Plesk поддерживает несколько инструментов для защиты от спама путём проверки подлинности сообщений:

  • DKIM (DomainKeys Identified Mail – идентификация почты по доменным ключам) – метод, позволяющий связать идентичность доменного имени с отправляемым сообщением, а также проверить идентичность доменного имени, связанного с входящим сообщением, с помощью криптографической аутентификации.
  • SPF (Sender Policy Framework – инфраструктура политики отправителя) – метод, используемый для предотвращения подделки адреса отправителя письма, то есть использования фальшивого адреса отправителя. Он позволяет проверить, что входящая почта от определённого домена приходит с хоста, уполномоченного администратором этого домена. Кроме того, Plesk использует SRS (Sender Rewriting Scheme – схему перезаписи отправителя) для того, чтобы перенаправленные сообщения могли пройти проверку SPF.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance – идентификация сообщений, создание отчётов и определение соответствия по доменному имени) – это технология, расширяющая возможности методов SPF и DKIM. Политика DMARC определяет, что получатель должен делать с электронными сообщениями в зависимости от результатов проверки DKIM и SPF.

Эти инструменты имеют следующие требования к почтовому серверу:

Почтовый сервер DKIM SPF SRS DMARC
Postfix (Linux)
Qmail
MailEnable Professional
MailEnable Standard Версия должна быть 9.16 или выше.
SmarterMail
IceWarp

В этой таблице ‘+’ означает, что инструмент поддерживается на всех версиях почтового сервера, поддерживаемых Plesk Obsidian. ‘-‘ означает, что инструмент не поддерживается.

DKIM

DKIM (DomainKeys Identified Mail – идентификация почты по доменным ключам) – метод, позволяющий проверить идентичность доменного имени, связанного с входящим сообщением. Он позволяет организациям брать на себя ответственность за отправляемые письма путём присоединения к ним автоматически сгенерированной цифровой подписи, а также использует криптографические средства, чтобы проверять входящие письма на наличие такой подписи.

Для предоставления поддержки DKIM Plesk использует функциональность внешней библиотеки (Linux) или почтового сервера, поставляемого с Plesk (Windows).

Предупреждение: Если вы используете внешний сервер DNS, подписание DKIM будет работать для исходящих сообщений, но сервер, принимающий почту, не сможет проверять такие сообщения. Для решения этой проблемы вы можете отключить DNS сервер Plesk и добавить соответствующую запись DNS, относящуюся к DKIM, на внешний сервер DNS. В этом случае сервер, принимающий почту, сможет проверять сообщения. Узнайте, как включить подписание сообщений DKIM для доменов, которые используют внешний сервер DNS.

Включение или выключение DKIM на сервере

DKIM включен в Plesk по умолчанию. Чтобы отключить DKIM или оставить его включенным только для исходящей или входящей почты, перейдите на страницу Инструменты и настройки > Настройки почтового сервера (в разделе «Почта»), прокрутите вниз до раздела «Система защиты от спама DKIM» и снимите один из следующих флажков (или оба):

  • Разрешить подписание исходящей почты. Эта функция позволяет клиентам включать подписание DKIM для исходящей почты для отдельных доменов. Это не приведет к автоматическому включению подписания всех исходящих сообщений. Чтобы использовать DKIM, пользователям необходимо включить DKIM для каждого домена.
  • Проверять входящую почту (Plesk для Linux). Эта опция включает проверку DKIM для всей входящей почты. Все сообщения проверяются, и те сообщения, которые не проходят проверку, помечаются специальным заголовком.

Примечание: Вы не можете отключить проверку DKIM для входящей почты, если включена защита DMARC.

Поддержка подписи сообщений DKIM для домена

Если подписание DKIM включено на сервере (смотрите выше раздел Включение или выключение DKIM на сервере), клиенты могут подписывать исходящую почту на своих доменах.

Чтобы включить подписание исходящих сообщений DKIM для отдельного домена:

  1. Откройте соответствующую подписку.
  2. Перейдите на вкладку Почта > Настройки почты.
  3. Выберите домен и нажмите Включить/отключить службы.
  4. Выберите Включить для опции Система защиты от спама DKIM для подписи исходящих сообщений и нажмите ОК.

