• Spf=softfail как настроить?

    McHaber
    @McHaber
    sysadmin
    astill33, а исходящие письма вашего сервера подписываются DKIM ? Если нет, установите OpenDKIM на Linux, и получите емайл аутентикацию через DKIM.

    При авто-форварде DKIM валидация домена отправителя, в отличие от SPF валидации, проходит.

    Я правильно понял ? Перенаправляются письма посланые вашим сервером ? Или перенаправляет ваш сервер чужие полученые письма ?
    Ответ написан
  • Как правильно настроить DMARC?

    McHaber
    @McHaber
    sysadmin
    Богдан Герасименко если интересно, вот сравнительно полный список сервисов по обработке DMARC отчетов
    https://np.reddit.com/r/sysadmin/comments/dcjz4i/d...
    Ответ написан
    Комментировать
  • Mailchimp заменяет нашу записью DKIM Domain и запись DMARC становится не валидна. Это можно исправить?

    McHaber
    @McHaber
    sysadmin
    Олексій Ануров-Приходько , Настройте DKIM-аутентикацию, чтобы пройти проверку DMARC
    вот инструкция -> https://mailchimp.com/help/set-up-email-domain-aut...

    SPF записть трогать не надо! Mailchimp не поддерживает SPF аутентикацию ибо использует адрес своего (а не пользовательского) домена в поле return-path (bounce) адрес

    From : Анастасія, Galantpol < anastasiapakhomova@galantpol.ua >
    Bounce address : bounce-mc.us8_29244863.5360794-__test_email__@mail254.sea51.mcsv.net
    Ответ написан
    1 комментарий
  • Почему на ГРУППУ в G Suite groupe@domain.ru не проходит почта с Яндекса?

    McHaber
    @McHaber
    sysadmin
    santa0
    На ОТДЕЛЬНЫЙ ЯЩИК user@domain.ru (НЕ ГРУППУ) ПРОХОДИТ без проблем, в том числе и с Яндекса

    можно посмотреть на header полученного письма ?

    Настроены DKIM, DMARC и SPF
    какая политика DMARC стоит ? В случае "reject" Google Groups меняет Header From адрес пересылаемого письма оригинального на адрес Google группы
    Ответ написан
  • Как сделать email-рассылку 1000 пользователям и не попасть в спам?

    McHaber
    @McHaber
    sysadmin
    чтобы не попасть в спам (кроме уже упомянутых технических предпосылок - SPF, DKIM, DMARC, PTR, A, MX), надо работать над контекстом письма.
    Есть отличный сервис (платный) на предмет проверки доставки почты (инбокс, спам, недоставлено) - https://glockapps.com, Белорусского производства. Сам пользуюсь уже года 3, достойной альтернативы в приемлемом ценовом диапазоне не встречал.

    а насчет выбора системы рассылки, есть большое количество (с вашим об'емом можно даже в бесплатный тариф уложиться) - Mailchimp, Sendinblue, SendGrid, Pepipost, Mailgun, MailJet, Elastic
    Ответ написан
    Комментировать
  • Почему почтовые службы не обрабатывают DMARC?

    McHaber
    @McHaber
    sysadmin
    Политика "reject" применяется только к письмам которые не проходят проверку и SPF и DKIM.
    То есть, DMARC= fail IF (SPF=fail AND DKIM=fail).

    В случае (SPF=pass AND DKIM=pass) или (SPF=fail AND DKIM=pass) письмо считается "authenticated" (DMARC=pass) и, соответственно, не будет отклонено принимающим сервером.

    Вот наиболее удачная диаграмма из всех которые я встречал:
    5e1b4a4e73d71485021444.png

    Единственное исключение - это почтовые сервисы от Microsoft (Hotmail / Outlook / Office365). Входящие письма которые попадают под политику "reject", не отклоняются а помещаются в папку "Junk".
    Подробнее тут:
    https://docs.microsoft.com/en-us/microsoft-365/sec...
    Ответ написан
    2 комментария
  • Для чего нужен DMARC?

