Как настроить аутентификацию домена

Как настроить аутентификацию email сообщений

Для аутентификации email сообщений сервер получателя анализирует DKIM и SFP записи домена отправителя.

Что такое DKIM и SPF

DomainKeys Identified Mail (DKIM) — это метод подтверждения домена отправителя с помощью автоматически сгенерированной цифровой подписи.

Sender Policy Framework (SPF) — это TXT-запись в DNS-зоне домена, где указан список почтовых серверов, с которых разрешена отправка писем для данного домена.

DKIM и SPF записи настраиваются на сервере, с которого отправляются письма, чтобы снизить риск компрометирования домена и попадания писем в спам.

Как добавить DKIM и SPF записи

В первую очередь необходимо сгенерировать записи в вашем SendPulse аккаунте, а затем прописать их в панели управления вашего сайта.

Как сгенерировать DKIM и SPF записи в сервисе SendPulse

В разделе «Рассылки» выберите «Настройки сервиса».

Откройте вкладку «Аутентификация».

В разделе «Аутентификация (SPF и DKIM записи)» кликните «Подключить».

Укажите свой домен в поле «Имя домена отправки» и кликните «Получить SPF/DKIM записи».

Сервис сгенерирует все данные для добавления DNS записей SPF и DKIM, их необходимо добавить на вашем домене отправителя.

Настройки в панели управления DNS записями

Откройте настройки DNS

Откройте панель управления вашего сайта и найдите страницу для обновления записей DNS домена. Она может носить название «Управление DNS», «Управление сервером имен» или «Дополнительные настройки».

Вы увидите подобную страницу с незаполненными полями.

Заполните поля для SPF и DKIM.

Как заполнить поля для записи DKIM

В поле «Имя» введите sign._domainkey . В некоторых панелях управления DNS для публичного ключа DKIM необходимо также указывать домен, например, sign._domainkey.example.com

В поле «Тип записи» установите значение «TXT».

В поле «Данные» вставьте значение, которое вы сгенерировали ранее в аккаунте SendPulse.

Например: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ.

Нажмите на кнопку «Добавить запись», чтобы сохранить изменения. Подождите, пока изменения DNS вступят в силу. Этот процесс может занять до 72 часов.

Как заполнить поля для записи SPF

В поле «Имя» укажите ваш домен, например example.com

В поле «Тип записи» установите значение «TXT».

В поле «Данные» вставьте значение, которое вы сгенерировали ранее в аккаунте SendPulse.

Например: v=spf1 include:mxsspf.sendpulse.com +a +mx

Если для вашего домена уже добавлена SPF-запись, отредактируйте существующую запись, новую создавать не нужно.

Нажмите на кнопку «Добавить запись», чтобы сохранить изменения. Подождите пока изменения DNS вступят в силу. Этот процесс может занять до 72 часов.

Письма подтверждения форм подписки и тестовые письма отправленные через опцию «Тестовая отправка», будут содержать дефолтную SPF\DKIM подпись сервиса SendPulse.

Настройки DNS записей у некоторых хостеров

Ниже приводим список ссылок на инструкции по редактированию DNS записей на платформах разных хостинг-провайдеров. Если вы пользуетесь услугами другого хостинг-провайдера, найдите документацию вашего провайдера или обратитесь в их службу поддержки.

Источник

Настраиваем доменную аутентификацию на сетевом оборудовании

При обслуживании больших сетей системные администраторы часто сталкиваются с проблемами аутентификации на сетевом оборудовании. В частности, довольно сложно организовать нормальную работу нескольких сетевых администраторов под индивидуальными учетными записями на большом количестве оборудования (приходится вести и поддерживать в актуальном состоянии базу локальных учетных записей на каждом устройстве). Логичным решение было бы использовать для авторизации уже существующей базы учетных записей — Active Directory. В этой статье мы разберемся, как настроить доменную (Active Directory) аутентификацию на активном сетевом оборудовании (коммутаторы, маршрутизаторы).

Не все сетевое оборудование популярных вендоров (CISCO, HP, Huawei) поддерживает функционал для непосредственного обращения к каталогу LDAP, и такое решение не будет универсальным. Для решения нашей задачи подойдет протокол AAA (Authentication Authorization and Accounting), фактически ставший стандартом де-факто для сетевого оборудования. Клиент AAA (сетевое устройство) отправляет данные авторизующегося пользователя на сервер RADIUS и на основе его ответа принимает решение о предоставлении / отказе доступа.

Протокол Remote Authentication Dial In User Service (RADIUS) в Windows Server 2012 R2 включен в роль NPS (Network Policy Server). В первой части статьи мы установим и настроим роль Network Policy Server, а во второй покажем типовые конфигурации сетевого устройств с поддержкой RADUIS на примере коммутаторов HP Procurve и оборудования Cisco.

