serwer poczty elektronicznej

Jak poprawnie skonfigurować SPF, DKIM i DMARC w Plesk?

W tym przewodniku pokażę ci krok po kroku, jak SPF DKIM i DMARC w Plesk, aby Twoje e-maile były niezawodnie uwierzytelniane. Otrzymasz jasne procedury dotyczące wpisów DNS, przełączników Plesk i metod testowych, dzięki którym możesz zwiększyć dostarczalność i zablokować nieuczciwych nadawców.

Punkty centralne

SPF określa, które systemy są autoryzowane do wysyłania wiadomości e-mail dla danej domeny.
DKIM podpisuje wiadomości wychodzące i chroni przed manipulacją.
DMARC łączy SPF/DKIM z wytycznymi i raportami.
Plesk udostępnia kreatory i szablony DNS umożliwiające szybki start.
Monitoring raportów DMARC wyostrza działającą politykę.

Sprawdź wymagania wstępne w Plesk

Zanim wprowadzę jakiekolwiek ustawienia, sprawdzam serwer pocztowy używany w aplikacji Plesk i zarządzanie DNS. W systemie Linux zazwyczaj pracuję z Postfix, w systemie Windows z SmarterMail, ponieważ usługi te zapewniają funkcje SPF, DKIM i DMARC. Sprawdzam również, czy domena ma swoje strefy DNS w Plesk DNS lub u zewnętrznego dostawcy, ponieważ mogę wtedy zarządzać wpisami poza Plesk DNS. Plesk muszą zostać dodane. Aby zapewnić płynne działanie, utrzymuję nazwę hosta, odwrotny DNS i ważne certyfikaty TLS w czystości, ponieważ serwery dostarczające sprawdzają te punkty. Czysty punkt startowy oszczędza później dużo czasu i wzmacnia działanie usługi. Reputacja.

Konfiguracja SPF w Plesk - krok po kroku

Aby rozpocząć, otwieram "Narzędzia i ustawienia" → "Ustawienia DNS" i wyszukuję rekord TXT, który zaczyna się od v=spf1 zaczyna się. Jeśli go brakuje, zakładam go na przykład: v=spf1 a mx include:yourmailprovider.de -allaby autoryzowane systemy mogły wysyłać, a wszystkie inne były blokowane. Jeśli domena korzysta z dodatkowych nadawców, takich jak Microsoft 365, Google Workspace lub usługi biuletynów, dodaję odpowiednie ustawienia. zawierać-mechanizmy z ich dokumentacji. Po zapisaniu, odczekuję do 48 godzin, aby zmiana zaczęła obowiązywać globalnie i testuję rekord za pomocą narzędzia sprawdzającego SPF, wysyłając testową wiadomość e-mail do wybranej skrzynki pocztowej. Kompaktową klasyfikację interakcji mechanizmów można znaleźć na stronie kompaktowy przewodnikktóry wyjaśnia najważniejsze scenariusze.

Aktywuj DKIM w Plesk - w ten sposób postępujesz

Dla DKIM Przechodzę do "Narzędzia i ustawienia" → "Ustawienia serwera poczty" i aktywuję opcję podpisywania wychodzących wiadomości e-mail. Następnie otwieram "Witryny i domeny" na poziomie domeny → Domena → "Poczta" → "Ustawienia" i sprawdzam, czy podpisywanie jest włączone dla każdej domeny. Jeśli zarządzam DNS zewnętrznie, eksportuję dane z Plesk wygenerowane klucze publiczne DKIM i wprowadzić je jako rekordy TXT u dostawcy DNS (należy zwrócić uwagę na nazwę selektora). Po maksymalnie 24-48 godzinach odbiorcy powinni zweryfikować podpisy DKIM, co potwierdzam wysyłając wiadomość testową do skrzynki pocztowej sprawdzającej DKIM lub sprawdzając nagłówek. Prawidłowy podpis wzmacnia Dostarczalność zauważalne.

