婷Z
由於垃圾郵件、釣魚信件愈來愈多,現在許多主機空間商都開始Domainkey 與SPF的檢查,DomainKeys 和 SPF主要是設於DNS Server設定一個TXT指向,主要是用於收件端的Mail Server可以反向確認該信件是否於網址援權的郵件伺服器寄出。早期在Yahoo的信箱致力於防範垃圾信件打擾時,即有啟動SPF的檢查機制,近期於2021-2022間年陸續發現許多使用者寄信到Gmail也開始因SPF 的問題被退回(有關GMAIL對於SPF與Domainkey相關提醒請點我)
何謂DomainKey 、SPF、DMARC指向設定,用途為何?
●DomainKeys(全名:DomainKeys Identified Mail,縮寫DKIM):是一個郵件認證機制,於DNS Server上公開金鑰加密的基礎提供了數位簽章與身分驗證的功能(俗稱公鑰);而發送方會在電子郵件的標頭插入DKIM-Signature及電子簽名資訊(俗稱私鑰),讓收件者得以透過DNS(核對公鑰與私鑰)檢測寄件者、主旨、內文、附件等部份有否被偽冒或竄改。
●SPF(全名:Sender Policy Framework):亦為一個郵認證機制,可以確認電子郵件確實是由網域授權的郵件伺服器寄出,防止有人偽冒身分寄出釣魚垃圾信件,收方則透過DNS查詢得到IP訊息進行驗證。
●DMARC(全名:Domain-based Message Authentication, Reporting & Conformance):此為寄件者
針對當寄出的信件遇到(收件端)SPF與DKIM設定檢查不過時,針對該信件的處理方式:拒絕收信或標註垃圾信,而收信者會針對收到寄件方信件的處理狀況Mail到指向裡的信箱。
P.S.DMARC需要收信端有啟用DMARC政策,則作DMARC的指向設定才是有用的,
DomainKey 、SPF、DMARC於郵件伺服器運作的流程
收件方的郵件伺器收到信件時(信件裡會有DKIM-寄件方郵件伺服器的私鑰),開始如下的篩選流程:
①收件方的郵件伺服器透過DNS Server上的SPF指向:驗證寄件伺服器的 IP 位址是否正確。
②收件方的郵件伺服器透過DNS Server上的DKIM指向:下載 DKIM 公鑰並與信件裡的私鑰相互驗證結果是否相符。
③承①&②驗證過後,若有不符的狀況,依據寄件方DMARC的政策來決定該信件該如何處理並通知寄件方。
DomainKey、SPF、DMARC於DNS Server裡設定注意事項
①DomainKey、SPF、DMARC均是在DNS Server作TXT指向(TXT指向是DNS Server用來敘述、表達使用的指向),TXT指向說明詳情請點我。
②承①指向需要於〝目前在使用的DNS Server〞上設定,有關何謂DNS Server、該去哪裡設定的說明,請點我,常見使用者因沒有確認好目前在使用的DNS Server位置,會繞好一大圈才確認、設定好。
※DNS、WEB、MAIL、FTP都是分開做設定指向;DNS設定在A家主機;而WEB設定在C家主機;MAIL設定在B家主機…,DNS、WEB、MAIL、FTP都是可以在不同家(主機),當然設定在同一主機上是最方便的,不論如何分家,要操作任何的設定指向都是要至DNS主機上操作。有關DNS設定指向可參考DNS使用與指向
③其中:DomainKeys(DKIM)與SPF指向均為主機空間的訊息,常見與主機控制台上可以取得,如下方提供如何cPanel控制台上取得訊息。
④DMARC也是於DNS Server作指向,但該訊息是網域擁有者對於信件的主觀處置,故此非與主機空間商確認
比如:您向動物園主機商(動物園主機商微開箱請點我)購買虛擬主機,
●非使用動物園主機商提供的DNS Server的2組nameserver(比如:網址商提供的DNS Server,則DomainKey、SPF、DMARC的設定需要到目前使用的DNS Server上設定。
●若您是使用動物園主機商的Mail Server,則DomainKey、SPF即需要參考動物園主機商提供cPanel控制台上的設定,再至目前的DNS Server上設定;同理若您是使用其他家的Mail Server,則SPF與 DKIM需要參考Gmail提供的訊息。
DNS Server上DMARC如何指向設定(以WPOKI官網來舉例)
①指向設定如下(詳情亦可以參考Google對於DMARC教學說明):
_dmarc.wpoki.com
TXT指向
v=DMARC1; p=none; rua=mailto:admin@wpoki.com, mailto:admin2@wpoke.com; pct=100; adkim=s; aspf=s
②上述藍色字可換成自已的網址與mail。
上述紅色字為當不符合SPF與DKIM時的處理方式,可設定的處理方式種類如下:
●none:驗證失敗,信件仍接收
●reject:驗證失敗,拒絕連線,信件退回
●quarantine:驗證失敗,信件接收歸垃圾信
如何於cPanel上查看SPF與 DKIM的設定訊息
若您是使用cPanel控制台(cPanel是什麼請點我)的主機空間,如下引導如何查看主機上的DKIM與SPF的設定訊息。
●狀況1:當您的DNS Server就是使用主機空間商提供的DNS Server,下方的教學可以直接啟用SPF與DKIM(一般現在的主機空間商都會啟用,所以就作下驗證。)
①登入cPanel,點選Email Deliverability
②查看到status是顯示valid其實優先可以確認驗證部分是有通過的,這樣您的SPF和DKIM 是有正常運作的,您可以放心和忽略以下其他細節,但如果您看到的不是VALID? 您可以按右邊的Repair去修理他。
Repair完畢後,您的狀態如果再次出現VALID,那就是已經完成cpanel 開啟SPF和DKIM的設定了喔!
==================================================================
●狀況2:如果您DNS主機和MAIL主機沒有在一樣的地方,您可以透過以下方法去找到您SPF和DKIM的數值,然後拿到DNS主機那邊去設定。
先按下面圖片的”管理”
您就會看到您SPF 和DKIM 需要設定的數值 請您拿這些數值到給您DNS主機商去設定即可完成您的CPANEL 開啟 SPF和DKIM的功能
設定完成後,通常也是需要解析時間,均值24-48小時
結論
DomainKeys(DKIM)與SPF的cPanel 開啟檢查只是Mail Server過濾機制的〝基本〞一環,其也還有敏感字、特殊超連結、夾帶檔格式…等,故此教學承標題所述,是一個減少被擋信、被過濾的方式,許多人會以為設定後,信件就萬無一掉了,然而後面仍有許多檢查的關卡,畢竟信件是由機器在過濾的,需要有許多的規則才能滿足大多數人的需求。所以在撰寫郵件上仍建議愈簡單明瞭愈好。
順帶一提,Mail Server的過濾機制會一直隨著收集到的訊息一直變換,不變的規則就易被攢漏洞,故此。
延伸閱讀,您也可以參考cPanel 官方教學設定SPF和DKIM
如果您剛好是DNS主機在A地但MAIL主機B地,那您會好奇如何在DNS主機下的cPanel 設定各項SPF和DKIM 的DNS紀錄嗎? 您可以參考 CPANEL控制台裡怎麼操作設定DNS? 詳細圖文帶你做!
文章來源 : https://wpoki.com
這個現在幾乎個個網頁空間必備的EMAIL設定,主要確保GMAIL能夠正確收到您虛擬主機上發出的企業信箱喔