Щит от спамеров (PTR, DKIM, SPF, FBL, DMARC)
DKIM (DomainKeys Identified Mail)
Технология защиты электронной почты, которая позволяет отправителю нести ответственность за исходящие сообщения. DKIM добавляет в письмо цифровую подпись, связанную с фром-доменом. Подпись автоматически проверяется на стороне получателя, после чего используется для уточнения репутации и помечается для пользователя.
Проверка подписи происходит получателем автоматически. Принимающая сторона использует «черные» и «белые» списки для определения репутации отправителя и решает доставить email или сообщить об ошибке отправителю.
Для того чтобы использовать DKIM технологию вам понадобится:
- почтовый сервер, поддерживающий подписание отправляемой почты;
- занесение в DNS домена записи о наличии поддержки DKIM и публичного ключа;
- приватный и публичный ключи для подписи письма.
На данный момент в технологии чаще всего используется RSA-SHA256 и RSA-SHA1 алгоритмы. Рекомендуемая длина ключа — 1024 бит.
SPF (Sender Policy Framework)
Инфраструктура политики отправителя контролирует подлинность домена отправителя и защищает домен от его незаконного использования. Добавляет на отправляющий домен (сендер-домен, фром-домен) специальную TXT запись, которая определяет политику разрешения отправки этого домена с различных хостов.
В ТХТ-записи владелец домена указывает список серверов, которые имеют право отправлять письма от имени этого домена и механизм обработки писем, отправленных от других серверов.
- проверка репутации IP (об этом мы писали в статье Соотношение инбокс/спам: Причины и следствия);
- проверка содержимого — тема, заголовки, наличие спам-слов и тому подобное;
- проверка цифровой подписи DKIM и анализ SPF записи домена.
| Тип | Пример содержимого |
|---|---|
| SPF | spf2.0/pra include:spf.aksend.net ip4:A.B.C.D -all |
| TXT | spf2.0/pra include:spf.aksend.net ip4:A.B.C.D -all |
| TXT | v=spf1 include:spf.aksend.net ip4:A.B.C.D -all |
В примере разрешается использование хостов домена spf.aksend.net, а также IP адреса A.D.C.D. Директивой ip4, вы можете перечислять как каждый IP, так и целую подсеть. -all однозначно указывает на то, что отправка с других хостов не будет валидной. Если вы хотите разрешить отправку с любых хостов, используйте +all (не рекомендуется). Проверить наличие и содержимое SPF записей можно также командой dig.
DMARC (Domain-based Message Authentication, Reporting and Conformance)
Технология, которая помогает сделать выбор, как поступать принимающей стороне с подозрительными письмами, если SPF и DKIM сообщают об ошибке на принимающей стороне. Создана для защиты от спамерских, фишинговых и мошеннических писем, замаскированных под сообщения от известных почтовых сервисов. Вы как владелец домена заранее самостоятельно определяете, что будет происходить с письмами, которые почтовые системы примут за подделку.
Перед настройкой DMARC необходимо:
- настроить SPF-запись;
- настроить DKIM-подпись.
Правила обработки писем в случае признания письма поддельным необходимо прописать в DNS домена. В соответствии с указанными критериями письма могут быть не приняты почтовым сервером, отправлены в спам или пропущены.
Примеры политики обработки писем:
- Отклонять все сообщения не прошедшие проверку.
- Отклонять все сообщения, не прошедшие проверку DMARC, и отправлять все отчеты на ящик postmaster@exampledomain.ru.
- 30% сообщений приходящих от вашего домена, но не прошедших проверки DMARC отправлять в карантин.
FBL/CFL (FeedBack Loop)
Это механизм обратной связи, позволяющий в режиме реального времени получать отчет о тех пользователях, кто нажал кнопку «спам» на конкретное письмо.
| Ящик | Назначение |
|---|---|
| abusemaster@domain | Автоматические ARF отчеты |
| postmaster@domain | Письма подтверждения; необходим при регистрации FBL |
| abuse@domain | Ящик рекомендуемый к использованию abuse.net |
PTR (Pointer)
PTR (от англ. pointer — указатель) — это обратная DNS-запись, которая связывает IP адрес с доменом вашего сайта. PTR-запись используется при фильтрации входящей почты, повышает надежность отправляющего сервера и позволяет получить обратный ответ для проверки имени хоста через IP-адрес.
Обязательной составляющей всей настройки любого отправителя является настройка обратной зоны. Каждый отправляющий IP должен такую зону иметь, и правильно сделать ее ссылающейся на сендер домен. Обратную зону обслуживает владелец IP адресов. Если она вам не делегирована, то необходимо отправить запрос в техподдержку провайдера для добавления или изменения записей.
1.1.1.1 и 1.1.1.2), тогда для вашего домена (example.com) заводятся следующие записи:| Домен | Тип | Запись |
|---|---|---|
1.1.1.1.in-addr.arpa. | PTR | mx1.s1.example.com |
2.1.1.1.in-addr.arpa. | PTR | mx2.s1.example.com |
Обратите внимание, что IP адрес в имени домена перевернут, это необходимо для возможности делегирования поддомена конечному владельцу/арендатору.
Покажем платформу и найдём решение под задачи вашего бизнеса
Записаться на демоВам может быть интересно:
В новой статье рассказываем как с помощью автоматизации маркетинга и платформы Altkraft Marketing группа «АльфаСтрахование» увеличила уровень повторных покупок на 49%.
Читать далееПеревели статью Talkwalker о лучших маркетинговых digital-стратегиях для сферы финансовых услуг. О том, как продвигать банки, страховые и брокерские компании, читайте в нашей статье.
Читать далееО том, как PREMIER настроил броадкасты и автоматизировал цепочки коммуникаций.
Читать далее