Definiowanie polityki DMARC i korzystanie z raportów

Teraz ustawiłem DMARC jako rekord TXT na _dmarc.yourdomain.tld z wartością v=DMARC1; p=kwarantanna; rua=mailto:[email protected]; ruf=mailto:[email protected]; adkim=s; aspf=s. Znaczniki p, rua oraz połączenie polityka kontroli i raportowanie, podczas gdy adkim/aspf zdefiniować ścisłe wyrównanie (ścisłe). W praktyce często zaczynam od p=brakoceniać raporty przez dwa do czterech tygodni, a następnie sporządzać kwarantanna lub Odrzucić . Raporty pokazują, które systemy wysyłają wiadomości e-mail w Twoim imieniu i gdzie SPF lub DKIM zawodzą, co umożliwia bezpośrednie wprowadzanie poprawek. Bardziej szczegółowa sekwencja kroków opisuje następujące kroki Wdrożenie DMARC z konkretnymi przykładami.

Propagacja DNS, testy i najlepsze praktyki

Każda zmiana DNS wymaga czasu, więc planuję do 48 godzin na globalne zmiany DNS. Propagacja na. W tej fazie wysyłam testowe wiadomości e-mail do zewnętrznych skrzynek pocztowych i sprawdzam wyniki uwierzytelniania w nagłówku dla spf=pass, dkim=pass oraz dmarc=pass. Jeśli wiadomość otrzyma softfail lub NeutralnySprawdzam mechanizmy SPF, selektory DKIM i envelope-from (ścieżkę zwrotną) pod kątem zgodności z From:. Podczas korzystania z przekierowań monitoruję wyniki DMARC, ponieważ SPF często się tam łamie; DKIM zwykle to kompensuje. Unikam ~all na stałe, a w przypadku wydajnych konfiguracji konsekwentnie polegać na -wszystkie.

Tagi i wartości DMARC - kompaktowa tabela

Używam następującego przeglądu, aby DMARC szybko i niezawodnie oraz aby uniknąć błędnych interpretacji. Utrzymuję spójne wartości w domenie głównej i subdomenach oraz dokumentuję zmiany w możliwy do prześledzenia sposób. W przypadku domen produktywnych ustawiam ścisłe wyrównanie i zawsze aktywuję raporty zbiorcze. Raporty kryminalistyczne (połączenie) Planuję zgodnie z przepisami o ochronie danych osobowych. Ustalenie jasnych wytycznych stabilizuje Reputacja domeny w sposób zrównoważony.

Dzień	Znaczenie	Możliwe wartości	Zalecenie
p	Polityka dla domeny głównej	brak, kwarantanna, odrzucenie	Zacznij od braku, a następnie zwiększ do odrzucenia
sp	Zasady dla subdomen	brak, kwarantanna, odrzucenie	sp=odrzuć dla konfiguracji produktywnych
rua	Raporty zbiorcze	mailto:adresse	Użyj własnego adresu raportowania
połączenie	Raporty kryminalistyczne	mailto:adresse	Aktywuj tylko w razie potrzeby
adkim	Wyrównanie DKIM	r (zrelaksowany), s (ścisły)	adkim=s dla wyraźnego przypisania
aspf	Wyrównanie SPF	r (zrelaksowany), s (ścisły)	aspf=s dla mniejszej liczby fałszywych alarmów
pct	Procent aplikacji	0-100	Zaostrzenie krok po kroku z pct

Integracja zewnętrznych nadawców: Microsoft 365, Google, usługi newslettera

Jeśli domena korzysta z dodatkowych ścieżek wysyłki, dodaję SPF dla Microsoft 365, Google Workspace, Mailgun, SendGrid lub narzędzia do newsletterów dokładnie tak, jak jest to udokumentowane. Dla każdej usługi sprawdzam, czy aktywny jest osobny klucz DKIM i czy domena from jest rzeczywiście podpisana. Unikam duplikatów lub zbyt wielu zawierać-kaskady, ponieważ SPF jest ograniczony do dziesięciu wyszukiwań DNS. Jeśli budżet na wyszukiwania nie jest wystarczający, konsoliduję nadawców lub przenoszę poszczególne strumienie do subdomen z własną polityką DMARC. W ten sposób utrzymuję SPF na niskim poziomie i zabezpieczam Podpisy od.

