Incursión de espejos. Matriz RAID: tipos y proceso de creación. Construyendo una matriz de discos: de la teoría a la práctica
Recientemente configuramos un servidor SMTP para nuestro proyecto. La pregunta era: ¿qué se debe hacer para que las cartas enviadas a nuestros usuarios no acaben en la carpeta de spam o lleguen allí lo menos posible?
Encontramos varios artículos interesantes y útiles sobre este tema (enlaces al final del artículo), en base a los cuales al final se hizo todo. Pero esta mañana, después de recibir otro lote de correos de recursos en ruso bastante conocidos y al ver que estaban descuidando las reglas descritas, decidí brevemente y en un solo lugar recoger todas las acciones que sean suficientes para solucionar el problema. Espero que después de esto aumente el número de sitios que envían correo correctamente.
Los consejos anteriores sólo son relevantes si utiliza su propio servidor SMTP. Cuando se utiliza, por ejemplo, SMTP servidores de google Todo ya está hecho por nosotros. Por regla general. En cualquier caso, recomiendo comprobarlo (ver apartados ¿Cómo comprobarlo?).
Los elementos están ordenados por orden de importancia. Es mejor no empezar el siguiente sin completar el anterior.
Registrar DNS inverso
El nombre habla por sí solo. Búsqueda inversa de DNS: procedimiento DNS inverso buscar. Por dirección IP nosotros, o más bien servidor de correo usuario, obtenemos el nombre de dominio. Si coincide con el nombre de dominio en el campo De del correo electrónico que se envía, entonces todo está bien.¿Cómo hacerlo?
En la mayoría de los casos, no podrá hacerlo usted mismo a menos que sea propietario del rango de direcciones IP. Por lo tanto la única manera de hacerlo esta configuración- Pídale a su proveedor de hosting que haga esto.
¿Cómo comprobarlo?
Utilice cualquiera de los servicios en línea. DNS inverso buscar. Por ejemplo, éste. Basta con ingresar la dirección IP del servidor desde donde se envía el correo. Si el resultado muestra tu dominio, entonces todo está bien.
En la mayoría de los casos es suficiente próxima entrada:
ejemplo.com. TXT v=spf1 a mx ~todos
Esta entrada dice que se puede enviar correo desde cualquier IP especificada en los registros A (AAAA) y MX de un dominio determinado y sólo desde ellos.
¿Cómo comprobarlo?
Envíe correo a través de su servicio a cualquier cuenta de GMail. Abra la carta recibida y seleccione Mostrar original en el menú de acciones.
si encuentras siguientes lineas, entonces todo está bien:
Recibido-SPF: aprobar
Resultados de autenticación: ... spf=pasar
Total
Las acciones descritas deberían reducir significativamente la probabilidad de que sus correos electrónicos terminen en spam. Todas las demás técnicas están relacionadas con el contenido de la carta o con cómo reaccionan los usuarios (¿a menudo marcan su mensaje como spam?). Pero esa es una historia diferente.En nuestros materiales anteriores, ya analizamos cómo configurar una zona DNS para funcionamiento adecuado servidor de correo, así como la función de los registros DNS individuales. Sin embargo, como muestra la práctica, no todos los administradores comprenden correctamente el mecanismo de funcionamiento de los sistemas de correo electrónico con registros DNS. Por ello, decidimos dedicar un artículo aparte a este tema, en el que lo analizaremos con más profundidad y hablaremos comparativamente nueva tecnología FPS
El principal problema de la modernidad. sistemas postales- correo basura. hay muchos diferentes metodos luchar contra ello, pero el principal es el análisis del remitente, dado que todos información necesaria está en la carta.
Hagamos una analogía con el correo normal. En sobre postal o los paquetes siempre contienen la dirección del remitente, la dirección del destinatario y los sellos de las oficinas de correos donde fue visitado. envío postal. De la misma forma, un correo electrónico en sus encabezados contiene información sobre el remitente, el destinatario y las marcas de aquellos servidores de correo que participaron en el procesamiento del correo.
