Для пользователей Salesforce, которые хотят поднять безопасность электронной почты на новый уровень, улучшить доставляемость писем и добраться до почтовых ящиков Google и Yahoo без блокировки, эта статья для вас! Чтобы еще больше повысить безопасность электронной почты, Salesforce поддерживает такие протоколы аутентификации электронной почты, как DMARC, SPF и DKIM. Если вы хотите защитить свой домен от атак по электронной почте и уменьшить количество жалоб на спам в ваших письмах, необходимо внедрить эти протоколы аутентификации. Их настройка в учетной записи Salesforce поможет убедиться в подлинности и надежности ваших писем.
Sender Policy Framework (SPF) гарантирует, что только авторизованные серверы могут отправлять электронные письма от имени вашего домена, а DomainKeys Identified Mail (DKIM) использует криптографические ключи для проверки того, не была ли ваша почта подделана. SPF и DKIM можно объединить с DMARC (Domain-based Message Authentication, Reporting, and Conformance), чтобы предотвратить спуфинг и фишинговые атаки.
В этой статье рассказывается о том, как добавить записи SPF, DKIM и DMARC в учетную запись Salesforce. Давайте сразу же приступим!
Как добавить SPF-запись для Salesforce
Настройка SPF Запись для вашей учетной записи Salesforce очень важна, поскольку Salesforce предоставляет специальную запись SPF, которая гарантирует, что электронные письма, отправленные из вашей учетной записи, пройдут проверку на безопасность.
Ниже приведены инструкции по добавлению Salesforce в запись SPF.
1. Включите запись SPF в Salesforce
Включите определенную запись SPF в SPF-запись вашего домена, чтобы отправлять электронные письма из Salesforce:
_spf.salesforce.com
Образец записи SPF для Salesforce
Пример записи SPF для Salesforce может выглядеть следующим образом:
v=spf1 mx include:_spf.salesforce.com ~all
Это самая простая запись SPF. Она указывает, что вашему домену разрешено отправлять электронные письма через Salesforce. Вы также можете настроить несколько механизмов "включения", чтобы разрешить другим сторонним доменам отправлять электронные письма от вашего имени. Важно разрешить эти источники в одной записи SPF, а не создавать новую запись для одного и того же домена.
2. Создайте свою SPF-запись
Чтобы создать безошибочную SPF-запись, мы рекомендуем использовать Генератор SPF-записей.
3. Проверка и подтверждение записи SPF
После настройки SPF-записи необходимо проверить ее работоспособность. На сайте Инструмент проверки SPF может быть использован для проверки записи.
Вот как использовать этот инструмент:
- Во-первых, откройте инструмент SPF Query Tool.
- Введите свое доменное имя.
- Нажмите кнопку "Поиск".
Вы получите статус "Valid", если ваша SPF-запись верна.
Дополнительные ресурсы
Для получения дополнительной информации ознакомьтесь с Руководство по настройке SPF от Salesforce.
Как добавить DKIM-запись для Salesforce
Вот инструкции по созданию ключей DKIM в Salesforce.
1. Перейдите в раздел Настройки DKIM
В настройках Salesforce найдите поле "Быстрый поиск". Введите "Ключи DKIM" и выберите этот вариант.
2. Создайте новый ключ DKIM
Выбрав "DKIM-ключи", нажмите "Создать новые ключи". По умолчанию пара DKIM-ключей будет создана в неактивном состоянии.
Выберите размер ключа RSA
Выберите размер ключа RSA в соответствии с требованиями вашей организации. Перед выбором ключа учитывайте ограничения получателей электронной почты. Кроме того, помните о правилах безопасности.
3. Введите имя селектора
Ваш селектор DKIM это уникальный идентификатор, по которому распознается ваш DKIM-ключ. Введите уникальное имя, чтобы отличить этот ключ от других.
4. Установите альтернативный селектор
Выбор Alternate позволяет Salesforce автоматически чередовать ключи DKIM для повышения безопасности.
5. Введите доменное имя
После этого необходимо указать доменное имя. Это имя используется для отправки электронной почты из учетной записи Salesforce. После установки доменное имя изменить нельзя.
6. Определите шаблон соответствия домена
Вы также можете контролировать, когда Salesforce будет подписывать электронное письмо ключом DKIM. Это можно сделать с помощью шаблона совпадения домена. Вам нужно использовать список шаблонов, разделенных запятыми.
7. Сохранить изменения
Сохраните изменения после выполнения всех вышеуказанных действий. После этого запись TXT для ключа DKIM будет опубликована Salesforce на вашем DNS.
8. Добавьте записи CNAME в DNS
Добавьте записи CNAME и альтернативные записи CNAME в DNS вашего домена, прежде чем активировать ключ DKIM на вашем домене.
9. Дождитесь публикации DNS
Публикация записей DNS занимает несколько дней. Записи CNAME и альтернативные записи CNAME появятся на странице сведений о ключах DKIM после завершения времени распространения DNS.
10. Активируйте ключ DKIM
Вернитесь на страницу сведений о DKIM-ключе после публикации записи. Активируйте DKIM-ключ.
Примечание: Salesforce ротирует ключи через 30 дней. Поэтому, как только вы активируете ключ, автоматически будет сгенерирован вторичный, неактивный ключ.