Szczegółowe kontrole i wybór serwera

Dla wiadomości przychodzących aktywuję w Plesk sprawdzanie SPF, DKIM i DMARC, aby serwer filtrował spam na wczesnym etapie. W systemie Linux kontrole te są dostępne domyślnie, podczas gdy w systemie Windows są one implementowane za pomocą SmarterMail. Upewniam się, że serwer pocztowy jest odpowiednio aktualizowany, aby procedury podpisów i parsery były aktualne. Jeśli występują problemy z fałszywymi alarmami, dostosowuję progi punktacji, ale nigdy nie zmieniam wartości domyślnej. Polityka własnej domeny. W ten sposób utrzymuję wysoki poziom ochrony i zapewniam dostawę od legalnych nadawców.

Typowe błędy i szybkie rozwiązania

Spotkania "SPF permerror", zwykle występuje błąd składni lub limit wyszukiwania został przekroczony. Jeśli DKIM nie powiedzie się, sprawdzam selektor, rekord klucza publicznego i zakończenie wartości TXT poprawnymi cudzysłowami. Jeśli DMARC nie powiedzie się zawieśćNajpierw sprawdzam wyrównanie: From-Domain, Return-Path i DKIM-d= muszą być idealnie dopasowane. Jeśli SPF nie działa z przekierowaniami, polegam na DKIM i utrzymywać stabilny status podpisu. Używam tej sekwencji, aby rozwiązać większość problemów z dostawą bez długich poszukiwań.

Szablony DNS i automatyzacja w Plesk

Jeśli zarządzam wieloma domenami, ustawiam opcję Szablon DNS w Plesk i przechowywać tam standardowe rekordy dla SPF, DKIM i DMARC. Nowe domeny natychmiast otrzymują solidne ustawienia domyślne, które muszę tylko dostosować. Wdrażam również planowane zmiany, takie jak bardziej rygorystyczne DMARC w całej domenie, używając szablonów i skryptów. W przypadku rotacji kluczy DKIM pracuję z dwoma selektorami, dzięki czemu mogę wprowadzać stopniowe zmiany. Dzięki temu operacja jest spójna w dziesiątkach domen i możliwy do utrzymania.

Ocena raportów DMARC i zaostrzenie polityki

Po uruchomieniu codziennie analizuję zagregowane raporty i określam Źródłaktóre wysyłają w imieniu domeny bez autoryzacji. Blokuję nieoczekiwane adresy IP i czyszczę przestarzałe narzędzia, zanim zaostrzę politykę. Zmiana z p=brak na stronie kwarantanna a później Odrzucić Wykonuję z pct etapami, dzięki czemu mogę mierzyć efekty w kontrolowany sposób. Jeśli w nieudanym raporcie pojawią się legalni nadawcy, poprawiam SPF lub aktywuję własny klucz DKIM. Ta rutynowa procedura wzmacnia Reputacja i ogranicza spoofing.

Prawidłowe zrozumienie wyrównania

Tak więc DMARC Konsekwentnie zapewniam prawidłowe wyrównanie. Z SPF to domena w kopercie od (ścieżka zwrotna) lub tożsamość HELO/EHLO, która musi być zgodna z widoczną domeną od (ścisła: identyczna, zrelaksowana: ta sama domena organizacji). Z DKIM Sprawdzam d=-Atrybut podpisu: Musi wskazywać na tę samą domenę (ścisłe) lub na tę samą domenę organizacyjną (zrelaksowane). W praktyce upewniam się, że:

użyta ścieżka odesłania (ścieżka zwrotna) wykorzystuje domenę, która pasuje do domeny from lub jest celowo outsourcowana do subdomeny z własną polityką DMARC,
wszyscy dostawcy zewnętrzni domena From znak (DKIM), a nie tylko własną domenę wysyłkową,
podpis DKIM pozostaje nienaruszony podczas przekazywania, aby zrekompensować przerwy SPF.

Jeśli brakuje wyrównania, odbiorniki DMARC zgłaszają błąd pomimo prawidłowego SPF/DKIM. dmarc=fail. Dlatego sprawdzam pola w nagłówkach wiadomości e-mail Wyniki uwierzytelniania, Ścieżka powrotu i parametry DKIM. Pozwala mi to szybko rozpoznać, czy SPF lub DKIM zapewnia wyrównanie i gdzie muszę wprowadzić ulepszenia.

