Przewodnik konfiguracji Salesforce DMARC, SPF i DKIM

Blog, Dostosowanie ESP

Dowiedz się, jak skonfigurować SPF, DKIM i DMARC, aby zwiększyć bezpieczeństwo poczty e-mail Salesforce. Chroń swoją domenę przed atakami spoofingowymi za pomocą protokołów uwierzytelniania poczty e-mail.

przez Ayan Bhuiya

Czas czytania: 7 min
Przewodnik konfiguracji Salesforce DMARC, SPF i DKIM
Spis treści-

Dla użytkowników Salesforce, którzy chcą przenieść swoje bezpieczeństwo poczty e-mail na wyższy poziom, poprawić dostarczalność wiadomości e-mail w czasie i dotrzeć do skrzynek odbiorczych Google i Yahoo bez blokowania, ten artykuł jest dla Ciebie! Aby jeszcze bardziej zwiększyć bezpieczeństwo komunikacji e-mail, Salesforce obsługuje protokoły uwierzytelniania poczty elektronicznej, takie jak DMARC, SPF i DKIM. Jeśli chcesz chronić swoją domenę przed atakami opartymi na wiadomościach e-mail i zmniejszyć liczbę skarg na spam w wiadomościach e-mail, konieczne jest wdrożenie tych protokołów uwierzytelniania. Skonfigurowanie ich na koncie Salesforce może pomóc zweryfikować, czy wiadomości e-mail są autentyczne i godne zaufania.

Sender Policy Framework (SPF) zapewnia, że tylko autoryzowane serwery mogą wysyłać wiadomości e-mail w imieniu Twojej domeny, podczas gdy DomainKeys Identified Mail (DKIM) wykorzystuje klucze kryptograficzne do weryfikacji, czy Twoja poczta e-mail została zmodyfikowana. SPF i DKIM można połączyć z DMARC (Domain-based Message Authentication, Reporting, and Conformance), aby rozpocząć zapobieganie spoofingowi i atakom phishingowym.

W tym artykule wyjaśniono, jak dodać rekordy SPF, DKIM i DMARC do konta Salesforce. Zanurzmy się od razu!

Kluczowe wnioski

  1. Wdrożenie SPF, DKIM i DMARC jest niezbędne do ochrony domeny e-mail przed spoofingiem i atakami phishingowymi.
  2. SPF zapewnia, że tylko autoryzowane serwery mogą wysyłać wiadomości e-mail w imieniu Twojej domeny, aby poprawić dostarczalność wiadomości e-mail.
  3. DKIM wykorzystuje klucze kryptograficzne do weryfikacji integralności wiadomości e-mail, potwierdzając, że nie zostały one zmienione podczas przesyłania.
  4. DMARC dostarcza serwerom odbiorców instrukcje dotyczące obsługi wiadomości e-mail, które nie przeszły kontroli SPF i DKIM, zwiększając poziom bezpieczeństwa poczty e-mail.
  5. Korzystanie z narzędzi takich jak generatory rekordów SPF i monitorowanie DMARC może uprościć konfigurację i poprawić skuteczność protokołów uwierzytelniania poczty e-mail.

Jak dodać rekord SPF dla Salesforce

Konfigurowanie SPF dla konta Salesforce jest niezbędne, ponieważ Salesforce zapewnia dedykowany rekord SPF, który gwarantuje, że wiadomości e-mail wysyłane z konta przechodzą kontrole bezpieczeństwa.

Poniżej znajdują się instrukcje dodawania Salesforce do rekordu SPF.

Uprość konfigurację DMARC, SPF i DKIM dzięki PowerDMARC!

15-dniowy trialZamów demo

1. Dołącz wpis SPF Salesforce

Dołącz określony wpis SPF do rekordu SPF swojej domeny, aby wysyłać wiadomości e-mail z Salesforce:

_spf.salesforce.com

Przykładowy rekord SPF dla Salesforce

Przykładowy rekord SPF dla Salesforce może wyglądać następująco:

v=spf1 mx include:_spf.salesforce.com ~all

Jest to najprostszy rekord SPF. Określa on, że domena użytkownika może wysyłać wiadomości e-mail za pośrednictwem Salesforce. Możesz również skonfigurować wiele mechanizmów "include", aby autoryzować inne domeny stron trzecich do wysyłania wiadomości e-mail w Twoim imieniu. Ważne jest, aby autoryzować te źródła w tym samym rekordzie SPF zamiast tworzyć nowy rekord dla tej samej domeny.

2. Utwórz rekord SPF

Aby utworzyć bezbłędny rekord SPF, zalecamy użycie narzędzia Generator rekordów SPF.

3. Przetestuj i zweryfikuj swój rekord SPF

Po skonfigurowaniu rekordu SPF należy go przetestować, aby zapewnić jego prawidłowe działanie. An SPF Checker Tool może być użyte do sprawdzenia poprawności rekordu.