Как настроить DMARC для Salesforce
DMARC указывает серверам-получателям, как обрабатывать электронные письма, не прошедшие проверки подлинности SPF и DKIM. Обратите внимание, что Salesforce не может предоставить DMARC-аутентификацию, поэтому для настройки протокола рекомендуется использовать стороннего поставщика, например PowerDMARC.
Правильная реализация DMARC необходима для предотвращения любых проблем с конфигурацией. Ниже приведены инструкции по добавлению записи DMARC для Salesforce.
1. Выберите версию DMARC
Стандартной версией DMARC является версия 1, которая выглядит следующим образом:v=DMARC1
2. Выберите политику DMARC
Существует три политики DMARC, которые определяют, как серверы получателей должны обрабатывать электронные письма, не прошедшие проверку подлинности.
-
p=нет
Это первая политика, которую нужно активировать. С этой политикой электронные письма проходят проверку подлинности DMARC, даже если они не прошли проверки SPF и DKIM. Эта политика должна использоваться при первоначальной настройке DMARC.
-
p=карантин
Политика помещает в карантин письма, не прошедшие проверку подлинности SPF и DKIM. Она помечает письма как спам, чтобы предупредить пользователя о подозрительных письмах.
-
p=отклонить
Как видно из названия, эта политика отклоняет электронные письма, не прошедшие проверку подлинности. Обычно это последняя цель, которую нужно достичь после внедрения DMARC.
3. Выберите режимы выравнивания SPF и DKIM (необязательно)
Здесь описано, как политики SPF работают с DMARC:
- aspf=s
Строгий режим выравнивания SPF требует точного соответствия между доменом в "Return-Path" (отправитель конверта) и доменом в заголовке "From".
- aspf=r
Режим ослабленного выравнивания SPF позволяет пройти даже в том случае, если домен "Return-Path" (отправитель конверта) и домен заголовка "From" имеют организационное совпадение, а не точное совпадение.
- adkim=s
Домен в подписи DKIM (тег d= в заголовке DKIM) должен точно совпадать с доменом в адресе "From".
- adkim=r
В расслабленном режиме домен в подписи DKIM может быть таким же или иметь тот же домен верхнего уровня, что и домен в адресе "From".
4. Укажите метку процента (необязательно)
Здесь указывается процент писем, которые должны соответствовать политике DMARC. Значение pct=100 означает, что определенная политика будет применяться к 100 % писем. При настройке DMARC начните с меньшего процента. После регулярного мониторинга вы можете увеличить этот процент.
5. Включите отчетность DMARC (необязательно, но рекомендуется)
Совокупная отчетность
Сводный отчет DMARC предоставляет ценные данные о результатах проверки подлинности электронной почты. Получение сводного отчета требует настройки тега RUA. Агрегатные отчеты получаются ежедневно или еженедельно, приходят в формате XML и не содержат PII (персонально идентифицируемой информации).
Отчет содержит такую информацию, как IP-адрес отправителя, количество писем, идентификаторы и результаты SPF/DKIM и т. д. Запись DMARC указывает тегу rua на электронную почту, указанную владельцем домена для получения сводных отчетов. Вот пример:
Криминалистическая отчетность
Отчет о результатах экспертизы DMARC содержит информацию об отдельных письмах. Для этого необходимо установить тег RUF в вашей записи DMARC. В отличие от сводных отчетов DMARC, которые получаются каждые 24 часа, криминалистический отчет DMARC получается каждый раз, когда письмо не проходит проверку подлинности DMARC. Экспертные отчеты приходят в виде обычного текста и могут содержать конфиденциальную информацию.
Также важно отметить, что не все провайдеры почтовых ящиков, совместимых с DMARC, поддерживают создание отчетов о результатах экспертизы DMARC.
-
Определите время жизни (TTL)
При первоначальной настройке DMARC вы можете установить время жизни (TTL) до 600 секунд. Это полезно для более быстрого распространения. Позже можно настроить TTL на 3600 секунд, чтобы уменьшить частоту DNS-запросов, что снижает нагрузку на DNS-сервер.
Генераторы и инструменты DMARC
Вы можете использовать автоматизированный инструмент PowerDMARC инструмент генератора DMARC-записей для упрощения процесса создания DMARC-записей. PowerDMARC предлагает различные управляемые DMARC-решения, а также опции детального мониторинга и отчетности. Совокупность этих дополнительных опций помогает вам настроить такие технические протоколы, как DMARC, без лишних хлопот и дополнительных сложностей.
Заключительные слова
Внедрение аутентификации электронной почты жизненно важно для укрепления безопасности ваших электронных писем Salesforce. Только от вас зависит защита ваших доменов от угроз, связанных с электронной почтой.
Настройка этих протоколов аутентификации электронной почты также может быть упрощена с помощью PowerDMARC. Для получения более подробной информации о внедрении вы можете связаться с нами или начать бесплатная пробная версия прямо сейчас!
- Топ 10 поставщиков DMARC на рынке - 2 января 2025 г.
- Что такое тестирование безопасности? Руководство для начинающих - 20 декабря 2024 г.
- 10 лучших альтернатив Valimail: Полное сравнение с плюсами и минусами - 28 октября 2024 г.