Listino Supporto Partner Contatti

RDNS, SPF, DKIM il server è correttamente configurato?

Alessandro Davanzo   12 marzo 2015

Col passare del tempo e il costante aumento dello SPAM, sempre più sistemi di posta implementano nuove politiche di sicurezza e, se prima le nostre mail arrivavano senza problemi,  adesso qualche problema lo abbiamo … o si finisce nella cartella SPAM o si finisce per essere bloccati …

Come comportarsi per evitare ciò?
Fondamentalmente quello che attualmente serve e servirà per il futuro sono 3 impostazioni…

  1. RDNS ovvero il Reverse DNS Lookup dell’indirizzo IP con il quele spediamo le mail.
  2. SPF Sender Policy Framework. Identifica quali sono gli IP abilitati a spedire per il nostro dominio
  3. DKIM DomainKeys Identified Mail, una chiave pubblica che certifica la mail

Andiamo nel dettaglio di queste 3 impostazioni.

1 – RDNS
Innanzi tutto occorre avere il server configurato in modo corretto per inviare le mail, quello che in Kerio® Connect viene chiamato “Internet Hostname” e che in SmarterMail  è semplicemente il nome host del server. Questo nome deve avere una corrispondenza nel DNS del server pubblico.
Prendiamo ad esempio il nostro dominio servizioemail.it
il nostro server di posta ha come hostname: “mail.servizioemail.it”
abbiamo pertanto creato un record A: mail.servizioemail.it che punta al nostro indirizzo IP pubblico:
85.159.144.170, a questo punto ci serve avere il corrispettivo RDNS, facendo un ping –a del nostro indirizzo IP pubblico dobbiamo avere come risposta mail.servizioemail.it, questa configurazione la deve fare l’operatore della nostra linea, che sia una server farm, o una semplice ADSL di un qualsiasi operatore.

C:\>ping -a 85.159.144.170
Esecuzione di Ping mail.servizioemail.it [85.159.144.170] con 32 byte di dati:

Una volta recuperato anche l’RDNS che risponde in modo corretto, il nostro server Kerio® Connect o SmarterMail sarà configurato nel modo giusto. Questo è il primo step per non finire il BlackList, ci sono infatti molte BlackList basate sull’impostazione dell’RDNS configurato in modo corretto.

Questa configurazione si fa 1 volta solo per server di posta, indipendentemente dalla quantità dei domini che vengono creati su di esso.
Le prossime configurazioni invece vanno fatte per ogni dominio di posta.

2 – SPF
L’SPF è una configurazione che si fa solamente lato DNS, dovremo pertanto creare un “semplice” record di testo, comunemente chiamato TXT.
Il nome del record dovrà essere il nome del dominio, o @ in base alla propria gestione DNS.
e come valore dovremo inserire: v=spf1 ip4: ~all
il nostro record sarà quindi:

name: servizioemail.it
TXT: v=spf1 ip4: 85.159.144.170/32 ~all
TTL: 3600

Nel caso abbiate più indirizzi IP con il quale il server di posta può uscire, ad esempio lo avete dietro 2 linee internet dove una è usata come linea di backup, oppure avete un secondo server di posta che invia mail a nome del vostro dominio, come può essere un servizio di hosting del sito web presso un provider… non ci sono problemi, potete infatti inserire più indirizzi IP abilitati a spedire a nome del vostro dominio, come potete vedere nel’esempio qui sotto i server di posta abilitati a spedire sono 3:

v=spf1 ip4:85.159.144.215/32 ip4:151.1.252.10/32 ip4:85.159.144.170/32 ~all


con il quale potrete verificare la corretta costruzione del vostro record SPF e  verificare che sia stato propagato in modo corretto.
Questa configurazione come detto in precedenza va fatta per ogni dominio che ospitate sul vostro server di posta, per evitare però di dover continuare a fare modifiche in caso di cambi IP etc, i record SPF consentono di includerne altri, potete quindi andare a creare un record SPF per i vostri clienti che includano il vostro record SPF in modo da non continuare a riconfigurarlo.

Ecco un esempio:

v=spf1 include:servizioemail.it ?all

 

3 – DKIM
Passiamo alla parte più difficile delle nostre configurazioni.
Sia il Kerio® Connect che lo SmarterMail possono inserire una firma digitale, se tutto sarà configurato in modo corretto, troveremo infatti nel l’header delle nostro mail questa dicitura:

DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple;


seguita da una chiave pubblica che abbiamo inserito nel nostro record DNS.
Anche per la DKIM dovremo andare a creare un record DNS di tipo TXT.
Di base la maggior parte dei server DNS richiedono che la firma DKIM sia cifrata a 1028 in quanto a 2048 risulterebbe troppo lunga e non si riuscirebbe ad inserirla tutta nel campo creando così un errore poi in fase di validazione.
Il Kerio di default esce con una firma DKIM a 2048, bisogna pertanto andare sul sito:
http://www.port25.com/support/domainkeysdkim-wizard/
e farci generare una nuova chiave privata da sostituire all’attuale presente nel Kerio® Connect.
dkim1024

 

In modo molto semplice, come Domain Name andremo ad inserire il nome del dominio, nel nostro caso
CoreTech.it E come DomainKey Selector SEMPRE mail
Avremo come risultato la creazione di 2 chiavi: una pubblica e una privata.
Copiamo quella privata comprensiva di:

—–BEGIN RSA PRIVATE KEY—–
e
—–END RSA PRIVATE KEY—–

Nel Kerio® Connect, dentro la cartella di installazione, troveremo la cartella SSLCERT\DKIM
al suo interno un file private.key, rinominiamolo in .old e creiamo un nuovo file private.key inserendo la chiave privata precedentemente generata, riavviamo il servizio del Kerio® Connect e avremo ora la possibilità di generare la chiave a 1024.

La chiave pubblica sarà poi la stessa per tutti i domini, presenti sul Kerio® Connect, cambierà ovviamente il nome del record che andremo a creare sui vari domini.
Il nostro record che andremo a creare sarà quindi:

name: mail._domainkey.coretech.it
TXT: v=DKIM1;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCcIXzw/uitL+yvjv/V4yCOeYH3FKxcncLv8Ywm7eAtr2pwFuHPoYlFaJ5lW9I95tvA7iL3W5wYU1/5JwUJ/iqPK0lz2AwiqQADfru+2w4kctV72bsb1uaPhGSTgFJhK2UCCjIYIQQTuyKacHgtdmEAOnp6VRuvITwOJQ1MBMP7iwIDAQAB

Come detto il valore del campo TXT sarò lo stesso per tutti di domini presenti sul nostro Kerio® Connect, mentre il nome del record cambierà in quanto andrà inserito per ogni domini con il nome del dominio corretto.
Anche per la DKIM potete verificare che questa sia creata in modo corretto da questo sito:
http://dkimcore.org/tools/keycheck.html

tag

banner

Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft
Non ci sono post pubblici al momento
{-tag-}