Digamos que recibió en la oficina de correos un paquete de aspecto extremadamente sospechoso, supuestamente de su amado abuelo Konstantin Makarovich, pero por alguna razón el sello del remitente no indica la oficina de correos del pueblo de Makarovka, sino la granja Gadyukino al otro lado. lado del país. ¿Abrirás ese paquete, arriesgándote a encontrar esporas de ántrax en lugar de un frasco de mermelada de manzanas del paraíso, o lo devolverás, fuera de peligro?
Lo mismo ocurre con los sistemas de correo electrónico. Si recibiste una carta de tu abuelo [correo electrónico protegido] , pero el servidor de envío por alguna razón correo.spam.com, entonces esta es una razón para no aceptar dicha carta, ya que lo más probable es que sea spam.
¿Cómo implementamos este cheque? Muy sencillo, mira el sello. oficina de correos remitente y lo comparó con la dirección del remitente. Por ejemplo, en el sobre está escrito que el remitente se encuentra en la ciudad de Moscú, pero el sello de la oficina de envío contiene el índice 683000, que indica Petropavlovsk-Kamchatsky. Por lo tanto, no aceptaremos dicha carta, ya que no ha pasado la verificación del remitente.
La situación es similar con un correo electrónico, solo que en lugar del índice del departamento de envío se utiliza registro PTR. Entonces, habiendo recibido una carta del abuelo, haremos Solicitud de RPP y descubrir que el servidor de envío es el nuestro correo.spam.com, mientras que según la información transmitida durante la conexión debe haber correo.ejemplo.com. Todo está claro, la carta va al spam.
Sin embargo, si el encabezado indica que el servidor de envío es el nuestro correo.spam.com, entonces dicha carta tiene éxito será probado Por Registros PTR, a pesar de que el dominio del servidor del remitente no coincide con el dominio de correo de la carta.
¿Por qué sucede esto? Porque comprobando por Registros PTR le permite determinar únicamente que el servidor emisor es realmente quien dice ser. Pero en ningún caso determina la autenticidad del propio remitente. Aquellos. refiriéndose al ejemplo correo regular solo verificamos que la dirección del remitente y el código postal de la oficina del remitente sean los mismos si el lugar de salida es Moscú y el código postal apunta a Petropavlovk-Kamchatsky, luego verificamos por; PTR dicha carta no llegó, pero si el lugar de salida y el índice coinciden, entonces todo está bien y ahora tu tarea es pensar qué está haciendo tu amado abuelo en Petropavlovsk-Kamchatsky.
La mala comprensión de este punto lleva al hecho de que registro PTR resulta estar configurado incorrectamente y, como resultado, mayoría El correo enviado no llega al destinatario. Es especialmente importante comprender esto al configurar servidores que prestan servicios a múltiples dominios. En este caso registro PTR debe apuntar al nombre del host de correo (que transmite como parte de la sesión SMTP), incluso si está ubicado en un dominio diferente.
Veamos un ejemplo sencillo.
Servidor correo.ejemplo.com envía un correo electrónico para el dominio al que sirve ejemplo.org. El servidor receptor realiza una solicitud. Registros PTR y se asegura de que la dirección 123.123.123.123 realmente ubicado correo.ejemplo.com, por lo tanto, se aceptará dicha carta, aunque el dominio del remitente de la carta y el dominio del servidor remitente no coincidan.
Y ahora la situación es diferente.
El administrador ha configurado la zona DNS incorrectamente al especificar el host incorrecto en Registros PTR. El servidor receptor, después de comprobar registro PTR Rechazará nuestra carta porque el servidor de envío no coincide con el resultado de la consulta DNS inversa.
Ausencia Registros PTR casi siempre conduce a un rechazo de la carta, porque existe un acuerdo tácito de que el remitente de buena fe tiene una zona de retorno configurada correctamente.