Zarządzanie kluczami i parametry DNS

Dla solidnych DKIM-użyłem kluczy 2048-bitowych. W Plesk Mogę ustawić długość klucza na domenę; szybko włączam starsze klucze 1024-bitowe. W razie potrzeby dzielę długie rekordy DKIM TXT na kilka segmentów z cudzysłowem, aby serwer DNS dostarczał je poprawnie. Definiuję również znaczące TTL-wartości: W fazach rollout przechodzę do 300-900 sekund, produktywnie używam 1-4 godzin. Pozwala mi to elastycznie reagować na zmiany bez przeciążania pamięci podręcznej.

Die Rotacja Robię to bezbłędnie z dwoma selektorami:

Utwórz nowy selektor w Plesk i opublikuj klucz publiczny jako TXT w DNS.
Zmień nadawcę na nowy selektor i obserwuj monitorowanie (pokaż nagłówki) s=nowy selektor).
Po przekonwertowaniu wszystkich przepływów usuń stary selektor w DNS i dezaktywuj go w Plesk.

W miarę możliwości korzystam z usług zewnętrznych dostawców, delegowany Rekordy DKIM (np. CNAME do selektora dostawcy). Pozwala mi to zachować kontrolę w mojej strefie i rotować klucze bez ryzyka przerw operacyjnych.

Przypadki specjalne: Przekazywanie, listy mailingowe i bramki

W rzeczywistych środowiskach regularnie widzę przekierowania, listy mailingowe lub bramki bezpieczeństwa, które przepisują wiadomości e-mail. Zwracam tutaj szczególną uwagę na efekty:

PrzekazywanieSPF często się psuje, ponieważ adres IP przekierowania nie znajduje się w SPF domeny nadawcy. Polegam tutaj na DKIMktóry zapewnia ochronę treści. Jeśli podpis pozostaje niezmieniony, DMARC istnieje poprzez wyrównanie DKIM.
Listy mailingoweWiele list zmienia tematy lub stopki, a tym samym łamie podpis DKIM. W takich przypadkach planuję zrelaksowane wyrównanie i sprawdzam, czy lista używa SRS/ARC lub własnych podpisów. Jeśli to możliwe, używam subdomeny z własną polityką DMARC dla list.
Bramy bezpieczeństwaBramy, które ponownie podpisują wiadomości lub przepisują kopertę od, muszą być poprawnie wyrównane z domeną nadawcy. Dokumentuję ich rolę i zakotwiczam je w SPF (ip4/ip6) lub poprzez dołączenie, aby zachować wyrównanie.

Poznaj wiadomości e-mail z spf=fail przez przekierowanie, nie jest to automatycznie krytyczne, o ile dkim=pass jest obecny, a wyrównanie DKIM jest prawidłowe. Oceniam całość wyników uwierzytelniania zamiast pojedynczych sygnałów w izolacji.

Współdzielone adresy IP, HELO/EHLO i rDNS

Jeśli kilka domen współdzieli ten sam wychodzący adres IP, polegam na czystym adresie IP. rDNS i spójne nazwy HELO/EHLO. Odwrotny wskaźnik wskazuje na FQDN (np. mail.hosting-example.tld), którego rekord A wskazuje na ten sam adres IP. MTA zgłasza się z dokładnie taką nazwą. Upewniam się, że Certyfikat SMTP TLS pasuje do nazwy HELO (SNI, jeśli obsługiwanych jest wiele nazw). Dla każdej domeny nadawcy upewniam się również, że SPF/DKIM/DMARC są w pełni i poprawnie dopasowane - sam współdzielony adres IP nie wpływa na DMARC, o ile uwierzytelnianie jest skuteczne.

W przypadku dedykowanych nadawców (np. poczta transakcyjna vs. marketingowa) lubię oddzielać ich za pomocą subdomen i opcjonalnie ich własnych adresów IP. Pomaga to w Zarządzanie reputacjąupraszcza ocenę raportów DMARC i minimalizuje wzajemne zakłócenia.