Oto jak korzystać z narzędzia:

  • Po pierwsze, otwórz narzędzie SPF Query Tool.
  • Wprowadź nazwę swojej domeny.
  • Kliknij przycisk "Wyszukaj".

Jeśli rekord SPF jest poprawny, otrzymasz status "Valid".

Dodatkowe zasoby

Więcej informacji można znaleźć w Przewodnik konfiguracji SPF Salesforce.

Jak dodać rekord DKIM dla Salesforce

Oto instrukcje dotyczące tworzenia kluczy DKIM w Salesforce.

1. Przejdź do Ustawień DKIM

W konfiguracji Salesforce znajdź pole Quick Find. Wpisz "Klucze DKIM" i wybierz tę opcję.

2. Utwórz nowy klucz DKIM

Po wybraniu opcji "Klucze DKIM" kliknij przycisk "Utwórz nowe klucze". Spowoduje to domyślne utworzenie pary kluczy DKIM w stanie nieaktywnym.

Wybierz rozmiar klucza RSA

Wybierz rozmiar klucza RSA zgodnie z wymaganiami organizacji. Przed wybraniem klucza należy wziąć pod uwagę ograniczenia odbiorców wiadomości e-mail. Należy również pamiętać o przepisach bezpieczeństwa.

3. Wprowadź nazwę selektora

Twój Selektor DKIM to unikalny identyfikator, który rozpoznaje klucz DKIM. Wprowadź unikalną nazwę, aby odróżnić ten klucz od innych.

4. Ustaw alternatywny selektor

Selektor Alternate pozwala Salesforce na automatyczną rotację kluczy DKIM w celu zwiększenia bezpieczeństwa.

5. Wprowadź nazwę domeny

Następnie należy określić nazwę domeny. Nazwa ta jest używana do wysyłania wiadomości e-mail z konta Salesforce. Raz ustawionej nazwy domeny nie można zmienić.

6. Definiowanie wzorca dopasowania domeny

Można również kontrolować, kiedy Salesforce podpisze wiadomość e-mail kluczem DKIM. Można to zrobić za pomocą wzorca dopasowania domeny. Należy użyć listy wzorców oddzielonych przecinkami.

7. Zapisz zmiany

Zapisz zmiany po wykonaniu wszystkich wyżej wymienionych kroków. Rekord TXT dla klucza DKIM zostanie opublikowany przez Salesforce w DNS.

8. Dodawanie rekordów CNAME do DNS

Dodaj rekordy CNAME i alternatywne CNAME do DNS domeny przed aktywacją klucza DKIM w domenie.

9. Poczekaj na publikację DNS

Publikacja rekordów DNS zajmuje kilka dni. Rekordy CNAME i alternatywne CNAME pojawią się na stronie Szczegóły klucza DKIM po zakończeniu propagacji DNS.

10. Aktywacja klucza DKIM

Wróć do strony szczegółów klucza DKIM po opublikowaniu rekordu. Aktywuj klucz DKIM.

Uwaga: Salesforce rotuje klucze po 30 dniach. W związku z tym po aktywacji klucza automatycznie wygenerowany zostanie dodatkowy, nieaktywny klucz.

Jak skonfigurować DMARC dla Salesforce

DMARC instruuje serwery odbiorców, jak obsługiwać wiadomości e-mail, które nie przejdą kontroli uwierzytelniania SPF i DKIM. Należy pamiętać, że Salesforce nie może dostarczyć uwierzytelniania DMARC, więc zaleca współpracę z zewnętrznym dostawcą, takim jak PowerDMARC, w celu skonfigurowania protokołu.

Prawidłowa implementacja DMARC jest niezbędna, aby zapobiec wszelkim problemom konfiguracyjnym. Poniżej znajdują się instrukcje dotyczące dodawania rekordu DMARC dla Salesforce.

1. Wybierz wersję DMARC

Standardową wersją DMARC jest wersja 1, która wygląda następująco:v=DMARC1

2. Wybierz politykę DMARC

Istnieją trzy zasady DMARC, które określają, w jaki sposób serwery odbiorców powinny obsługiwać wiadomości e-mail, które nie przeszły pomyślnie kontroli uwierzytelniania.

  • p=brak

Jest to pierwsza polityka, którą należy aktywować. Dzięki tej polityce wiadomości e-mail przechodzą uwierzytelnianie DMARC, nawet jeśli nie przejdą kontroli SPF i DKIM. Polityka ta musi być używana podczas początkowej konfiguracji DMARC.

  • p=kwarantanna

Polityka poddaje kwarantannie wiadomości e-mail, które nie przeszły uwierzytelniania SPF i DKIM. Oznacza wiadomości e-mail jako spam, aby ostrzec użytkownika o podejrzanych wiadomościach.