    McHaber
    @McHaber
    sysadmin
    vldm, DMARC позволяет:
    - получать ежедневные статистические отчеты (в формате XML) по письмам, отправляемым от имени домена
    - на основе данных из этих отчетов определить все источники писем (mail sources)
    - узнать о наличии / отсутствии / корректности настроек SPF и DKIM писем (messages authentication), посылаемых с этих источников, чтобы, в случае обнаружения проблемы, добавить (где возможно) или исправить SPF и DKIM
    - применить политику "reject", для запрета доставки писем, не прошедших аутентификацию (failed SPF + failed DKIM)

    Так что это есть защита, конечно не на 100% идеальная, так как есть различные нюансы, и естественно, она требует от администратора почтовой инфраструктуры соответствующих ресурсов для начального внедрения, перехода на "reject", и дальнейшего (постоянного) мониторинга отчетов.

    Со временем для рассылок с домена возможно будут использованы новые источники писем, о которых администратор почтовой инфраструктуры может и не знать, например в больших компаниях, отдел продаж начнет посылать письма из нового CRM-а. И если администратор, после внедрения DMARC, продолжает мониторить сводные DMARC отчеты, он будет осведомлен о новом источнике писем на следующий же день.

    Для обычного пользователя анализ сводных DMARC отчетов (сырой XML) вручную задача не из легких, особенно если речь идет домене с десятком и более тысяч отправляемых писем в месяц.

    Есть достаточное количество профессиональных коммерческих SaaS решений, которые парсят XML DMARC отчеты и, после дополнительной обработки, показывают данные в пригодном для просмотра и анализа виде.
    Кроме этого у них также имеется у другой полезный функционал, например оптимизация / уплотнение SPF, оповещения при срабатывании преднастроенных событий, таких как:
    - изменение SPF или MX записи в DNS
    - превышение объема писем (DMARC non-compliant или DMARC compliant или всех) за определенный период времени

    Многие из коммерческих систем имеют также бесплатные пакеты для доменов с небольшим (например до 10,000 писем в месяц) объемом исходящих писем.

    Я активно использую платформу EasyDMARC. Кстати имеется также и Русская версия сайта.
    Ответ написан
    Комментировать
  • Как правильно настроить dkim и spf записи?

    McHaber
    @McHaber
    sysadmin
    Дмитрий Айткулов, диагностика домена на SPF, DKIM и DMARC ->
    https://easydmarc.com/tools/domain-diagnosis
    Ответ написан
    Комментировать
  • Несколько SPF записей, как корректно записать?

    McHaber
    @McHaber
    sysadmin
    paulvales,
    1. перед тем как опубликовать объединенную SPF запись в DNS зоне можете проверить ее корректность воспользовавшись следующей ссылкой:
    https://easydmarc.com/tools/spf-record-raw-check-v...

    2. чтобы убедиться что у вас в DNS нет множественных SPF записей (что может привести к ошибке валидации SPF), диагностируйте ваш домен по этой ссылке
    https://easydmarc.com/tools/spf
    Ответ написан
    Комментировать
  • DMARC. Внедрять или не внедрять?

    McHaber
    @McHaber
    sysadmin
    Александр Черных, Внедрять DMARC с политикой reject абсолютно необходимо если вы не хотите стать жертвой спуфинга и фишинга.
    До того как перейти на политику reject, необходимо некоторое время (месяц как минимум) побыть с политикой none, чтобы собрать достаточное количество сводных DMARC отчетов для анализа.

    Анализировать сводные DMARC отчеты (они в формате XML) в сыром виде практически невозможно (по крайней мере для обычного пользователя).
    Для этого существует много инструментов - от простого Add-on для Хрома до вполне серьезных SaaS систем с дополнительным полезным функционалом.

    Я лично пользуюсь решением EasyDMARC, и вам рекомендую попробовать.
    Ответ написан
    Комментировать
  • Как правильно прописать spf?

    McHaber
    @McHaber
    sysadmin
    Евгений Матвеев, для проверки корректности синтаксиса SPF записи (включая также и ограничение на 10 DNS запросов), перед ее публикацией в DNS зоне, можно воспользоваться следующим инструментом:

    https://easydmarc.com/tools/spf-record-raw-check-v...
    Ответ написан
    Комментировать
  • Как прописать DMARC для динамических поддоменов в TXT-запись?

    McHaber
    @McHaber
    sysadmin
    ice_jd, DMARC запись головного домена наследуется на все поддомены.

    примеры:
    1. v=DMARC1; p=reject; etc...
    все поддомены получают политику reject

    2. v=DMARC1; p=reject; sp=none
    все поддомены получают политику none

    DMARC запись можете проверить по этой ссылке
    https://easydmarc.com/tools/dmarc/
    Ответ написан
    Комментировать