Volvamos a nuestro abuelo. Digamos que le ha dicho que en verano dejará el pueblo de Makarovka para ir al pueblo vecino de Ivanovka, a casa de una tal Marfa Vasilievna, y tiene la intención de enviarle correspondencia desde allí. En este caso, aceptará con seguridad las cartas de su abuelo tanto de Makarovka como de Ivanovka, pero rechazará la carta del supuesto abuelo de Petropavlovsk-Kamchatsky.
Una tecnología similar en los sistemas de correo electrónico se implementa utilizando tecnología. FPS. En resumen, entonces esta tecnología le permite crear un registro DNS especial que indicará quién tiene exactamente derecho a enviar correo en nombre de su dominio. En el muy versión sencilla la entrada se verá así:
Ejemplo.com. EN TXT "v=spf1 +a +mx -todos"
¿Qué significa? El hecho de que para el dominio ejemplo.com el correo pueda enviarse mediante nodos especificados en el registro A (+a) y los registros MX (+mx), todos los demás correos deben rechazarse (-todos).
Sin embargo, no todo es tan color de rosa. En primer lugar, el apoyo al SPF todavía no es un estándar de facto y no existe Registros SPF El dominio del remitente no tiene motivos para rechazar la carta. El segundo problema es el reenvío de servidores o los casos en los que el correo se envía desde servidores que no figuran en los registros A o MX, o que incluso no se encuentran en otros dominios. Esto puede deberse tanto a la arquitectura del sistema de TI empresarial como al uso de servidores de otras personas para realizar envíos cuando vincula su dominio a un proveedor o servicio público. En este último caso hay que tener especial cuidado y es muy recomendable consultar con el servicio de asistencia.
Consideremos otra situación.
Tu empresa, además de tu servidor de correo principal correo.ejemplo.com, utiliza servicios servicios de terceros, que puede enviar correo a los clientes de una empresa en su nombre. Este podría ser un servicio de correo urgente que notificará a los clientes en su nombre sobre el estado de la entrega, etc.
En nuestro ejemplo, dicho correo se enviará en nombre de [correo electrónico protegido] desde el servidor correo.web-service.com, porque este servidor no aparece en los registros MX del dominio ejemplo.com, entonces, según lo que indicamos en Registros SPF Como regla general, el destinatario rechazará dicha carta.
Además, el comportamiento del servidor receptor será inequívoco, ya que nosotros mismos hemos indicado claramente que no se deben aceptar correos de otros remitentes. Por lo tanto, si no está seguro de que todo el correo provenga exclusivamente de sus servidores, debe especificar una regla más suave:
ejemplo.org. EN TXT "v=spf1 +a +mx ~todos"
A diferencia de -todo(fallar) ~todos(fallo suave) indica que los remitentes distintos de los especificados explícitamente no pueden enviar correo, pero no contiene el requisito de rechazar dicho correo. La mayoría de las veces, se acepta dicho correo, marcado como no deseado.
También puedes utilizar un prefijo neutro:
ejemplo.org. EN TXT "v=spf1 +a +mx ?todos"
En este caso, la regla establece que los hosts especificados en A- y registros MX, no hay información sobre los nodos restantes. La recepción de correo procedente de nodos explícitamente no autorizados queda a discreción del servidor receptor; en la mayoría de los casos, dicho correo se aceptará sin ninguna marca.
¿Qué debemos hacer en nuestro caso? lo mas la decisión correcta se agregará a Entrada SPF una regla más:
ejemplo.org. EN TXT "v=spf1 +a +mx +mx:web-service.com -all"
ejemplo.org. EN TXT "v=spf1 +a +mx +a:mail.web-service.com -all"
en el primer caso permitiremos recibir correo también de todos los servidores listados en los registros MX del dominio servicio-web.com, en el segundo caso solo para el servidor correo.web-service.com.
