CAA-запись
CAA-запись — определяет авторизованные центры сертификации, которые могут выдавать сертификаты для домена. Проверяется центром сертификации, чтобы снизить риск непредвиденных ошибок при выдаче сертификата. Проверку CAA-записей выполняют все центры сертификации, чтобы убедиться, что запросы на выдачу сертификатов поступают от владельца домена. Это позволяет исключить выдачу сертификата по запросу злоумышленника, например, если центр сертификации скомпрометирован или домен взломан. Отсутствие CAA-записи не является помехой выпуску сертификата. Если центр сертификации не получает в ответ на запрос ни одной CAA-записи домена, то проверка пропускается. Если CAA-записи получены, то центр сертификации ищет в них своё имя.
Выберите в поле Флаги «0», чтобы центр сертификации мог выпустить сертификат, если он не смог распознать в CAA-записи содержание тега. Либо выберите «128», чтобы в такой ситуации центр сертификации прекратил выпуск сертификата.
Выберите Тег:
- issue — добавление домена центра сертификации, чтобы разрешить ему выдавать сертификаты;
- issuewild — добавление домена центра сертификации, чтобы разрешить ему выдавать wildcard сертификаты;
- iodef — указание email или URL-адреса страницы обратной связи, чтобы сообщить о проблемах с сертификатом.
Укажите Значение:
если в поле Тег значение «issue» или «issuewild»: укажите доменное имя центра сертификации. После него можно указать дополнительные параметры через символ «;». Например, «ca.example.net; account=1», если центр сертификации попросил клиента указать номер аккаунта
Обратите внимание, что если указать только символа «;» без дополнительного параметра в CAA-записи, то это обрабатывается всеми центрами сертификации, как запрет на выдачу сертификата;
если в поле Тег значение «iodef»: укажите email или URL-адрес страницы обратной связи. Дополнительные параметры использовать нельзя.
Типы DNS записей домена
Преобразование доменных имен в IP — одна из немногих функций. Кроме этого DNS выполняет и другие. Для их реализации используются типы записей DNS. Перечислим самые распространенные:
- Записям, которые определяют IP адрес устройства по доменному имени присвоен тип А (или АААА для IPv6).
- Для одного и того же IP адреса можно задавать любое количество доменных имен. В этом случае используется запись типа CNAME, которая определяет псевдоним для доменного имени.
- Запись типа MX помогает узнать адрес почтового сервера, куда требуется отправить почту. Для одного домена может существовать несколько MX записей.
- TXT — запись, включающая в себя текстовые данные. Используют для передачи информации, например для проверки владельца домена, или для подтверждения безопасности email. Текстовых записей может быть любое количество. Добавляются в настройках домена.
Существуют еще много других типов записей, но используются намного реже.
Как настроить почту G Suite в панели управления хостингом?
Данные настройки будут актуальны только в том случае, если для вашего домена прописаны хостинговые DNS-сервера (ns1.hosting.reg.ru и ns2.hosting.reg.ru).Проверить DNS-сервера домена можно при помощи сервиса Whois. Прописать хостинговые DNS-сервера можно по инструкции.
Настройка «G Suite» в панели управления веб хостингом заключается в добавлении ресурсных записей DNS.
Необходимые записи для «G Suite»:
Вместо 123.123.123.123 в TXT-записи необходимо указывать IP-адрес сервера, на котором расположен ваш сайт. Если вы используете хостинг REG.RU, узнать IP-адрес сервера можно в разделе Информация о включенных сервисах и паролях доступа.
Для настройки «G Suite» выберите вашу панель управления хостингом и следуйте дальнейшим инструкциям:
Готово. Вы настроили почту в панели управления.
Прочие механизмы
Здесь мы рассмотрим оставшиеся механизмы, которые используются в настройках значительно реже.
ptr
PTR-запись IP-адреса отправителя проверяется на соответствие указанному домену. Данный механизм требует большого количества DNS-запросов при проверке, поэтому без острой необходимости использовать его в SPF не рекомендуется.
v=spf1 ptr:other-domain.com -all
— принимать почту со всех адресов, PTR-запись которых направлена на домен other-domain.com
exists
Запрашивается А-запись указанного домена; если она существует, проверка считается пройденной. Другими словами, проверяется, резолвится ли домен на какой-либо (любой) IP-адрес.
v=spf1 exists:mydomain.com -all
— принимать почту, если существует A-запись домена mydomain.com.
exp
Параметр «exp» применяется для отправки сообщения об ошибке отправителю письма. С помощью «exp» в SPF прописывается определенный поддомен, в TXT-записи которого указан текст сообщения об ошибке. Имя поддомена и текст ошибки может быть любым.
Параметр «exp» всегда указывается в конце записи (после all).
Например:
v=spf1 mx -all exp=error-spf.mydomain.com
При этом TXT-запись домена error-spf.mydomain.com содержит: «Not authorized to send mail for this domain».
