保护您的小型企业电子邮件服务器:从 DNSSEC 到 DMARC、DKIM 和 SPF
介绍
作为小企业主,保护您的电子邮件服务器应该是重中之重。 网络罪犯不断以电子邮件服务器为目标,以访问敏感信息、分发恶意软件或实施欺诈。 实施 DNSSEC、DM一种RC、DKIM 和 防晒指数 可以帮助您保护电子邮件服务器并保持业务通信的完整性。 在本文中,我们将探讨这些安全措施,并讨论可能导致误报 SPF 结果的直接邮件转发的陷阱。
- DNSSEC:域名系统安全扩展
DNSSEC 是一种基本的安全协议,可为域名系统 (DNS) 提供身份验证和完整性。 它确保您从 DNS 服务器收到的信息是真实且未更改的。 通过实施 DNSSEC,您可以保护您的电子邮件服务器免受 DNS 缓存中毒和其他基于 DNS 的攻击。
要启用 DNSSEC:
- 联系您的域注册商并要求他们为您的域启用 DNSSEC。
- 生成一个密钥对,由私钥和公钥组成。
- 为您的域创建 DS 记录并将其提交给您的域注册商。
- DM一种RC:基于域的消息身份验证、报告和一致性
DMARC 是一种电子邮件身份验证协议,有助于保护您的域免遭未经授权的使用,例如网络钓鱼和欺骗。 它的工作原理是验证发件人的域是否已发布 SPF 和 DKIM 记录,并指示接收服务器如何处理未经身份验证的电子邮件。
要实施 DMARC:
- 为您的域发布 SPF 记录。
- 为您的电子邮件服务器设置 DKIM 签名。
- 在您域的 DNS 设置中创建 DMARC 策略记录,指定执行级别和报告选项。
- DKIM:域名密钥识别邮件
DKIM 是一种电子邮件身份验证方法,它使用加密签名来验证电子邮件的真实性。 通过使用私钥签署外发电子邮件,您可以证明邮件是从您的域发送的,并且在传输过程中未被篡改。
要启用 DKIM:
- 为您的域生成 DKIM 密钥对。
- 将公钥作为 TXT 记录添加到您域的 DNS 记录中。
- 配置您的电子邮件服务器以使用私钥签署外发邮件。
- SPF:发件人策略框架
SPF 是一种电子邮件身份验证标准,允许域所有者指定授权哪些 IP 地址代表他们发送电子邮件。 这有助于防止您的域被用于垃圾邮件和网络钓鱼活动。
要实施 SPF:
- 在 DNS 设置中为您的域创建 SPF 记录,列出授权的 IP 地址。
- 配置您的电子邮件服务器以检查传入邮件的 SPF 记录并拒绝未经授权的发件人。
- 直接邮件转发和 SPF 误报的陷阱
直接邮件转发有时会导致 SPF 误报。 转发电子邮件时,会保留原始发件人的 IP 地址,从而使接收服务器检查原始发件人的 SPF 记录。 如果转发服务器的 IP 地址在原始发件人的 SPF 记录中未被授权,则电子邮件可能被标记为失败。
为避免此问题:
- 使用支持 SRS(发件人重写方案)的邮件转发服务重写返回路径,确保正确执行 SPF 检查。
- 如果您可以控制转发服务器的 IP 地址,请将其添加到原始发件人的 SPF 记录中。
结论
在当今的数字环境中,保护您的小型企业电子邮件服务器至关重要。 通过实施 DNSSEC、DMARC、DKIM 和 SPF,您可以显着提高电子邮件安全性并保护您的企业免受网络威胁。 谨慎转发直接邮件,并采取必要措施避免 SPF 误报。 采取这些措施后,您可以保护您的电子邮件通信并专注于发展您的业务。
在深入研究每个安全协议的实现之前,了解它们的语法是必不可少的。 下表提供了 DNSSEC、DMARC、DKIM 和 SPF 记录的示例语法。 请注意,这些只是示例,您应该将占位符替换为您的实际域、IP 地址和公钥。 此外,您可能需要根据需要调整 TTL(生存时间)值。 熟悉语法后,您就可以开始配置域的 DNS 记录以增强电子邮件服务器的安全性。
| 安全协议 | 示例语法 |
|---|---|
| DNSSEC | example.com。 86400 在 DS 12345 8 2 0234567890一种BCDEF1234567890一种BCDEF1234567890 |
| DMARC | _dmarc. 例如 .com。 86400 IN TXT“v=DM一种RC1;p=reject;export=mailto:reports@example.com” |
| DKIM | 选择器._domainkey.example.com。 86400 IN TXT“v=DKIM1;k=rsa;p=PUBLIC_KEY_HERE” |
| SPF | example.com。 86400 IN TXT“v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all” |
*请注意,这些是示例语法,您应将占位符替换为您的实际域、IP 地址和公钥。 您可能还需要根据需要调整 TTL(生存时间)值。
下表列出了各种 DNS 记录及其示例语法。 这些记录用于不同的目的,例如将您的域指向 Web 服务器、电子邮件服务器或验证域所有权。
| DNS 记录类型 | 示例语法 | 目的 |
|---|---|---|
| A | example.com。 86400 输入 192.0.2.1 | 将域映射到 IPv4 地址 |
| 一种一种一种一种 | example.com。 86400 在 一种一种一种一种 2001:0db8:85a3:0000:0000:8a2e:0370:7334 | 将域映射到 IPv6 地址 |
| 别名 | www.example.com. 86400 IN 别名 example.com。 | 为另一个域创建别名 |
| MX | example.com。 86400 IN MX 10 mail.example.com。 | 指定域的邮件服务器 |
| TXT | example.com。 86400 IN TXT“v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all” | 为各种目的存储基于文本的信息 |
| SRV | _sip._tcp.example.com。 86400 IN SRV 0 5 5060 sipserver.example.com。 | 提供有关可用服务的信息 |
| NS | example.com。 86400 IN NS ns1.example.com。 | 委派 DNS 区域使用特定名称服务器 |
| PTR | 1.2.0.192.in-addr.arpa。 86400 IN PTR example.com。 | 将 IP 地址映射到域(反向 DNS) |
| 面向服务架构 | example.com。 86400 在 面向服务架构 ns1.example.com 中。 hostmaster.example.com。 (串行、刷新、重试、过期、最小值) | 包含有关 DNS 区域的管理信息 |