Finalmente, consideremos el caso en el que el correo de su dominio es servido por un servidor ubicado en otro dominio. Por ejemplo correo.ejemplo.com también envía correo para el dominio ejemplo.org. En esta situación, sería correcto utilizar para el dominio ejemplo.org las mismas reglas que para ejemplo.com. Para hacer esto, use un tipo especial de grabación:
ejemplo.org. EN TXT "v=spf1 redirección=ejemplo.com"
Esto permitirá, si es necesario, cambiar los registros solo una vez, para el dominio principal, y libera a los administradores de otros dominios aceptados de la necesidad de monitorear y realizar cambios en los registros DNS.
Etiquetas:
Saludos Habr! Este artículo proporcionará instrucciones para configurar registros DKIM/SPF/DMARC. ¿Qué me impulsó a escribir este artículo? ausencia total documentación en ruso. Todos los artículos sobre este tema que encontré eran extremadamente poco informativos.
1.DKIM
DKIM (DomainKeys Identified Mail) es un método de autenticación de correo electrónico basado en la autenticación firma digital. La clave pública se almacena en el registro TXT del dominio.¿Por qué es necesario?
Se requiere DKIM para servicios postales podría comprobar si el remitente es confiable o no. Aquellos. protege al destinatario de la carta de varias cartas fraudulentas (que se envían con una sustitución de la dirección del remitente).Configurar firma DKIM y registros DNS
Para hacer esto necesitamos crear un par de claves:Openssl genrsa -out private.pem 1024 //generar clave secreta longitud 1024
openssl rsa -pubout -in private.pem -out public.pem //obtiene la clave pública del secreto
O puede utilizar un servicio en línea, que desaconsejo encarecidamente.
Un ejemplo de entradas es
mail._domainkey.your.tld TXT "v=DKIM1; k=rsa; t=s; p=<публичный ключ>"
Dónde
correo - selector. Puedes especificar varios registros con diferentes selectores, donde cada registro tendrá su propia clave. Se utiliza cuando hay varios servidores involucrados. (cada servidor tiene su propia clave)
v - Versión DKIM, siempre toma el valor v=DKIM1. (argumento requerido)
k - tipo de clave, siempre k=rsa . (al menos en momento actual)
p - clave pública codificada en base64. (argumento requerido)
t - Banderas:
t=y - modo de prueba. Estos se distinguen de los que no están firmados y sólo son necesarios para realizar un seguimiento de los resultados.
t=s: significa que la entrada solo se usará para el dominio al que pertenece, no se recomienda si se usan subdominios.
posible:
h - algoritmo hash preferido, puede tomar valores h=sha1 y h=sha256
s - Tipo de servicio que utiliza DKIM. Acepta los valores s=email (correo electrónico) y s=* (todos los servicios) El valor predeterminado es "*".
; - separador.
También vale la pena registrar un registro ADSP, que le permite saber si la carta debe estar firmada o no.
_adsp._clavedominio.ejemplo.com. TXT "dkim=todos"
Puede haber tres valores:
all - Todas las cartas deben estar firmadas
descartable - No acepte cartas sin firma
desconocido - Desconocido (que es esencialmente lo mismo que sin entrada)
2. FPS
SPF (Sender Policy Framework) es una extensión del protocolo para enviar correo electrónico a través de SMTP. SPF se define en RFC 7208 (Wiki). Si en lenguaje sencillo, entonces SPF es un mecanismo para verificar la autenticidad de un mensaje verificando el servidor del remitente. En cuanto a mí, esta tecnología es útil junto con otras (DKIM y DMARC)
Configurar registros SPF
Un ejemplo de un registro SPF común es tu.tld. TXT "v=spf1 a mx ~todos"Aquí:
v=spf1 es la versión, siempre spf1
a - permite enviar cartas desde la dirección especificada en los registros A y/o AAAA del dominio del remitente
mx - permite enviar cartas desde la dirección especificada en el registro mx del dominio
(para a y mx puede especificar otro dominio, por ejemplo, si el valor es a:ejemplo.com , no se permitirá la entrada del dominio del remitente, sino ejemplo.com)
También puede agregar direcciones IP individuales usando ip4: e ip6:. Por ejemplo, ip4:1.1.1.1 ip6: 2001:0DB8:AA10:0001:0000:0000:0000:00FB. También incluye: (incluye: spf.example.com), que le permite conectar adicionalmente registros spf de otro dominio. Todo esto se puede combinar utilizando un espacio. Si solo necesita usar un registro de otro dominio sin agregarle nada, entonces es mejor usar la redirección: (redirect:spf.example.com)
-todos - significa qué pasará con las cartas que no cumplan con la política: "-" - rechazar, "+" - omitir, "~" - controles adicionales, "?" - neutral.
