMARC, SPF)

DKIM Validator DMARC SPF

Se vi sendas retpoŝton laŭ iu ajn volumeno, ĝi estas industrio, kie vi estas supozata kulpa kaj devas pruvi vian senkulpecon. Ni laboras kun multaj kompanioj helpantaj ilin pri retpoŝta migrado, IP-varmiĝo kaj problemoj pri livero. Plej multaj kompanioj eĉ ne rimarkas, ke ili tute havas problemon.

La Nevideblaj Problemoj de Liverebleco

Estas tri nevideblaj problemoj pri retpoŝta livero, pri kiuj entreprenoj ne konscias:

  1. permeson - Retpoŝtaj servaj provizantoj (ESP) administri la aliĝajn permesojn... sed la provizanto de retservo (ISP) administras la enirejon por la cela retadreso. Ĝi estas vere terura sistemo. Vi povas fari ĉion ĝuste kiel komerco por akiri permeson kaj retadresojn, kaj la ISP havas neniun ideon kaj eble blokos vin ĉiukaze.
  2. Enirkesta Metado – ESP-oj altigas liverkapablo tarifoj kiuj estas esence sensencaĵo. Retpoŝto kiu estas direktita rekte al la rubo dosierujo kaj neniam vidita de via retpoŝta abonanto estas teknike liverita. Por vere kontroli vian enirkesta lokigo, vi devas uzi seman liston kaj iri rigardi ĉiun ISP. Estas servoj kiuj faras ĉi tion.
  3. Reputacio – ISP-oj kaj triaj servoj ankaŭ konservas reputaciopoentarojn por la senda IP-adreso por via retpoŝto. Estas nigraj listoj, kiujn ISP-oj povas uzi por tute bloki vian tutan retpoŝton, aŭ vi eble havas malbonan reputacion, kiu kondukus vin al la rubodosierujo. Estas kelkaj servoj, kiujn vi povas uzi por kontroli vian IP-reputacion... sed mi estus iom pesimisma ĉar multaj fakte ne havas komprenon pri la algoritmoj de ĉiu ISP.

Retpoŝta Aŭtentikigo

La plej bonaj praktikoj por mildigi ajnajn enirkeston-lokigajn problemojn estas certigi, ke vi starigis kelkajn DNS-rekordojn, kiujn ISP-oj povas uzi por serĉi kaj certigi, ke la retpoŝtoj, kiujn vi sendas, estas vere senditaj de vi kaj ne de iu ŝajniganta esti via kompanio. . Ĉi tio estas farita per kelkaj normoj:

  • Senda Politika Kadro (SPF) - la plej malnova normo ĉirkaŭe, ĉi tie vi registras TXT-rekordon en via domajna registrado (DNS) kiu deklaras de kiuj domajnoj aŭ IP-adresoj vi sendas retpoŝton por via kompanio. Ekzemple, mi sendas retpoŝton por Martech Zone el Gugla Laborspaco kaj de CircuPress (mia propra ESP nuntempe en beta). Mi havas SMTP-aldonaĵon en mia retejo por sendi ankaŭ per Guglo, alie mi havus IP-adreson inkluzivita ankaŭ en ĉi tio.

v=spf1 include:circupressmail.com include:_spf.google.com ~all

  • havaĵo-bazita Mesaĝo Aŭtentikigo, Raportado kaj Konformo (DMARC) – ĉi tiu pli nova normo havas ĉifritan ŝlosilon en ĝi, kiu povas validigi kaj mian domajnon kaj la sendinton. Ĉiu ŝlosilo estas produktita de mia sendinto, certigante ke retpoŝtoj senditaj de spamisto ne povas esti falsitaj. Se vi uzas Google Workspace, jen kiel agordi DMARC.
  • DomainKeys Identigita Poŝto (DKIM) – Laborante kune kun la DMARC-rekordo, ĉi tiu rekordo informas ISP-ojn kiel trakti miajn DMARC- kaj SPF-regulojn kaj ankaŭ kie sendi iujn ajn livereblajn raportojn. Mi volas, ke ISP-oj malakceptu ajnajn mesaĝojn kiuj ne pasas DKIM aŭ SPF, kaj mi volas ke ili sendu raportojn al tiu retadreso.

v=DMARC1; p=reject; rua=mailto:dmarc@martech.zone; adkim=r; aspf=s;

  • Markaj Indikiloj por Mesaĝa Identigo (BIMI) - la plej nova aldono, BIMI disponigas rimedon por ISP-oj kaj iliaj retpoŝtaj aplikoj por montri la emblemon de la marko ene de la retpoŝta kliento. Estas ambaŭ malferma normo kaj ankaŭ ĉifrita normo por Gmail kie vi ankaŭ bezonas ĉifritan atestilon. La atestiloj estas sufiĉe multekostaj do mi ankoraŭ ne faras tion.

v=BIMI1; l=https://martech.zone/logo.svg;a=self;

NOTO: Se vi bezonas helpon pri agordo de via retpoŝta aŭtentikigo, ne hezitu kontakti mian firmaon. Highbridge. Ni havas teamon de fakuloj pri retpoŝta merkatado kaj livereblo tio povas helpi.

