Marcado: dkim, e-mail, relay smtp, spam
- Este tópico contém 38 respostas, 6 vozes e foi atualizado pela última vez 6 anos, 2 meses atrás por
Luis FatorBinario.
-
AutorPosts
-
15/06/2015 às 19:38 #10694
Luis FatorBinario
AdministradorTentar solucionar todos os problemas de um servidor de emails não é uma tarefa fácil. Para aumentar o percentual de mensagens aceitas pelo Hotmail (é o que mais dá problemas) publiquei alguns tutoriais que ensinam como autenticar o envio, e se for o caso, como usar serviços externos para garantir a entrega.
A história da Microsoft barrar emails no Hotmail é no mínimo engraçada, domínios legítimos têm as mensagens marcadas como Spam pela política deles, isso quando são entregues. Porém eu recebo diariamente um relatório DMARC sobre os emails que envio, e o relatório da Microsoft ([email protected]) é sempre marcado como Spam pelo Gmail. E ainda mais interessante é ver que a maioria dos ataques de Spoofing/Backscatter têm origem a partir do cloudapp.net que é da Microsoft.
Verifique nos tutoriais abaixo algumas opções para configurar o Servidor de Email:
O nome do VPS (Droplet) é muito importante e tem que ser FQDN, veja como renomeá-lo:
https://fatorbinario.com/comunidade/topico/renomeando-um-droplet-na-digitalocean/Como autenticar emails com DKIM (Edit: O tutorial foi alterado para configurar subdomínios):
https://fatorbinario.com/linux-como-autenticar-emails-com-dkim-e-postfix/Instale o plugin no WordPress para enviar emails via SMTP:
https://fatorbinario.com/comunidade/topico/como-enviar-email-pelo-wordpress-via-smtp/SMTP relay externo com Mandrill:
https://fatorbinario.com/servidor-de-emails-configurando-um-relay-smtp-externo/Zoho Mail: Serviço de email corporativo gratuito:
https://fatorbinario.com/como-configurar-o-zoho-mail-servico-de-email-corporativo-gratuito/
https://fatorbinario.com/configurando-o-zoho-mail-como-smtp-relay-no-postfix-via-stunnel/Novidade: O Gmail está lançando um serviço de emails corporativos por apenas 2 dólares:
https://fatorbinario.com/comunidade/topico/gmail-permitira-enderecos-corporativos-personalizados-por-apenas-2-dolares/Configurando o Postmaster Tools do Google para acompanhar a entrega dos emails:
https://fatorbinario.com/postmaster-tools-a-ferramenta-do-google-que-ajuda-a-proteger-emails-corporativos/Verifique também o DNS do servidor em Configurando a tabela DNS de um VPS:
https://fatorbinario.com/comunidade/topico/como-configurar-a-tabela-dns-de-um-vps/Monitore os arquivos de log para verificar se existem ataques ao Servidor de Email. Um spammer pode conseguir “spoofar” o seu domínio e enviar spam “sujando” o seu IP que será enviado às BlackLists:
https://fatorbinario.com/comunidade/topico/analisando-arquivos-de-log-no-vps/Se forem detectadas ameaças nos arquivos de log aprenda como se defender configurando o Firewall:
https://fatorbinario.com/firewall-tutorial-de-seguranca-no-servidor-de-email-do-vps/
E se mesmo após finalizar as configurações os emails enviados ainda estão chegando como Spam ou até mesmo nem sendo entregues verifique com as ferramentas abaixo as possíveis causas.
Threat Intelligence da McAFee Labs (se qualquer uma das 3 medições estiver em vermelho o seu email provavelmente irá para SPAM).
>> Compare o seu resultado com o do Fator Binário.IntoDNS.com (Faz uma varredura nos registros DNS do seu servidor, aguarde até a tela carregar completamente).
>> Compare com nossos resultadosMail-Tester.com (Mais importante que a nota dada ao email é checar todas as seções e procurar por erros). Envie um email do seu servidor para o endereço que aparece no site e em seguida clique em “Verifique sua Pontuação”. Também é possível ver se o servidor não está em nenhuma blacklist por essa ferramenta.