Установка и настройка сервера с ролью Network Policy Server

Как правило, сервер с ролью NPS рекомендуется устанавливать на выделенном сервере (не рекомендуется размещать эту роль на контроллере домена). В данном примере роль NPS мы будем устанавливать на сервере с Windows Server 2012 R2.

Откройте консоль Server Manager и установите роль Network Policy Server (находится в разделе Network Policy and Access Services).

После окончания установки запустите mmc-консоль управления Network Policy Server. Нас интересуют три следующих раздела консоли:

1. RADIUS Clients — содержит список устройств, которые могут аутентифицироваться на сервере
2. Connection Request Policies – определяет типы устройств, которые могут аутентифицироваться
3. Network Polices – правила аутентификации

Добавим нового клиента RADIUS (это будет коммутатор HP ProCurve Switch 5400zl), щелкнув ПКМ по разделу RADIUS Clients и выбрав New. Укажем:

• Friendly Name:sw-HP-5400-1
• Address (IP or DNS): 10.10.10.2
• Shared secret (пароль/секретный ключ): пароль можно указать вручную (он должен быть достаточно сложным), либо сгенерировать с помощью специальной кнопки (сгенерированный пароль необходимо скопировать, т.к. в дальнейшем его придется указать на сетевом устройстве).

Отключим стандартную политику (Use Windows authentication for all users) в разделе Connection Request Policies, щелкнув по ней ПКМ и выбрав Disable.

Создадим новую политику с именем Network-Switches-AAA и нажимаем далее. В разделе Сondition создадим новое условие. Ищем раздел RADIUS Client Properites и выбираем Client Friendly Name.

В качестве значения укажем sw-?. Т.е. условие будет применяться для всех клиентов RADIUS, начинающийся с символов :”sw-“. Жмем Next->Next-> Next, соглашаясь со всеми стандартными настройками.

Далее в разделе Network Policies создадим новую политику аутентификации. Укажите ее имя, например Network Switch Auth Policy for Network Admins. Создадим два условия: в первом условии Windows Groups, укажем доменную группу, члены которой могут аутентифицироваться (учетные записи сетевых администраторов в нашем примере включены в группу AD Network Admins) Второе условие Authentication Type, выбрав в качестве протокола аутентификации PAP.

Далее в окне Configure Authentication Methods снимаем галки со всех типов аутентификации, кроме Unencrypted authentication (PAP. SPAP).

В окне Configure Settings изменим значение атрибута Service-Type на Administrative.

В остальных случаях соглашаемся со стандартными настройками и завершаем работу с мастером.

И, напоследок, переместим новую политику на первое место в списке политик.

Настройка сетевого оборудования для работы с сервером RADUIS

Осталось настроить наше сетевое оборудование для работы с сервером Radius. Подключимся к нашему коммутатору HP ProCurve Switch 5400 и внесем следующе изменение в его конфигурацию (измените ip адрес сервера Raduis и пароль на свои).

Совет. Если в целях безопасности вы запретили подключаться к сетевому оборудованию через telnet, эти строки нужно удалить из конфига:

Не закрывая консольное окно коммутатора (это важно!, иначе, если что-то пойдет не так, вы более не сможете подключиться к своему коммутатору), откройте вторую telnet-сессию. Должно появиться новое окно авторизации, в котором будет предложено указать имя и пароль учетной записи. Попробуйте указать данные своей учетной записи в AD (она должна входить в группу Network Admins ). Если подключение установлено – вы все сделали правильно!

Для коммутатора Cisco конфигурация, предполагающая использование доменных учетных записей для аутентификации и авторизации, может выглядеть так:

Для Cisco ASA конфигурация будет выглядеть так:

Совет. Если что то-не работает, проверьте:

• Совпадают ли секретные ключи на сервере NPS и коммутаторе (для теста можно использоваться простой пароль).
• Указан ли правильный адрес NPS сервера в конфигурации. Пингуется ли он?
• Не блокируют ли межсетевые экраны порты 1645 и 1646 между коммутатором и сервером?
• Внимательно изучите логи NPS сервера

Источник

Как настроить аутентификацию домена

В сервисе email маркетинга и массовой sms рассылки UniSender полгода назад отказались от использования таких бесплатных доменов, как @mail.ru, @yandex.ru и @gmail.com. Это объясняется тем, что большая часть писем, которые отправляются с таких адресов, является спамом. Именно поэтому лучше завести специальный корпоративный домен. Как это сделать и как настроить аутентификацию сообщений?

Что такое email-аутентификация

Это специальная процедура, с помощью которой проверяется подлинность отправителя писем. Почтовые службы и интернет-провайдеры проводят анализ каждого сообщения, чтобы быть уверенными, что отправитель письма является добросовестным и проверенным.

