Cómo configurar la zona DNS TXT para SPF, DKIM y DMARC y cómo evitar que Gmail rechace los mensajes de correo electrónico de la empresa: error en la entrega del correo

Administratorii de correo electrónico privado severo para negocios a menudo se enfrenta a muchos problemas y desafíos. De las olas de SPAM que deben ser bloqueados por filtros específicos, seguridad de la correspondencia en el servidor de correo electrónico local y servidores remotos, configuración si monitorear servicios SMTP, POP, IMAP, además de montones y montones de otros detalles Configuración SPF, DKIM y DMARC para seguir las mejores prácticas para el correo electrónico seguro.

Muchos problemas enviar mensajes de correo electrónico o consignatario hacia/desde tus proveedores, aparecen por configuración incorrecta del área DNS, ¿qué pasa con el servicio de correo electrónico.

Para que se envíen correos electrónicos desde un nombre de dominio, debe ser alojado en un servidor de correo electrónico correctamente configurado y nombre de dominio para tener zonas DNS para SPF, MX, DMARC SI DKIM configurado correctamente en el administrador Texto de DNS del dominio

En el artículo de hoy nos centraremos en un problema bastante común servidores de correo electrónico de empresa privada. No se puede enviar correo electrónico a Gmail, Yahoo! o iCloud.

Los mensajes enviados a @ Gmail.com se rechazan automáticamente. "Error en la entrega del correo: devolver el mensaje al remitente"

Recientemente me encontré con un problema en un dominio de correo electrónico de una empresa, desde donde se envían regularmente correos electrónicos a otras empresas y a particulares, algunos de los cuales tienen direcciones @ gmail.com. Todos los mensajes enviados a las cuentas de Gmail se devuelven inmediatamente al remitente. "Error en la entrega del correo: devolver el mensaje al remitente".

Mensaje de error devuelto al servidor de correo electrónico el EXIM Se ve como esto:

1nSeUV-0005zz-De ** reciver@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [142.x.x.27] X=TLS1.2:ECDHE-ECDSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.26 This message does not have authentication information or fails to\n550-5.7.26 pass authentication checks. To best protect our users from spam, the\n550-5.7.26 message has been blocked. Please visit\n550-5.7.26  https://support.google.com/mail/answer/81126#authentication for more\n550 5.7.26 information. d3-20020adff843000000b001f1d7bdaeb7si6107985wrq.510 - gsmtp

En este escenario no es algo muy grave, como incluir el nombre de dominio de envío o la IP de envío en una lista de SPAM global o gran error de configuración de servicios de correo electrónico en sevrer (EXIM).
Si bien muchas personas ven este mensaje inmediatamente cuando piensan en SPAM o en un error de configuración de SMTP, el problema lo genera el área. Texto de DNS del dominio La mayoría de las veces, DKIM no está configurado en la zona DNS o no se pasa correctamente en el administrador de DNS del dominio. Este problema se encuentra a menudo en quienes lo usan. CloudFlare como administrador de DNS y olvide pasar Texto de DNS: mail._domainkey (DKIM), DMARC si SPF.

Como nos dice el mensaje de rechazo de Gmail, la autenticidad y autenticación del dominio remitente ha fallado. “Este mensaje no tiene información de autenticación o no pasa \ n550-5.7.26 las comprobaciones de autenticación.” Esto significa que el dominio no tiene DNS TXT configurado para garantizar la credibilidad del servidor de correo electrónico del destinatario. Gmail, en nuestro script.

Cuando agregamos un dominio web con un servicio de correo electrónico activo en cPanel o VestaCP, los archivos en la zona DNS de ese dominio se crean automáticamente. Zona DNS que incluye la configuración del servicio de correo electrónico: MX, SPF, DKIM, DMARC.
En la situación en la que elegimos el dominio para que sea el administrador DNS CloudFlare, el área DNS de la cuenta de alojamiento del dominio debe copiarse a CloudFlare para que el dominio de correo electrónico funcione correctamente. Ese era el problema en el escenario anterior. En un administrador de DNS de terceros, el registro DKIM no existe, aunque sí existe en el administrador de DNS del servidor local.

¿Qué es DKIM y por qué se rechazan los correos electrónicos si no tenemos esta función en un dominio de correo electrónico?

Correo identificado de DomainKeys (DKIM) es una solución de autenticación de dominio de correo electrónico estándar que agrega un Las firmas digitales cada mensaje enviado. Los servidores de destino pueden comprobar a través de DKIM si el mensaje proviene del dominio de derecho del remitente y no de otro dominio que utiliza la identidad del remitente como máscara. Por todas las cuentas, si tiene el dominio ABCDqwerty.com sin DKIM, es posible que se envíen correos electrónicos desde otros servidores utilizando su nombre de dominio. Lo es si desea un robo de identidad, que en términos técnicos se llama falsificación de correo electrónico.
Una técnica común al enviar mensajes de correo electrónico suplantación de identidad si correo no deseado (spam).

También se puede asegurar a través de DKIM que, el contenido del mensaje no cambió después de que el remitente lo envió.