3.DMARC
Autenticación, informes y conformidad de mensajes basados en dominio (identificación de mensajes, informes y determinación de cumplimiento). nombre de dominio) o DMARC es ficha de datos, creado por un grupo de organizaciones, diseñado para reducir la cantidad de spam y phishing correos electrónicos, basado en la identificación dominios de correo remitente según las reglas y características especificadas en el servidor de correo del destinatario (Wiki). Es decir, el propio servidor de correo decide buen mensaje o malo (por ejemplo, según las políticas anteriores) y actúa de acuerdo con el registro DMARC.
Configurar registros DMARC
Una entrada típica se ve así: _dmarc.your.tld TXT "v=DMARC1; p=none; rua=mailto: [correo electrónico protegido]"No realiza ninguna acción más que preparar y presentar un informe.
Ahora más sobre etiquetas:
v - versión, toma el valor v=DMARC1 (parámetro requerido)
p - regla para el dominio. (Parámetro obligatorio) Puede tomar los valores ninguno, cuarentena y rechazar, donde
p=ninguno no hace más que generar informes
p=cuarentena agrega correo electrónico a SPAM
p=rechazar rechaza la carta
La etiqueta sp es responsable de los subdominios y toma los mismos valores que p
aspf y adkim permiten coincidencias de registros y pueden tomar los valores r y s, donde r es relajado, una verificación más suave que s es estricta.
pct es responsable del número de letras a filtrar, indicado como porcentaje, por ejemplo, pct=20 filtrará el 20% de las letras.
rua - le permite enviar informes diarios por correo electrónico, ejemplo: rua=mailto: [correo electrónico protegido], también puedes especificar varios correos electrónicos separados por un espacio (rua=mailto: [correo electrónico protegido] correo a: [correo electrónico protegido])
Informe de muestra
ruf: informes de cartas que no pasaron la verificación DMARC. Por lo demás todo es igual que arriba.
Epílogo
Aprendimos cómo configurar DKIM/SPF/DMARC y resistir la suplantación de identidad. Desafortunadamente, esto no garantiza la seguridad en caso de que un servidor sea pirateado o de que se envíen correos electrónicos a servidores que no admitan estas tecnologías. Afortunadamente, los servicios populares todavía los apoyan (y algunos son los iniciadores de estas políticas).Este artículo son solo instrucciones para configurar registros usted mismo, una especie de documentación. No hay ejemplos prefabricados intencionalmente, porque cada servidor es único y requiere su propia configuración.
Estaré encantado de recibir críticas y correcciones constructivas.
Fecha de modificación de la sección: 2013-05-09
Utilice la información de esta sección para determinar la mejor manera de administrar los registros y la configuración DNS, MX y SPF al configurar y utilizar el servicio Forefront Online Protection for Exchange (FOPE).
Registros DNS
Cuando se suscribe al servicio FOPE para verificación de dominio, se recomienda agregar un registro TXT a los registros DNS de su dominio o a la configuración de dominio de su ISP. Al agregar un registro TXT a la configuración del dominio de su ISP, tenga en cuenta que deberá comunicarse con su proveedor de DNS para crear y editar registros DNS.
