SPF + DKIM + DMARC с учетной записью Gmail и внешним почтовым сервером
Я использую Gmail с собственным доменом (Google Apps) для своего проект. Теперь я хочу добавить внешний почтовый сервер для отправки уведомлений пользователям. Gmail не предоставляет закрытые ключи для DKIM, и если ключи будут сгенерированы на внешнем почтовом сервере, в случае строгих правил, вся почта от Gmail будет отклонена. Как я могу использовать SPF + DKIM + DMARC в этой ситуации, чтобы предотвратить спуфинг почты?
Добавьте сервер к существующей записи SPF, используя что-то вроде ip4:
Если вы хотите подписывать сообщения DKIM, вы можете использовать OpenDKIM , популярный milter, и обновите свой DNS с помощью селектора.
Вам, вероятно, не нужно ничего редактировать в вашей записи DMARC, но если вы не уверены, вы можете найти некоторые из этих ресурсов полезными на DMARC Страница средств развертывания .
Вы не сможете отправлять электронную почту с почтовым адресом в строке "От": Заголовок, если вы не используете сервер, с которого gmail хочет отправлять электронную почту. Это основной механизм восстановления доверия к адресам электронной почты, который делают dkim, spf и так далее.
Насколько я понимаю. Если вам нужно отправлять электронную почту со своего сервера, то просто получите свой собственный домен, создайте свои собственные dkim приватные ключи и отправляйте с легитимного почтового адреса @yourdomain. Вы можете пересылать электронную почту, отправленную на этот адрес, на gmail снова. Вы также можете настроить gmail на использование smtp для отправки электронной почты через ваш сервер.
Надеюсь, я ничего не пропустил...
Я использую такую конфигурацию с 2010 года, на самом деле DMARC появился позже. Я использую серверы Google Apps для отправки и получения электронной почты через веб-клиент. Мой сервер только отправляет и не получает электронную почту, поэтому нет необходимости вносить изменения в DNS MX-записи, а также не открыт в Интернет 25-й порт сервера.
SPF
Я полагаю, что вы уже прошли стандартное руководство Google по присоединению вашего домена к Google Apps. Поэтому вам нужно лишь настроить вашу запись SPF/TXT зоны DNS для включения вашего сервера:
<yourdomain>. TXT "v=spf1 ip4:<yourserver-ip> include:_spf.google.com ~all"
DKIM
Если вы настроили DKIM для вашей DNS зоны домена с помощью сгенерированного Google ключа, то вы также можете добавить любое количество ваших пользовательских ключей DKIM, смотрите подробнее здесь: https://support.google.com/a/answer/174124 . Таким образом, ваша другая DKIM-запись на домене должна выглядеть следующим образом:
<yoursercer-key-id>._domainkey.<yourdomain>. TXT "v=DKIM1; g=*; k=rsa; <dkim key data here>"
Google будет подписывать исходящие электронные письма своим ключом, чтобы получатели подтвердили его на предмет подписанного ключа. Письма вашего сервера должны быть отправлены и подписаны вашим собственным DKIM ключом, тогда получатели почты сервера/клиента будут просто искать этот пользовательский ключ для проверки источника, а не Google - отлично!
DMARC
Наконец-то я настроил DMARC. Я получаю отчеты DMARC об учетной записи "admin@", которая на самом деле расположена на том же самом домене, который отслеживается и на Google Apps. Кроме того, я использую Google;s трюк с псевдонимом электронной почты "+dmarc", чтобы легко отфильтровать эти отчеты для их маркировки.
_dmarc.<yourdomain>. TXT ""v=DMARC1; p=none; rua=mailto:admin+dmarc@<yourdomain>"
FWIW – с тех пор, как я наткнулся на эту страницу в своем исследовании... Можно отправлять действительные электронные письма DKIM из (обычного бесплатного) Gmail через внешний почтовый сервер, если вы можете установить/ получите правильный ключ домена и опубликуйте соответствующую запись DNS. Например, если у вашего хоста есть cPanel, все должно быть хорошо!
Я составил краткое описание того, как это сделать с помощью хоста cPanel, такого как HostGator, здесь: https://felixboehme.medium.com/dkim-signing-with-regular-free-gmail. -and-hostgator-cpanel-83cc0eb3c337