>> Acesse o Mail-Tester.com*Se forem encontrados erros nos relatórios do seu servidor comente neste tópico que poderei ajudar a resolvê-los.
-
Este tópico foi modificado 7 anos, 12 meses atrás por
Luis FatorBinario.
16/07/2015 às 01:04 #10827herus02
ParticipantePra todo domínio adicionado no ISPConfig, é necessário fazer esse processo para autenticar com DKIM? E as entradas de DNS podem ser incluídas pelo painel do ISPConfig ou todos os domínios eu preciso incluir no DNS da Digital Ocean?
16/07/2015 às 08:23 #10829Luis FatorBinario
AdministradorA assinatura DKIM é própria para cada domínio (incluindo subdomínios). Uma vez que você adquira prática na configuração torna-se um processo fácil de executar.
Quanto aos registros na tabela DNS eu prefiro usar o painel da DigitalOcean pra isso, por algum motivo as alterações feitas por lá refletem muito rapidamente pela internet. Alguns leitores aqui do Fator reportaram estar usando o painel do ISPConfig para configurar o DNS mas se você tiver poucos sites/domínios use o da Digital.
Uma outra maneira de configurar DNS é usar o CloudFlare e adicionar todos lá.
16/07/2015 às 18:10 #10831herus02
ParticipanteSugiro esse tutorial para anexar as configurações no ISPConfig: http://blog.schaal-24.de/ispconfig/dkim-patch-1-0/?lang=en
16/07/2015 às 18:23 #10832Luis FatorBinario
AdministradorEstou lendo sobre alguns bugs reportados nas respostas, mas o Florian diz que vai integrar a sugestão no próximo Release do ISPConfig. Isso é bom, eu troquei email com os desenvolvedores algumas semanas atrás e eles me disseram que a nova versão será lançada no segundo semestre deste ano.
Parece que vem coisa boa por ai. E pra quem não tem conhecimento, o ISPConfig é uma das melhores opções em painel de controle porque a ferramenta é só um conjunto de scripts e não fica ocupando memória para funcionar como acontece com a maioria dos outros painéis.
Assim que eles liberarem a versão farei um novo tutorial com Debian 8. E note que eles indicam o Debian como SO para usar o ISPConfig.
16/07/2015 às 19:20 #10833herus02
ParticipanteComo faço para gerenciar um domínio pelo painel de DNS do ISPConfig? Por exemplo: para funcionar corretamente agora, eu coloquei o NS da DigitalOcean no Registrar do domínio e gerencio o DNS pelo painel da DO. Eu teria que ter um NS do meu domínio que hospeda o ISPConfig e incluir no Registrar desse outro domínio?
16/07/2015 às 20:00 #10834Luis FatorBinario
AdministradorA maior parte da galera prefere o gerenciador DNS da DigitalOcean por ser mais rápido de propagar e configurar. Para usar NS customizados lá você proceder da seguinte forma:
Quando adicionar um novo domínio ao painel 3 entradas NS da Digital serão criadas automaticamente.
Adicione novas entradas do Tipo A apontando para os IPs da DigitalOcean, exemplo:
ns1.seudominio.com.br 173.245.58.51
ns2.seudominio.com.br 173.245.59.41
ns3.seudominio.com.br 198.41.222.173Mas se você quiser configurar pelo ISPConfig siga estes passos pelo DNS Wizard:
27/07/2015 às 14:56 #10923Luis FatorBinario
AdministradorO tutorial de DKIM foi alterado para configurações com subdomínios e múltiplos domínios com a mesma chave.
06/08/2015 às 10:35 #10960dalaz
ParticipanteEstou com uma dúvida.
Ao fazer as configurações de segurança do servidor de email, eu parei de enviar emails através do webmail.
Verifiquei a seguinte mensagem no log:
Aug 6 09:51:08 wr01 postfix/smtpd[17476]: fatal: Invalid TLS level “may smtp_sasl_auth_enable = yes smtp_sasl_security_options = noanonymous”
Ao comentar as linhas abaixo, voltou a funcionar.
smtpd_tls_security_level = may
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymousO que posso fazer para que essa configuração que eu comentei acima funcione normalmente?