Registros TXT
Un registro TXT o de texto consta de una cadena de texto arbitraria que se puede agregar a un host DNS. Este nodo puede tener varios registros TXT.
La activación del servicio FOPE para cualquier dominio solo es posible después de que se haya verificado el dominio. El método preferido para la verificación de dominios es agregar un registro TXT para cada dominio. El registro TXT se agrega al dominio durante el paso de verificación del dominio en el centro de administración de FOPE. Para obtener más información sobre cómo validar y habilitar un dominio, consulte Validar y habilitar dominios.
Publicaciones relacionadas con el correo electrónico
Para el correo electrónico, hay tres registros principales: registros de intercambiador de correo (MX), registros de puntero (PTR) y registros de remitente de políticas (TXT).
Registros MX (intercambio de correo)
Un registro MX indica a los sistemas de correo electrónico cómo procesar un mensaje de correo electrónico enviado a un dominio específico. En otras palabras, el registro de intercambio de correo electrónico le indica al servidor que envía el mensaje de correo electrónico dónde enviarlo. Para que el servicio FOPE funcione correctamente, el registro MX debe apuntar a mail.messaging.microsoft.com y no a una dirección IP. Esto garantiza que un mensaje de correo electrónico enviado al dominio de una organización se transmita a FOPE para su filtrado.
Si su organización tiene varios dominios que aceptan mensajes de correo electrónico, deberá cambiar el registro MX de cada dominio para el que desee filtrar el correo electrónico mediante el servicio FOPE.
Nota
Si los registros TXT no están disponibles para un dominio, ¿cómo método alternativo Las comprobaciones de dominio se pueden utilizar para actualizar el registro MX. Más información consulte Comprobación y habilitación de dominios.
Registros PTR (puntero)
PTR (Pointer Record) es un registro que se utiliza para búsqueda inversa en DNS. Este registro es lo opuesto al registro A y se utiliza en archivos de zona de búsqueda inversa para resolver una dirección IP (IP versión 4 o IP versión 6) en un nombre de host. Cuando se envía un mensaje de correo electrónico, el servidor final recibe la dirección IP del remitente y verifica registro PTR para verificar que la dirección IP es una dirección de dominio.
Registros SPF (Marco de políticas del remitente)
El marco de políticas del remitente es un registro que se utiliza para evitar la suplantación de correo electrónico. Con un único registro TXT, puede especificar todas las direcciones IP utilizadas para enviar correo y decirle al servidor receptor que solo se permiten los servidores salientes enumerados.
A continuación se muestra un registro TXT de ejemplo con definiciones para cada parte.
| Formato de registro TXT: “v=spf1 mx ip4: (las direcciones IP de todos los servidores utilizados para el envío) incluyen: spf.messaging.microsoft.com ~all” | |
|---|---|
| Versión de SPF utilizada. |
|
| Esta configuración especifica que se permite el envío desde cualquier servidor especificado en el registro MX. |
|
| Lista de direcciones IP de servidor permitidas (no es necesaria para servidores FOPE si la entrada SPF FOPE está habilitada y solo envía a través de FOPE). |
|
| Este parámetro enumera entradas adicionales, permitiendo el envío para el dominio. |
|
| Parámetro todo contiene tres claves: - : Acepte únicamente correos electrónicos de los remitentes enumerados anteriormente (exclusión voluntaria completa). ~ : No acepte correos electrónicos si el remitente no está en la lista especificada (rechazo suave, el mensaje será aceptado pero marcado como spam). ? : indica la presencia servidores adicionales, que puede enviar mensajes desde el dominio. |
|
Un registro TXT normal para el cliente que envía correo electrónico sólo a través del servicio FOPE, puede verse así: "v=spf1 include:spf.messaging.microsoft.com ip4:192.168.254.254 -all"
Más información sobre cómo utiliza el servicio FOPE Registros SPF, consulte la sección Recomendaciones para configurar FOPE, subelemento "Parámetros de grabación SPF".