Tener DKIM configurado correctamente en el host estricto del sistema de correo electrónico y en el área de DNS también elimina la posibilidad de que sus mensajes lleguen al destinatario como SPAM o no lleguen en absoluto.

Un ejemplo de un DKIM es:

mail._domainkey: "v=DKIM1; k=rsa; p=MIGfMA0GCSqGfdSIb3DQEBAQUAA4GN ... ocqWffd4cwIDAQAB"

Por supuesto, el valor DKIM obtenido por Algoritmo de cifrado RSA es único para cada nombre de dominio y se puede regenerar desde el servidor de correo electrónico del anfitrión.

Tener DKIM instalado y configurado correctamente en Texto de DNS administrador, es muy posible resolver el problema de los mensajes devueltos a las cuentas de Gmail. Al menos para el error "Error en la entrega del correo":

“SMTP error desde el servidor de correo remoto después del final de los datos canalizados: 550-5.7.26 Este mensaje no tiene información de autenticación o \ n550-5.7.26 no pasa las comprobaciones de autenticación. Para proteger mejor a nuestros usuarios del spam, se bloqueó el mensaje \ n550-5.7.26".

Como breve resumen, DKIM añade una firma digital a cada mensaje enviado, que permite a los servidores de destino verificar la autenticidad del remitente. Si el mensaje proviene de su empresa y no se utilizó la dirección de un tercero para utilizar su identidad.

gmail (Google) tal vez rechaza automáticamente todos los mensajes provenientes de dominios que no tienen tal semántica digital DKIM.

¿Qué es SPF y por qué es importante para el envío seguro de correo electrónico?

Al igual que DKIM, y SPF tiene como objetivo prevenir mensajes de phishing si falsificación de correo electrónico. De esta forma, los mensajes enviados ya no se marcarán como spam.

Marco de políticas del remitente (SPF) es un método estándar para autenticar el dominio desde el que se envían los mensajes. Las entradas SPF se establecen en Administrador de DNS TXT de su dominio y esta entrada especificará el nombre de dominio, IP o dominios que tienen derecho a enviar mensajes de correo electrónico utilizando su nombre de dominio o el de su organización.

Un dominio sin SPF puede permitir a los spammers enviar correos electrónicos desde otros servidores. usando su nombre de dominio como una máscara. De esta manera pueden propagarse información falsa o se pueden solicitar datos sensibles en nombre de su organización

Por supuesto, los mensajes aún se pueden enviar en su nombre desde otros servidores, pero se marcarán como spam o se rechazarán si ese servidor o nombre de dominio no se especifica en la entrada SPF TXT de su dominio.

Un valor SPF en el administrador de DNS se ve así:

@ : "v=spf1 a mx ip4:x.x.x.x ?all"

Donde "ip4" es IPv4 en su servidor de correo electrónico.

¿Cómo configuro SPF para varios dominios?

Si queremos autorizar a otros dominios a enviar mensajes de correo electrónico en nombre de nuestro dominio, los especificaremos con el valor "include”En SPF TEXTO:

v=spf1 ip4:x.x.x.x include:example1.com include:example2.com ~all

Esto significa que los mensajes de correo electrónico también se pueden enviar desde nuestro nombre de dominio a ejemplo1.com y ejemplo2.com.
Es un registro muy útil si tenemos por ejemplo uno compras En la dirección "example1.com", Pero queremos que los mensajes de la tienda en línea a los clientes dejen dirección de dominio de la empresa, este ser "example.com“. En TEXTO SPF para "example.com", según sea necesario para especificar junto con IP e "include: example1.com". Para que se puedan enviar mensajes en nombre de la organización.

¿Cómo configuro SPF para IPv4 e IPv6?

Tenemos un servidor de correo con ambos IPv4 y con IPv6, es muy importante que ambas IP estén especificadas en el SPF TXT.

v=spf1 ip4:196.255.100.26 ip6:2001:db8:8:4::2 ~all

A continuación, después de la "ip" la directiva "include”Para agregar dominios autorizados para envío.

Qué significa "~all","-all"Y"+alldel FPS?

Como se indicó anteriormente, los proveedores (ISP) aún pueden recibir correos electrónicos en nombre de su organización, incluso si se envían desde un dominio o IP que no está especificado en la política de SPF. La etiqueta "todos" les dice a los servidores de destino cómo manejar estos mensajes de otros dominios no autorizados y enviar mensajes en su nombre o en el de su organización.

~all : si el mensaje se recibe de un dominio que no figura en el SPF TXT, los mensajes se aceptarán en el servidor de destino, pero se marcarán como spam o sospechosos. Estarán sujetos a las mejores prácticas de los filtros antispam del proveedor del destinatario.