Примеры настроек
Настройка SPF для «Почты для доменов» от Mail.Ru
Если вы отправляете почту только с серверов Mail.Ru:
v=spf1 redirect=_spf.mail.ru
Если вы отправляете почту так же и с других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
v=spf1 ip4:IP1 ip4:IP2 ip4:IP3 include:_spf.mail.ru ~all
Настройка SPF для Яндекс.Почты
При использовании только серверов Яндекса:
v=spf1 redirect=_spf.yandex.net
При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
v=spf1 ip4:IP1 ip4:IP2 ip4:IP3 include:_spf.yandex.net ~all
Настройка SPF для Google
При использовании только серверов Google:
v=spf1 include:_spf.google.com ~all
При использовании также и других серверов (укажите IP-адреса или подсети вместо IP1, IP2 и т.д.):
v=spf1 ip4:IP1 ip4:IP2 include:_spf.google.com ~all
Другие примеры
v=spf1 a ip4:176.57.223.12 include:domain2.com -all
— принимать почту с IP-адресов, соответствующих A-записям текущего домена, с IP-адреса 176.57.223.12 и серверов, указанных в SPF-записи domain2.com; прочие письма отклонять.
v=spf1 mx/24 a:domain2.com/24 ~all
— принимать почту из подсети, в которую входят MX-серверы текущего домена, и из подсети, в которую входят A-записи домена domain2.com; прочие письма отклонять.
v=spf1 a ip4:176.57.223.12 include:domain2.com -all
— принимать почту с A-записи текущего домена, IP-адреса 176.57.223.12, а также с серверов, указанных в SPF домена domain2.com.
Советы
Перед установкой SPF-записи удостоверьтесь, что учтены все сервера, отправляющие письма в интернет. Не забудьте про web-сервера и другие внешние системы, иначе вы можете потерять часть писем, и тем самым навредить себе и бизнесу.
Правильно выбирайте механизм обработки писем (Pass, Fail, SoftFail, Neutral). При безусловной переадресации вашего письма из одной почтовой системы в другую может возникнуть проблема, так как SPF проверяет только последний «хоп».
Рекомендуется создавать SPF-записи для всех доменов второго уровня, которые принадлежат вам или вашей компании, даже если вы не отправляете от их имени письма. Для таких доменов желательно использовать простую запись «v=spf1 -all», которая говорит, что никто не можем отправлять письма от этих доменов.
Домены третьего уровня защитить можно с помощью wildcard-записи типа «*.example.com. IN TXT «v=spf1 -all»»
Но, обратите внимание на то, что wildcard работает только для несуществующих поддоменов. Например, если у вас есть поддомен moscow.example.com с MX-записями, запись «*.example.com
IN TXT «v=spf1 -all»» не будет на нее распространяться. Подробнее описано в статье на Wikipedia и RFC 1034.
SPF-записи рекомендуется создавать не только для доменов, но и для почтовых серверов, которые занимаются отправкой писем в интернет. Это необходимо, чтобы пройти HELO/EHLO Test принимающего сервера. Стандартная запись: «mx.example.com. IN TXT «v=spf1 a -all»».
Если у вас много доменов, которые обслуживаются несколькими основными MX-серверами, то советую использовать механизм «redirect». Например, основной домен «example.com» имеет SPF-запись «v=spf1 +a +mx -all», то остальным доменам (example1.com, example2.com и т.д.), для упрощения обслуживания, можно прописать запись «v=spf1 redirect=example.com».
Если у вас много доменов и много почтовых серверов отправителей, распределенных географически и организационно, то можно использовать механизм «include» и отдельную зону «_spf.example.com». Как пример можно посмотреть запись для домена gmail.com – «v=spf1 redirect=_spf.google.com».
Кроме защиты своих доменов рекомендуется защитить свою почтовую систему и пользователей, включив проверку SPF/DKIM/DMARC записей на ваших внешних почтовых серверах. Это будет хорошим дополнением даже для таких мощных программно-аппаратных комплексов, как Cisco IronPort.
Как только полностью разберетесь с SPF, советую изучить вопрос подписи ваших электронных писем с помощью технологии DKIM и политики DMARC, это существенно увеличит репутацию ваших исходящих писем.
SRV-запись
SRV-запись — определяет имя хоста и порт сервера домена. Позволяет использовать несколько для одного домена. SRV-записи используются только некоторыми п. Например, протоколы SIP и XMPP.
Укажите Домен, к которому относится ресурсная запись.
Укажите Приоритет (priority) и Вес (weight) сервера. , тем меньше приоритет. Клиент сперва пытается подключиться к наиболее приоритетному серверу. Если он недоступен, то к следующему по приоритету и т. д. Если у серверов одинаковый приоритет, то первым будет отправлен запрос к серверу, который имеет больший вес. Если с определённым значением приоритета только один сервер, то для него вес должен быть указан равным 0.
Укажите Порт (port) сервера, на который будет отправлен запрос.