  • p=odrzuć

Jak sama nazwa wskazuje, polityka ta odrzuca wiadomości e-mail, które nie przeszły uwierzytelnienia. Jest to zazwyczaj ostatni cel do osiągnięcia po wdrożeniu DMARC.

3. Wybierz tryby wyrównania SPF i DKIM (opcjonalnie)

Oto zestawienie tego, jak polityki SPF działają z DMARC:

  • aspf=s

Ścisły tryb wyrównania SPF wymaga dokładnego dopasowania między domeną w "Return-Path" (nadawca koperty) a domeną w nagłówku "From". 

  • aspf=r

Tryb SPF relaxed alignment pozwala na zaliczenie nawet jeśli domena "Return-Path" (nadawca koperty) i domena nagłówka "From" są dopasowane organizacyjnie, a nie dokładnie.

  • adkim=s

Domena w sygnaturze DKIM (znacznik d= w nagłówku DKIM) musi dokładnie odpowiadać domenie w adresie "From". 

  • adkim=r

W trybie zrelaksowanym domena w podpisie DKIM może być taka sama lub współdzielić tę samą domenę najwyższego poziomu z domeną w adresie "Od". 

4. Określ znacznik procentowy (opcjonalnie)

Określa procent wiadomości e-mail, które muszą być zgodne z polityką DMARC. Wartość pct=100 oznacza, że zdefiniowana polityka będzie stosowana do 100% wiadomości e-mail. Zacznij od niższego procentu podczas konfigurowania DMARC. Po regularnym monitorowaniu można zwiększyć ten procent.

Raportowanie zbiorcze

Zbiorczy raport DMARC dostarcza cennych danych na temat wyników uwierzytelniania poczty e-mail. Otrzymanie raportu zbiorczego wymaga skonfigurowania tagu RUA. Raporty zbiorcze są otrzymywane codziennie lub co tydzień, są w formacie XML i nie zawierają PII (Personally Identifiable Information). 

Raport zawiera informacje, takie jak wysyłający adres IP, liczba wiadomości e-mail, identyfikatory SPF/DKIM i wyniki itp. Rekord DMARC wskazuje tag rua na adres e-mail określony przez właściciela domeny w celu otrzymywania zbiorczych raportów. Oto przykład: 

rua=mailto:[email protected].

Raportowanie kryminalistyczne

Raport kryminalistyczny DMARC zawiera informacje o poszczególnych wiadomościach e-mail. Wymaga to ustawienia tagu RUF w rekordzie DMARC. W przeciwieństwie do zbiorczych raportów DMARC, które są otrzymywane co 24 godziny, raport kryminalistyczny DMARC jest otrzymywany za każdym razem, gdy wiadomość e-mail nie przejdzie uwierzytelnienia DMARC. Raporty Forensic są dostarczane w postaci zwykłego tekstu i mogą zawierać poufne informacje

ruf=mailto:[email protected].

Należy również zauważyć, że nie wszyscy dostawcy skrzynek pocztowych zgodnych z DMARC obsługują generowanie raportów kryminalistycznych DMARC. 

  1. Definiowanie czasu życia (TTL)

Podczas początkowej konfiguracji DMARC można ustawić wartość Time to Live (TTL) na 600 sekund. Jest to pomocne dla szybszej propagacji. Później można ustawić TTL na 3600 sekund, aby zmniejszyć częstotliwość zapytań DNS, co zmniejsza obciążenie serwera DNS.

Generatory i narzędzia DMARC

Możesz użyć zautomatyzowanego narzędzia PowerDMARC Narzędzie do generowania rekordów DMARC aby uprościć proces generowania rekordów DMARC. PowerDMARC oferuje różne zarządzane rozwiązania DMARC, wraz ze szczegółowym monitorowaniem i opcjami raportowania. Połączenie tych zaawansowanych opcji pomaga skonfigurować protokoły techniczne, takie jak DMARC, bez kłopotów i dodatkowej złożoności.

Słowa końcowe

Wdrożenie uwierzytelniania poczty e-mail ma kluczowe znaczenie dla zwiększenia bezpieczeństwa wiadomości e-mail Salesforce. Do Ciebie należy ochrona domen przed zagrożeniami opartymi na wiadomościach e-mail.

Konfiguracja tych protokołów uwierzytelniania poczty elektronicznej może być również łatwiejsza dzięki PowerDMARC. Aby uzyskać więcej informacji na temat wdrożenia, można skontaktować się z nami lub rozpocząć bezpłatny okres próbny już teraz!

Najnowsze posty autorstwa Ayan Bhuiya (zobacz wszystkie)
5 rodzajów oszustw e-mailowych związanych z ubezpieczeniami społecznymi i jak im zapobiegać5 rodzajów oszustw e-mailowych związanych z ubezpieczeniami społecznymi i jak im zapobiegaćZarządzanie DMARC: kompleksowy przewodnik