Monitorowanie i wdrażanie w praktyce

Aby zapewnić płynne działanie, łączę ciągłe Analiza DMARC z jasnymi etapami wdrażania:

Linia bazowa2-4 tygodnie p=brakzebrać wszystkie raporty zbiorcze (rua), zidentyfikować źródła błędów.
CzyszczenieUsuń nieautoryzowanych nadawców, wyczyść SPF, aktywuj DKIM we wszystkich legalnych systemach.
OpatrunekZ pct stopniowo do kwarantannapóźniej Odrzucić wzrost, zmierzyć efekty jako wartość procentową.
AlarmowanieZdefiniuj wartości progowe (nowe IP, wskaźnik niepowodzeń na dostawcę, nowe z domen) i skonfiguruj powiadomienia.
DokumentacjaUtrzymuj selektory, TTL, kluczowe czasy wykonywania, budżet SPF i obowiązki pod kontrolą wersji.

Sprawdzam Budżet wyszukiwania SPF (maks. 10 mechanizmów z zapytaniami DNS) i skonsolidować je. Krytyczne mechanizmy, takie jak ptr lub +all Generalnie ich nie używam; ip4/ip6, a, mx i ukierunkowane zawierać pozostają środkiem wyboru. W ten sposób utrzymuję konfigurację stabilną i możliwą do skontrolowania.

Szybkie sprawdzenie dla każdej domeny

Pod koniec każdej instalacji uruchamiam stałą Sprawdź przez: rekord SPF dostępny, budżet lookup poniżej dziesięciu, mechanizmy poprawnie posortowane, -wszystkie Aktywny. Ważny podpis DKIM, udokumentowany selektor, wystarczająca długość klucza, planowana rotacja. DMARC z prawidłowym rekordem TXT, ścisłe wyrównanie, raportowanie skrzynek pocztowych dostępnych i zarchiwizowanych. Pokaż wiadomości testowe spf=pass, dkim=pass oraz dmarc=pass w nagłówku. Używam tej sekwencji, aby zachować powtarzalność konfiguracji i Niski poziom błędu.

Praktyczne podsumowanie dla szybkiego sukcesu

Każdy projekt rozpoczynam od jasnego StandardyNależy utrzymywać SPF na niskim poziomie, aktywować DKIM dla każdego nadawcy i wdrożyć DMARC z raportowaniem. Po tym następują dwa do czterech tygodni monitorowania w celu zamknięcia martwych punktów i zaostrzenia wytycznych. Integruję usługi zewnętrzne w kontrolowany sposób, dokumentuję je i utrzymuję budżet wyszukiwania pod kontrolą. Używam szablonów DNS dla kilku domen i planuję rotację kluczy DKIM, aby zachować świeżość podpisów. Podsumowuję przydatne praktyczne pomysły i wskazówki dotyczące rozwiązywania problemów w moim Wskazówki dotyczące Plesk 2025 razem, abyś mógł utrzymać silną Dostarczalność zasięg.

Artykuły bieżące

Serwer z kodami statusu HTTP do wizualizacji wydajności hostingu

Serwer WWW Plesk

Dlaczego kody statusu HTTP mają wpływ na wydajność hostingu

Dlaczego **kody statusu HTTP** mają wpływ na wydajność hostingu: od 200 OK do 500 Error – wskazówki dotyczące zachowania serwera WWW i hostingu SEO.

29 grudnia 2025 r. Brak komentarzy

Serwer z strefami czasowymi i zadaniami cron dla zadań zaplanowanych

Administracja

Problemy ze strefą czasową Cron: wyjaśnienie wpływu na zadania Cron

Problemy związane ze strefą czasową cron wyjaśnione w prosty sposób: wpływ na zadania cron, rozwiązania dla zadań zaplanowanych, hosting i konfiguracja serwera.

29 grudnia 2025 r. Brak komentarzy

Bazy danych

Kopie zapasowe baz danych: dlaczego mają one tak ogromny wpływ na wydajność

Dlaczego wydajność kopii zapasowej bazy danych spada: wyjaśnienie obciążenia mysql dump i wpływu hostingu. Zoptymalizuj wydajność dzięki planowaniu i fragmentacji, aby uzyskać najwyższą prędkość.

29 grudnia 2025 r. Brak komentarzy