Imagine que en la vida real recibió un sobre donde el nombre de su viejo amigo está escrito en el campo "Remitente". ¿Puede, sin abrir y leer la carta, decir con certeza: este es un sobre de su viejo amigo o algún intruso?Esta es la tarea que enfrentan los servidores de correo, solo mirando el sobre para determinar si el remitente está mintiendo. Para hacer esto, el servidor de correo se refiere al mecanismo que sirve Internet para confirmar la propiedad del dominio: el servidor DNS.Anterior < Acerca de los puertos y la encriptación en los servidores de correo Haga
inmediatamente una reserva que por el campo "remitente" no me refiero al campo "desde" en el mensaje en sí, sino a la dirección del servidor remitente.
El servidor de correo depende mucho del DNS. El único caso cuando el servidor de correo no necesita un servidor DNS es cuando es un servidor de correo local que no envía ni recibe cartas de otros servidores.
Ahora, decidamos todos los registros DNS necesarios para los servidores de correo. Comencemos con el registro "A"que traduce el nombre en una dirección IP. Por cierto, A - de la palabra dirección. Ejemplos comunes de nombres para servidores de correo son mx.example.org, mail.example.org, smtp.example.org. Varios registros A con el mismo nombre y diferentes direcciones IP permitirán equilibrar el tráfico a diferentes servidores de correo, siempre que se configure el DNS round robin.
Registro MX- de la palabra e-mail messenger - es necesario para que otros servidores de correo puedan averiguar a qué dirección se debe enviar el correo al dominio del destinatario especificado. Si planea usar subdominios, por ejemplo, usuario@support.example.org, entonces para el subdominio necesitará un registro MX separado. Además, puede especificar varios registros MX para un dominio, apuntando a diferentes direcciones y eligiendo prioridad. Supongamos que desea que todo el correo se envíe al servidor mx1.example.org de forma predeterminada, luego déle prioridad más cerca de cero. Cuanto menor sea la prioridad del servidor, mayor será el número que le asigne. El valor máximo es 65535, pero generalmente las prioridades se establecen en 10, 20, 30, etc. Las prioridades pueden coincidir, luego DNS equilibra estos registros, si está configurado en el servidor DNS, o el remitente usará el primer servidor disponible.
El registro PTR es un registro DNS inverso que traduce una dirección IP en un nombre. El objetivo principal de esta entrada para el servidor de correo es filtrar la mayor parte del correo no deseado. Este registro le permite determinar el nombre de host desde el que llega el correo. Al recibir correo, el servidor de correo realiza dos solicitudes: obtener un nombre por dirección IP y obtener una dirección IP por el nombre del remitente. Si los resultados coinciden, entonces el servidor emisor es quien dice ser. A diferencia de otros registros, dicho registro solo se puede crear si posee o alquila una dirección IP.
Como regla general, los servicios donde compra un nombre de dominio no le permiten crear un registro PTR. Si alquila VPS de proveedores en la nube, algunos de ellos crean registros PTR para usted. Si tiene su propio servidor de correo local, pero el proveedor de DNS actúa como proveedor de DNS, puede comunicarse con su proveedor de Internet, que le dará una dirección IP para que el proveedor registre un registro PTR por usted. Sin esta entrada, es más probable que sus mensajes salientes reciban spam en otros servidores de correo.
SPF- Un registro que permite que ciertas direcciones envíen un mensaje desde el dominio especificado y dice qué hacer si el mensaje proviene de una dirección diferente. Supongamos que, como remitente, declara que solo permite que mail.example.org envíe correo desde el dominio example.org. Y si el mensaje no proviene de esta dirección, pero el dominio example.org se especifica en el campo del remitente, entonces es seguro rechazar este mensaje como no confiable. En principio, los destinatarios del servidor deben verificar su registro SPF y actuar de acuerdo con lo establecido, pero el destinatario puede ignorar sus "instrucciones" a voluntad. Se necesita un registro SPF para protegerse contra los ataques de suplantación de identidad cuando un atacante finge ser uno de los usuarios del remitente.
v=spf1 -all
v=spf1 mx -all
v=spf1 a:mail.example.org ~all
Al configurar un registro SPF, usted especifica la versión de SPF, y hasta ahora es uno, el primero. A continuación, especifique las direcciones que pueden enviar mensajes desde este dominio. Las direcciones pueden ser solo un registro "mx", es decir, aquellos servidores que ha enumerado en los registros MX. También puede registrar direcciones adicionales usando las opciones a - por registro A, por direcciones ipv4 e ipv6, etc. Después de las direcciones permitidas, se indica la opción todos para todo lo que no se ajusta a su regla. Puede aconsejar al destinatario que permita todos los mensajes de cualquier dirección en su dominio, prohíba, marque como inapropiado, pero omita, o a discreción del destinatario. La sintaxis completa y todas las opciones de SPF se darán como un enlace al final.Y aunque el SPF señala las direcciones a las que se les permite enviar mensajes, existe la posibilidad de que alguien sustituya el mensaje en el medio. Para evitar tales ataques, hay otra entrada de DNS.