Kiel validigi vian retpoŝtan aŭtentikigon

Ĉiuj fontinformoj, relajsaj informoj kaj validumaj informoj asociitaj kun ĉiu retpoŝto troviĝas ene de la mesaĝkapoj. Se vi estas spertulo pri livereblo, interpreti ĉi tiujn estas sufiĉe facila... sed se vi estas novulo, ili estas nekredeble malfacilaj. Jen kiel aspektas la mesaĝo-kapo por nia bulteno, mi grizigis kelkajn el la aŭtorespondaj retpoŝtoj kaj kampanjaj informoj:

Mesaĝkapo - DKIM kaj SPF

Se vi tralegis, vi povas vidi, kiaj estas miaj DKIM-reguloj, ĉu DMARC pasas (ĝi ne) kaj tiu SPF trapasas... sed tio estas multe da laboro. Tamen ekzistas multe pli bona solvo, kaj tio estas uzebla DKIMVvalidilo. DKIMValidator provizas al vi retpoŝtadreson, kiun vi povas aldoni al via informlisto aŭ sendi per via oficeja retpoŝto... kaj ili tradukas la kap-informojn en belan raporton:

Unue, ĝi validas mian DMARC-ĉifradon kaj DKIM subskribon por vidi ĉu aŭ ne ĝi pasas (ĝi ne).

DKIM Information:
DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=circupressmail.com;
	s=cpmail; t=1643110423;
	bh=PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=;
	h=Date:To:From:Reply-to:Subject:List-Unsubscribe;
	b=HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/relaxed
d= Domain:          circupressmail.com
s= Selector:        cpmail
q= Protocol:        
bh=                 PTOH6xOB3+wFZnnY1pLaJgtpK9n/IkEAtaO/Xc4ruZs=
h= Signed Headers:  Date:To:From:Reply-to:Subject:List-Unsubscribe
b= Data:            HKytLVgsIfXxSHVIVurLQ9taKgs6hAf/s4+H3AjqE/SJpo+tamzS9AQVv3YOq1Nt/
	 o1mMOkAJN4HTt8JXDxobe6rJCia9bU1o7ygGEBY+dIIzAyURLBLo5RzyM+hI/X1BGc
	 jeA93dVXA+clBjIuHAM9t9LGxSri7B5ka/vNG3n8=
Public Key DNS Lookup

Building DNS Query for cpmail._domainkey.circupressmail.com
Retrieved this publickey from DNS: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC+D53OskK3EM/9R9TrX0l67Us4wBiErHungTAEu7DEQCz7YlWSDA+zrMGumErsBac70ObfdsCaMspmSco82MZmoXEf9kPmlNiqw99Q6tknblJnY3mpUBxFkEX6l0O8/+1qZSM2d/VJ8nQvCDUNEs/hJEGyta/ps5655ElohkbiawIDAQAB
Validating Signature

result = fail
Details: body has been altered

Poste, ĝi serĉas mian SPF-rekordon por vidi ĉu ĝi pasas (ĝi faras):

SPF Information:
Using this information that I obtained from the headers

Helo Address = us1.circupressmail.com
From Address = info@martech.zone
From IP      = 74.207.235.122
SPF Record Lookup

Looking up TXT SPF record for martech.zone
Found the following namesevers for martech.zone: ns57.domaincontrol.com ns58.domaincontrol.com
Retrieved this SPF Record: zone updated 20210630 (TTL = 600)
using authoritative server (ns57.domaincontrol.com) directly for SPF Check
Result: pass (Mechanism 'include:circupressmail.com' matched)

Result code: pass
Local Explanation: martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)
spf_header = Received-SPF: pass (martech.zone: Sender is authorized to use 'info@martech.zone' in 'mfrom' identity (mechanism 'include:circupressmail.com' matched)) receiver=ip-172-31-60-105.ec2.internal; identity=mailfrom; envelope-from="info@martech.zone"; helo=us1.circupressmail.com; client-ip=74.207.235.122

Kaj finfine, ĝi donas al mi sciojn pri la mesaĝo mem kaj ĉu la enhavo povas marki iujn SPAM-detektilojn, kontrolas ĉu mi estas en nigraj listoj, kaj diras al mi ĉu aŭ ne rekomendas, ke ĝi estu sendita al la rubodosierujo:

SpamAssassin Score: -4.787
Message is NOT marked as spam
Points breakdown: 
-5.0 RCVD_IN_DNSWL_HI       RBL: Sender listed at https://www.dnswl.org/,
                            high trust
                            [74.207.235.122 listed in list.dnswl.org]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or
                            identical to background
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid
 0.0 T_KAM_HTML_FONT_INVALID Test for Invalidly Named or Formatted
                            Colors in HTML
 0.1 DKIM_INVALID           DKIM or DK signature exists, but is not valid

Nepre provu ĉiun ESP aŭ trian mesaĝservon, de kiu via kompanio sendas retpoŝton, por certigi, ke via Retpoŝta Aŭtentigo estas ĝuste agordita!

Testu Vian Retpoŝton Per DKIM Validator

Malkaŝo: Mi uzas mian filian ligon por Gugla Laborspaco en ĉi tiu artikolo.