Главными преимуществами настройки аутентификации можно назвать:

• гарантия того, что ваши письма будут доставлены;
• вы сможете использовать профессиональные сервисы статистики (например, Post Office).

Настройка аутентификации: пошаговый мануал

Как настроить email-аутентификацию? Для этого вам нужно зайти на сайт своего провайдера. Именно оттуда управляется DNS-зона домена. В настройках внесите несколько записей в TXT-формате:

Стоит разобраться, что представляют собой данные записи. В SPF вносятся списки тех почтовых серверов, от имени которых можно отправлять вашу электронную почту. К примеру, если вы пользуетесь UniSender, то его название следует указать в SPF.

С помощью DKIM вы можете внести в свои письма цифровую подпись. Ее проверяют на стороне клиента, который получил сообщение. Именно от нее зависит репутация отправителя. В технологии DKIM используются несколько разных способов борьбы с кражей персональной информации, а также со спамом.

Благодаря политике DMARC вы сможете ограничить от спама не только ваших клиентов, но и себя (как отправителя). Мошенники часто подделывают почтовые адреса так, чтобы казалось, будто спам идет от одного человека или компании. В DMARC содержатся правила, что делать узлу, если сообщение не соответствует стандартам безопасности.

Инструкция по настройке домена

Сначала необходимо приобрести домен. Сделать это просто: выберите подходящее доменное имя, проверьте, не занято ли оно кем-то другим, после чего оплатите. Сегодня существует большое количество разнообразных регистраторов (Majordomo, Rucenter и других), так что выбор достаточно большой. Не рекомендуется заводить кириллические адреса, которые стали популярными в РФ, так как с них рассылки невозможны.

Далее необходимо привязать домен к хостингу. Для этого необходимо правильно настроить DNS. Если у вас еще нет хостинга, его необходимо купить. Потом на домене следует завести почту. На некоторых почтовых сервисах эта услуга является бесплатной (mail.ru, yandex.ru), а на других — платная (Google). После создания обязательно сделайте еще и ящик, с которого будет отправляться почта.

Теперь пришло время настроить аутентификацию. На сайте регистратора домена зайдите в панель управления. Там найдите ресурсные записи DNS, укажите DKIM и SPF, а также настройте MX-записи. Она укажет на сервер, который будет обрабатывать вашу почту. В панели управления найдите список операций и выберите, какой следует добавить тип записи. После этого пропишите свой сервер, информацию о котором предоставит почтовый провайдер.

Источник

Как аутентифицировать домен-отправитель?

Аутентификация — это способ подтвердить отправителя, чтобы получатель мог убедиться, что письма приходят из заявленного источника.

Для чего нужна аутентификация?

«От: Company X через mlgn2ca.com»

При отправке рассылок без аутентификации получатель именно так будет видеть от кого пришла рассылка. После завершения поле «От:» будет выглядеть следующим образом:

«От: Company X »

Более того, аутентификация позволяет улучшить доставляемость писем и откроет возможность пользоваться специальными инструментами для проверки доставляемости. Каждый провайдер предоставляет доступ к специальному сервису, называемому постмастером, который позволяет узнать сколько писем попало в папку «Спам», а сколько пришло во «Входящие».

Как пройти аутентификацию

Для начала аутентификации домена в аккаунте нужно перейти в раздел «Email Аутентификация» в настройках аккаунта.

Далее, нужно будет ввести домен для аутентфикации.

Обратите внимание: При вводе домена используется только та часть, что находится после @ в доменном адресе почты. Например, если доменный адрес «info@e.example.com», то нужный домен «e.example.com». Для адреса «news@companyX.com» доменом будет «companyX.com».

После ввода домена появится страница с тремя записями: DKIM, и SPF и уникальный код для проверки.

Для успешного завершения аутентификации нужно добавить все эти записи в доменную зону. Если есть человек, отвечающий за редактирование сайта или получение почты, то передайте данные записи для добавления ему.

Обратите внимание: Если записей DKIM в доменной зоне может быть сколько угодно, то запись SPF всегда должна быть только одна. Если уже есть одна SPF-запись, то необходимо их объединить.

После добавления записей в доменную зону вернитесь на страницу, где получили записи, и нажмите кнопку «Проверить записи». Если все выполнено верно, то статус записей сменится на «Запись в порядке».

Если увидели такие статусы для всех трех записей, то аутентификация домена внутри Mailigen завершена, и в следующий раз при отправке писем с этого домена будет доступна опция «Аутентифицируйте кампанию» во время настройки отправителя на 1 шаге создания кампании.

Как теперь проверить доставляемость?

Нужно зарегистрироваться и подтвердить этот же домен в специальных сервисах — постмастерах:

Источник