Obrigado,
Excelente tutorial! Está de parabéns!06/08/2015 às 13:04 #10961Luis FatorBinario
AdministradorOlá @dalaz,
Primeiro verifique se você escreveu as linhas de código corretamente no arquivo.
Se estiver ok me diga se para configurar o VPS você seguiu algum dos meus tutoriais, porque eu tenho as linhas ativadas aqui e uso os mesmos parâmetros passados no tutorial Debian 7 + ISPConfig. E pergunto isso porque naquele tutorial é usado segurança TLS/SASL para o servidor de email, então se você não tiver isso configurado pode dar problema mesmo.
É só um módulo a mais de segurança, se você não instalou em seu servidor não precisa habilitar as linhas.
*Você fez o procedimento correto e testou a configuração observando que o servidor parou de enviar email, e ainda verificou os logs para encontrar o motivo, parabéns.
06/08/2015 às 14:23 #10962dalaz
ParticipanteOlá Luis,
Eu fiz passo a passo como está no tutorial Debian 7 + ISPConfig. Acompanhei o vídeo todo e pelo site.
A principio eu copiei tudo certo, inclusive fiz mais de uma vez. A única parte que eu pulei foi a configuração do relay externo. Pretendo enviar emails pelo próprio servidor.
Como configuro o TLS/SASL para o servidor de email?
Obrigado pela ajuda.
06/08/2015 às 14:31 #10963Luis FatorBinario
AdministradorSe você seguiu o tutorial Debian + ISPConfig o TLS já deve estar configurado.
Aguarde até o final da tarde porque estou configurando um servidor para uma empresa de desenvolvimento de sites exatamente com este tutorial, repassando todos os artigos do site.
Estou no aguardo do cliente para confirmar uma configuração e em seguida vou acertar a segurança do servidor seguindo este último artigo. Darei uma resposta ainda hoje sobre isso, fique tranquilo.
06/08/2015 às 14:37 #10964dalaz
ParticipanteEu voltei um snapshot que fiz no passo Instalando o WordPress em um VPS com ISPConfig. Vou refazer a configuração a partir desse passo.
—
Acabei de seguir novamente o tutorial e encontrei uma falha no meu DNS.
O mail._domainkey e o @ estavam com erro! O primeiro estava com o “v=DKIM1 faltando as ” no inicio da chave e o segundo estava com o include: errado.
Vou aguardar a propagação do dns e fazer novos testes!
06/08/2015 às 19:58 #10965Luis FatorBinario
AdministradorBoa tarde @dalaz, testei aqui no servidor do cliente.
Você não precisa daquelas linhas “smtp_sasl”, deixe somente a “smtpd_tls”.
Desta forma:
smtpd_tls_security_level = may
#smtp_sasl_auth_enable = yes
#smtp_sasl_security_options = noanonymousSe quiser manter o SASL habilitado tem que incluir ainda uma linha:
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
E ainda criar o arquivo “/etc/postfix/sasl_passwd” e gerar o mapa pra ela com:
> postmap /etc/postfix/sasl_passwd
Eu utilizei o SASL para conectar num SMTP externo. Muito obrigado por me avisar do problema.
06/08/2015 às 20:30 #10968Luis FatorBinario
AdministradorModifiquei também a configuração do Fail2Ban no tutorial com 2 outras opções, o ignoreip no jail.local e o backend no jail.conf:
Arquivo: /etc/fail2ban/jail.local
[DEFAULT] # Adicione alguns IPs internos e o DNS do Google a lista de redes que nao podem ser banidas ignoreip = 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 8.8.8.8 # Digite o seu email abaixo para ser avisado quando o Fail2Ban parar/iniciar e ainda, opcionalmente, quando uma ameaca for detectada destemail = [email protected]
Arquivo: /etc/fail2ban/jail.conf
# O Debian 7 tem um problema com o metodo "auto" (gamin) para modificar arquivos, altere para polling backend = polling
Reinicie o Fail2Ban.
-
Este tópico foi modificado 7 anos, 12 meses atrás por
-
AutorPosts
- Você deve fazer login para responder a este tópico.