Примечание: Служба DNS должна быть активирована на домене.

После активации DKIM на домене Plesk добавляет следующие две записи в зону DNS домена:

  • default._domainkey.<example.com> – содержит открытую часть созданного ключа.
  • _ domainkey.<example.com> – содержит политику DKIM.

SPF и SRS

SPF (Sender Policy Framework ― инфраструктура политики отправителя) ― технология, используемая для предотвращения подделки адреса отправителя писем, то есть использования фальшивых адресов отправителя. SPF позволяет администратору домена установить политику авторизации отдельных хостов для отправки почты с домена. Сервер, принимающий почту, проверяет, что входящая почта с определённого домена приходит с хоста, авторизованного администратором этого домена. SPF базируется на правилах, установленных администратором в зоне DNS отправителя.

В Plesk вы можете установить политику SPF для исходящей почты, указав правила в записи DNS. В Plesk для Linux политика SPF по умолчанию применяется для входящей почты.

При включении проверки SPF для входящих сообщений почтовый сервер производит поиск в DNS на хосте отправителя, чтобы найти запись DNS, относящуюся к SPF. Можно задать следующие наборы правил:

  • Локальные правила ― правила, которые должны применяться антиспамом перед выполнением SPF-проверки почтовым сервером.

    Примечание: Эти правила объединяются с правилами, заданными в записи DNS отправителя, относящейся к SPF. Например, если на сервере отправителя задана следующая политика SPF: example.com. TXT v=spf1 +a +mx -all, а локальное правило имеет вид a:test.plesk.com, тогда результирующая политика будет выглядеть следующим образом: example.com. TXT v=spf1 +a +mx +a:test.plesk.com -all.

  • Предположения ― правила, которые должны быть применены к доменам, для которых нет опубликованных записей SPF.

Информацию о статусах проверки SPF можно найти здесь.

Чтобы установить политику SPF для исходящей почты:

Перейдите в раздел Инструменты и настройки > Шаблон DNS и отредактируйте DNS-запись типа TXT, относящуюся к SPF. Эта DNS-запись всегда присутствует в серверном шаблоне DNS. Вот пример записи SPF, созданной Plesk:

example.com.    TXT    v=spf1 +a +mx +a:test.plesk.com -all

Элементы этой записи означают следующее:

Элемент Описание
v=spf1 Для домена используется SPF версии 1.
+a Все хосты из DNS-записей типа «A» авторизованы для отправки писем.
+mx Все хосты из DNS-записей типа «MX» авторизованы для отправки писем.
+a:test.plesk.com Домен test.plesk.com авторизован для отправки почты.
-all Все остальные домены не авторизованы для отправки почты.

Читайте больше о синтаксисе DNS-записей SPF. Нотация политики приводится здесь: RFC7208.

(Plesk для Linux) Чтобы настроить SPF для проверки входящей почты:

  1. Перейдите на страницу Инструменты и настройки > Настройки почтового сервера (в разделе «Почта») и прокрутите вниз до раздела «Защита от спама на основе политик SPF».

  2. Выберите одну из опций в меню Режим проверки SPF, чтобы указать, как следует поступать с письмом во время применения локальных правил и предположений SPF:

    1. Создавать только заголовки Received-SPF, не блокировать - принимать все входящие сообщения, независимо от результатов SPF-проверки.
    2. Использовать временные сообщения об ошибках при проблемах с поиском в DNS ― принимать все входящие сообщения, независимо от результатов SPF-проверки, даже если проверка закончилась неудачей из-за проблем с поиском DNS.
    3. Отклонять почтовые сообщения, когда SPF возвращает результат «fail»- отклонять сообщения от отправителей, которым не разрешено пользоваться доменом.
    4. Отклонять почтовые сообщения, когда SPF возвращает результат «softfail» ― отклонять сообщения от отправителей, которые по результатам проверки SPF-системы не могли быть признаны авторизованными или неавторизованными, в связи с тем, что отсутствуют опубликованные записи SPF для домена.
    5. Отклонять почтовые сообщения, когда SPF возвращает результат «neutral» ― отклонять сообщения от отправителей, которые по результатам проверки SPF-системы не могли быть признаны авторизованными или авторизованными, в связи с тем, что отсутствуют опубликованные записи SPF для домена.
    6. Отклонять почтовые сообщения, когда SPF не возвращает результат «pass» ― отклонять сообщения, которые не прошли проверку SPF по каким-либо причинам (например, если домен отправителя не поддерживает SPF и возвращает результат со статусом «unknown» ― «неизвестен»).
  3. Чтобы задать локальные правила, введите их в поле SPF local rules.
    Например: include:spf.trusted-forwarder.org.