-all : Esta es la etiqueta más estricta agregada a una entrada SPF. Si el dominio no está en la lista, el mensaje se marcará como no autorizado y el proveedor lo rechazará. Tampoco se entrega macen correo no deseado

+all : muy raramente utilizada y no recomendada en absoluto, esta etiqueta permite que otros envíen correos electrónicos en su nombre o en el de su organización. La mayoría de los proveedores rechazan automáticamente todos los mensajes de correo electrónico que provienen de dominios con SPF TXT".+all“. Precisamente porque la autenticidad del remitente no se puede verificar, excepto después de una verificación de "encabezado de correo electrónico".

Resumen: ¿Qué significa el marco de política del remitente (SPF)?

Autoriza a través de la zona TXT/SPF DNS, IPs y nombres de dominio que pueden enviar mensajes de correo electrónico desde su dominio o empresa. También aplica las consecuencias que se aplican a los mensajes que se envían desde dominios no autorizados.

¿Qué significa DMARC y por qué es importante para su servidor de correo electrónico?

DMARC (Informes y conformidad de autenticación de mensajes basados ​​en dominio) está estrechamente relacionado con las normas de política SPF si DKIM.
DMARC es un sistema de validación diseñado para proteger su nombre de dominio de correo electrónico o el de su empresa, prácticas como la suplantación de identidad por correo electrónico y estafas de phishing.

Mediante el uso de los estándares de control Sender Policy Framework (SPF) y Domain Keys Identified Mail (DKIM), DMARC agrega una función muy importante. informes.

Cuando un propietario de dominio publica DMARC en el área DNS TXT, obtendrá información sobre quién envía mensajes de correo electrónico en su nombre o la empresa propietaria del dominio protegido por SPF y DKIM. Al mismo tiempo, los destinatarios de los mensajes sabrán si y cómo estas políticas de buenas prácticas son monitoreadas por el propietario del dominio de envío.

Un registro DMARC en DNS TXT puede ser:

V=DMARC1; rua=mailto:report-id@rep.example.com; ruf=mailto:account-email@for.example.com; p=none; sp=none; fo=0;

En DMARC puede poner más condiciones para reportar incidentes y direcciones de correo electrónico para análisis e informes. Es recomendable utilizar direcciones de correo electrónico dedicadas a DMARC ya que el volumen de mensajes recibidos puede ser significativo.

Las etiquetas DMARC se pueden configurar de acuerdo con la política impuesta por usted o su organización:

v - versión del protocolo DMARC existente.
p - aplique esta política cuando no se pueda verificar DMARC para mensajes de correo electrónico. Puede tener el valor: “none","quarantine"O"reject“. se usa"none”Para obtener informes sobre el flujo de mensajes y su estado.
rua - Es una lista de URL sobre las que los ISP pueden enviar comentarios en formato XML. Si añadimos aquí la dirección de correo electrónico, el enlace será:rua=mailto:feedback@example.com".
ruf - La lista de URL en las que los ISP pueden enviar informes de incidentes cibernéticos y delitos cometidos en nombre de su organización. La dirección será:ruf=mailto:account-email@for.example.com".
rf - Formato de denuncia de delitos cibernéticos. Se puede moldear"afrf"O"iodef".
pct - Indica al ISP que aplique la política DMARC solo para un cierto porcentaje de mensajes fallidos. Por ejemplo, podríamos tener:pct=50%"O políticas"quarantine"Y"reject“. Nunca será aceptado".none".
adkim - Especifica el "Modo de alineación" para las firmas digitales DKIM. Esto significa que se comprueba la firma digital de una entrada DKIM con el dominio. adkim puede tener los valores: r (Relaxed) o s (Strict).
aspf - De la misma manera que en el caso adkim El "Modo de alineación" se especifica para SPF y admite los mismos valores. r (Relaxed) o s (Strict).
sp - Esta política se aplica para permitir que los subdominios derivados del dominio de la organización usen el valor DMARC del dominio. Esto evita el uso de políticas separadas para cada área. Es prácticamente un "comodín" para todos los subdominios.
ri - Este valor establece el intervalo en el que se recibirán los informes XML para DMARC. La mayoría de las veces, es preferible informar diariamente.
fo - Opciones para informes de fraude. “Entrevistas options“. Pueden tener valores de "0" para reportar incidentes cuando fallan tanto la verificación SPF como DKIM, o el valor "1" para el escenario donde el SPF o DKIM no existe o no pasa la verificación.

Por lo tanto, para asegurarse de que los correos electrónicos suyos o de su empresa lleguen a su bandeja de entrada, debe considerar estos tres estándares ".mejores prácticas para enviar correos electrónicos". DKIM, SPF si DMARC. Estos tres estándares son DNS TXT y se pueden admindel administrador de DNS del dominio.

Apasionado de la tecnología, me gusta probar y escribir tutoriales sobre sistemas operativos. macOS, Linux, Windowsacerca de WordPress, WooCommerce y configurar servidores web LEMP (Linux, NGINX, MySQL y PHP). escribo en StealthSettings.com desde 2006, y unos años más tarde comencé a escribir en iHowTo.Tips tutoriales y noticias sobre dispositivos en el ecosistema Apple: iPhoneiPad Apple Reloj, HomePod, iMac, MacBook, AirPods y accesorios.

Deja un comentario