DKIM es un registro que se utiliza para confirmar al remitente mediante firmas que se agregan a cada mensaje. En resumen, su servidor agrega un hash único a los mensajes salientes, que se pueden descifrar usando la clave pública del registro DNS correspondiente. Incluso si alguien sustituye un mensaje, no podrá falsificar su firma digital. Por lo tanto, DKIM también es necesario para proteger contra la falsificación.Pero para DKIM, agregar un registro DNS no es suficiente; también necesita generar claves y configurar su servidor de correo para que funcione con DKIM. Para hacer esto, el servicio DKIM se eleva en el servidor de correo, y el servicio de correo en sí, antes de enviar el mensaje, envía mensajes a través de este servicio, que agrega una firma digital. Cómo instalar y configurar esto lo consideraré en otro momento, pero está lleno de material en Internet.
DMARC es un registro que le permite establecer políticas basadas en comprobaciones SPF y DKIM. Estas políticas, nuevamente, son necesarias para que el destinatario sepa qué hacer con sus cartas.
v=DMARC1; p=reject; pct=100; rua=mailto:admin@example.org
v=DMARC1; p=quarantine; pct=50; rua=mailto:admin@example.org
v=DMARC1; p=none; rua=mailto:admin@example.org
Puede configurar la grabación para que el destinatario ignore los errores, ponga en cuarentena los mensajes fallidos o los rechace por completo. Además, en el registro DMARC, usted especifica la dirección de correo donde los servidores receptores enviarán estadísticas sobre los mensajes de sus servidores de correo, lo que le permitirá comprender lo que está sucediendo con los mensajes salientes, y también apretará las tuercas lentamente para evitar falsificaciones.
Algunos servicios, por ejemplo, Gmail, también ofrecen agregar ciertos registros DNS para confirmarlo como administrador de dominio, lo que le permitirá comprender mejor lo que sucede con los mensajes de su dominio para los usuarios de Gmail. Pero estos son casos especiales y varían según el servicio.
Olvide mencionar. Hay un par de herramientas importantes en línea para verificar su configuración.Una de las herramientas más convenientes es el probador de correo . Es simple:1. Vaya al sitio, copie la dirección postal que le brindó el servicio.2. Envíe un mensaje a esta dirección desde su dominio desde cualquier buzón. Es deseable que el mensaje no esté vacío, sino que contenga algún tipo de texto.3. Regrese al sitio, haga clic en "Luego verifique la calificación".4. Verifique el resultado. El portal verificará todas las configuraciones posibles, como DNS, los mismos registros SPF, DKIM y DMARC, y mostrará si su servidor está en las listas negras, etc. También le dará una recomendación si tiene errores en la configuración.5. Si hubo errores, corríjalos y luego envíe el mensaje nuevamente y verifique el resultado nuevamente. Si los problemas estaban relacionados con los registros DNS, asegúrese de aplicar sus cambios al DNS (por ejemplo, con el mismo comando de excavación) antes de volver a intentarlo.¡PERO! El servicio le brinda solo 3 intentos gratuitos por día, por lo tanto, es aconsejable corregir todos los errores y luego volver a verificar.
Otra herramienta - mxtoolbox. Aquí, básicamente, verificando la presencia de registros DNS y entrando en listas de spam. También en este portal puede encontrar muchas herramientas diferentes para verificar y no existe tal restricción como en el probador de correo. Aunque entre las herramientas hay una comprobación de la presencia de una clave DKIM, sin un mensaje de su dominio, mxtoolbox no podrá confirmar la corrección de la configuración del servidor de correo para trabajar con DKIM.
Si ha configurado DKIM y desea asegurarse de que está correcto, puede enviar un mensaje a la misma cuenta de gmail y luego abrir el mensaje en su forma original e intentar encontrar la línea DKIM = pasar. O utilice el servicio listo: dkimvalidator . El principio de funcionamiento es el mismo que el del probador de correo: envíe un mensaje a la dirección generada y vea el resultado.Por lo tanto, al configurar estos registros DNS, los mensajes de sus servidores de correo no caerán en correo no deseado (siempre que usted mismo no haga correo no deseado) y ayudará a sus destinatarios a evitar el correo no deseado y los ataques de suplantación de identidad.Enlaces útiles:¿Qué es SPFRiddles and Myths SPF? ¿Qué es DKIM?Cómo: DMARC