    Читайте больше о правилах SPF.

  4. Вы можете также указать предположения в поле Предположения SPF.

    Например: v=spf1 +a/24 +mx/24 +ptr ?all

  5. Чтобы указать сообщение об ошибке, которое будет возвращаться SMTP-отправителю в случае отклонения сообщения, введите его в поле Поясняющий текст SPF.

    Если не указано другого значения, для уведомления будет использован текст по умолчанию.

  6. Нажмите OK.

(Plesk дляLinux) Чтобы отключить проверку SPF для входящей почты:

  1. Перейдите на страницу Инструменты и настройки > Настройки почтового сервера (в разделе «Почта»).
  2. В разделе «DMARC» снимите флажок «Включить проверку DMARC для входящей почты», если он установлен.
  3. В разделе «Защита от спама на основе политик SPF» снимите флажок «Включить защиту от спама на основе политик SPF для проверки входящих сообщений» и нажмите OK.

Использование SRS

В дополнение к SPF, некоторые почтовые серверы в Plesk поддерживают SRS (Sender Rewriting Scheme ― схема перезаписи отправителя), механизм перезаписи адреса отправителя перенаправляемых сообщений так, чтобы они могли пройти проверку SPF. SRS помогает обеспечить доставку сообщений при использовании SPF.

SRS используется автоматически при перенаправлении сообщений из почтовых ящиков, размещенных на Plesk.

Для предоставления функциональности SRS Plesk использует возможности внешней библиотеки (Linux) или почтового сервера (Windows).

DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance ― идентификация сообщений, создание отчётов и определение соответствия по доменному имени) ― это технология, расширяющая возможности методов SPF и DKIM. Политика DMARC определяет, что получатель должен делать с электронными сообщениями в зависимости от результатов проверки DKIM и SPF. В основе этой технологии лежат правила, указанные в зоне DNS отправителя.

В Plesk вы можете установить политику DMARC для исходящей почты, указав правила в записи DNS. В Plesk для Linux или Plesk для Windows, использующем SmarterMail, политика DMARC по умолчанию применяется для входящей почты.

Чтобы настроить собственную политику DMARC для исходящей почты:

Перейдите в раздел Инструменты и настройки > Шаблон DNS и отредактируйте DNS-записи типа TXT, относящиеся к политике DMARC. Эти записи DNS всегда присутствуют в серверном шаблоне DNS. (В отличие от них, записи DNS, относящиеся к DKIM, добавляются в зоны DNS отдельных доменов, когда вы активируете DKIM на домене.)

Например, политика DMARC, используемая в Plesk по умолчанию, определена в следующей записи:

_dmarc.<domain>.    TXT    v=DMARC1; p=none

Эта политика даёт инструкцию серверу, принимающему почту, не удалять сообщения, даже если они не прошли проверку. Вы можете использовать более строгую политику. Однако имейте в виду, что сервер получателя может применить собственную политику для входящей почты.

Клиенты могут изменять политики для отдельных доменов.

Более подробную информацию по DMARC, в том числе условные обозначения для политик, можно найти на сайте https://datatracker.ietf.org/doc/rfc7489/.

Чтобы отключить проверку DMARC для входящей почты:

  1. Перейдите на страницу Инструменты и настройки > Настройки почтового сервера (в разделе «Почта»).
  2. В разделе DMARC снимите флажок «Включить проверку DMARC для входящей почты» и нажмите OK.

image 78142