محمد حسن پزشکیان
محمد حسن پزشکیان
خواندن ۲ دقیقه·۷ ماه پیش

پیاده سازی هدر های امنیتی ایمیل : SPF - DKIM - DMARC


در این مطلب مفاهیم تئوری هدر های امنیتی ایمیل رو بررسی کردیم، اینجا میخوایم عملی در ویندوز سرور به کانفیگشون بپردازیم:

باید اول MX Record بسازیم، و میدونید که نمیشه مستقیم به IP باهاش اشاره کرد، باید به A Record اول اشاره کنه ، پس اول یه A Record میسازیم

عکس 0
عکس 0

مطابق عکس در پنجره مدیریت dns میریم روی گزینه دوم و رکورد A میسازیم و اسمشو میزاریم mail01 و اشاره میکنه به ایپی سرورمون ، بعدش رکورد MX میسازیم و اسم کامل بهش میدیم (درواقع رکورد MX اشاره میکنه به رکورد A مون)

عکس 1
عکس 1

الان اگر با nslookup بریم سراغ رکورد MX مون میبینیم که یه رکورد برامون ساخته شده طبق چیزی که ست کردیم ، و رکورد A نظیرشم میاره برامون

بریم سراغ ساخت spf :

عکس 3
عکس 3

ما گزینه ای برای ساخت رکورد txt نداریم پس میریم روی other new records و txt رو انتخاب میکنیم و مواردی که لازمه رو میزنیم ، مثلا اینجا زدیم که فقط از این آیپی که بهت میگم قبول کن ، spf های دامین gholi.local هم چک کن ، و اگر این چک fail شد کلا بیخیال ایمیل شو !

عکس 4
عکس 4

همونطور که میبینید رکورد با موفقیت ادد شده



برای تنظیم کردن DKIM باید کلید خصوصی و عمومی بسازیم :

برای ساختش بهتره بریم سراغ لینوکس( راحت تره)

عکس 5
عکس 5

و در نهایت یه رکورد ساده txt دیگه میسازیم مثل spf که قبلا ساختیم ولی اینبار مشخصات DMARK رو میزنیم :

عکس 6
عکس 6

اینبار ما باید اسم بزاریم و اسمشم selector اش میشه، ما خود کلمه selector رو میزاریم و ساختار ._domainkey رو رعایت میکنیم

و ساختار txt هم دقیقا همینی که نوشتم و توی قسمت تئوری توضیح دادم




برای DMARC هم قضیه همینه : یک رکورد txt و بقیش به این شکل :

عکس 7
عکس 7

ما اول ساختارو مشخص کردیم در قسمت نام و اول txt و بعد گفتیم هرچی ک این چک هارو نداشت قرنطینه کن و معمولی هم چک کن این مواردو، خیلی مته به خشخاش نذار ! و در نهایت ایمیلیم ک میخوای بدی به این قسمت بده

عکس 8
عکس 8

در اینجا هم اگر ما با اسم فراخونیشون کنیم میبینیم جفتشون ست شدن و درست کار میکنن

نکته ای که باید بدونید اینه که تنظیمات این ها به همین سادگی نیست و این فقط برای درک بیشتر شما بود

منتظر سوالات ، انتقادات و پیشنهادات شما هستم


یک عدد جونیور علاقه مند به حوزه امنیت :)
شاید از این پست‌ها خوشتان بیاید