Những điều cần thiết khi xây dựng Mail Server.

Có những điểm đáng lưu ý khi triển khai Email server mà không phải bất kì quản trị hệ thống nào cũng lưu tâm, hoặc biết đến, ngay cả trong các khóa đào tạo người ta cũng ít nhắc đến vấn đề này. Khi đảm bảo được máy chủ mail đáp ứng đủ những yêu cầu căn bản dưới đây, email được gửi đi sẽ không bị liệt vào dạng thư rác, máy chủ mail sẽ trở thành một trusted đảm bảo email đến nơi một cách nhanh chóng và không bị chặn bởi các bộ lọc email trên Internet. Có 5 điểm cần quan tâm: 1.Địa chỉ IP không bị blacklisted

Có thể một mail server ngay lúc vừa được cài đặt đã bị liệt vào danh sách blacklist bởi các bộ lọc trên Internet. Nguyên nhân có thể là: IP mà bạn được cung cấp rất có thể bị lạm dụng để phát tán thư rác trước đó. Nếu bạn dùng NAT để chia sẻ đường truyền Internet cho nhiều người dùng đằng sau NAT, có thể một vài người dùng đã và đang sử dụng đường truyền này để phát tán thư rác, thư quảng cáo hoặc email có chứa virus, lẽ dĩ nhiên IP mà user này dùng sẽ bị liệt vào danh sách blacklist Để kiểm tra xem IP của mình có bị blacklisted không, bạn có thể sử dụng http://www.mxtoolbox.com/blacklists.aspx .

2. Mail Server phải có MX record

Một MX Record hay Mail Exchange Record là một dạng DNS record chỉ định cách thức một Internet email được định tuyến sử dụng giao thức SMTP (Simple Mail Transfer Protocol).

3. A Record cho mail server

Trong khi kiểm tra tính hợp lệ của mail server, các bộ lọc sẽ triển khai một bước kiểm tra gọi là “server greeting check”, bước kiểm tra này đảm bảo server có một A Record point về địa chỉ IP của hostname đang được kiểm tra. Nếu quá trình kiểm tra nhận được kết quả tương tự: mail.gocit.vn 220 mail.gocit.vn ESMTP Postfix thì mail server của bạn đảm bảo yêu cầu.

4. Mail Server không được cho phép Open Relay Access

Một máy chủ mail cho phép open relay sẽ mặc định cho phép người dùng không cần phải xác thực vẫn có khả năng gửi email thông qua máy chủ này. Việc này làm máy chủ mail của bạn vô tình trở thành công cụ cho việc phát tán thư rác. Và qua quá trình bị lợi dụng này, địa chỉ IP của bạn sẽ bị liệt vào blacklist, email gửi đi có thể bị chặn hoặc được bộ lọc cho vào spam box. Với vấn nạn spam lan tràn trên internet hiện nay, hầu hết các mail server mặc định tắt tính năng open relay, tuy nhiên kiểm tra không bao giờ là thừa thải.

5. Mail server phải có reverse dns:

Reverse dns chỉ định một tên miền liên kết với một IP cố định nào đó. Reverse dns trả về hostname của địa chỉ IP đang được kiểm tra. Ví dụ mail server của bạn có địa chỉ: mail.vnlamp.vn, quá trình kiểm tra mail server này cho biết nó có địa chỉ ip 10.9.8.7, khi lookup IP này, kết quả trả về là hostname mail.vnlamp.vn thì bạn đã có reverse dns, ngược lại, nếu kết quả trả về tương tự: 8.9.10.in-addr.arpa. 2850 IN SOA vdc-hn01.vnn.vn. postmaster.vnn.vn. 2010020402 28800 7200 1209600 86400 thì bạn nên liên hệ ISP để tạo reverse dns cho mình. Một reverse dns hợp lệ sẽ cho kết quả như sau: ;; ANSWER SECTION: 15. 8.9.10.in-addr.arpa. 86400 IN PTR mail.gocit.vn. Kết quả trên là của câu lệnh dig -x ipaddress.

5. Mail server phải có SDF Record :

Chúng ta được yêu cầu tạo SPF record (sender policy framework) cho domain của minh. SPF là 1 kiểu bản ghi của dịch vụ tên miển (DNS)được dùng để xác định máy chủ mail được quyền gỏi mail đại diện cho domain của bạn.

Mục đích của bản ghi SPF là ngăn chặn kẻ gởi tin rác gởi tin nhắn giả mạo từ địa chỉ tên miền của bạn. Người nhận có thể tham chiếu đến bản ghi SPF để xác định liệu nội dung tin nhắn tới từ domain của bạn có được thẩm quyền từ máy chủ mail.

TXT – SPF Record (Sender Policy Framework), là cấu hình mở rộng hỗ trợ cho giao thức gởi mail (SMTP). SPF cho phép nhận dạng , chứng thực và loại bỏ những nội dung mail từ địa chỉ mail giả mạo (spam)

Một số Mail Server được gửi đến thường phải kiểm tra các mail gửi đến từ domain phải có TXT Record .

Ngoài ra TXT record còn dùng để verify chủ sở hữu domain của một số dịch vụ online ( Google Apps v.vv..)

(a) TXT record cho 1 Mail Server: Ví dụ dacchieu.vn có Mail Server là 127.0.0.5 và cần tạo SPF Record chứng thực cho IP này .
Đăng nhập vào DNS Control , click vào domain đã add vào hệ thống .
Nhập vào các giá trị yêu cầu để khởi tạo record SPF cho domain dacchieu.vn
+ DNS record : chọn TXT
+ Tên : điền vào tên domain chính .
+ Giá trị :  “v=spf1 a mx ip4:127.0.0.5 ~all”
+ Giá trị MX :  bỏ trống .

(b) TXT record cho nhiều Mail Server:
Kết quả khi tạo record SPF cho domain dacchieu.vn có nhiều Mail Server (nhiều MX record).

Như trên ta :Nhập vào các giá trị yêu cầu để khởi tạo record SPF cho domain dacchieu.vn
+ DNS record : chọn TXT
+ Tên : điền vào tên domain chính .
+ Giá trị :  “v=spf1 a mx ip4:127.0.0.5 ip4:127.0.0.6 ~all”
+ Giá trị MX :  bỏ trống .

(c) TXT record để verity Domain:

Giả sử domain dacchieu.vn dùng gmail. Bạn tạo bản ghi SPF để xác định Google Apps mail server chứng thực mail server cho domain của ban. Khi người nhận của máy chủ mail nhận tin nhắn từ user@dacchieu.vn, nó có thể kiểm tra bản ghi SPF của dacchieu.vn để xác định liệu nó có là tin nhắn hợp lệ. Nếu tin nhắn đến từ 1 domain # Google Apps mail server được tìm thấy trong bản ghi SPF thì người nhận sẽ từ chối mail như là 1 mail rác.

Nếu domain của bạn ko co bản ghi SPF, một vài người nhận của các domain có lẽ sẽ chối từ tin nhắn người dùng của bạn bởi vì họ không thể xác nhận rằng tin nhắn này đến từ 1 server mail được ủy quyền.

+ DNS record : chọn TXT
+ Tên : điền vào tên domain chính .
+ Giá trị :  “v=spf1 include:_spf.google.com ~all

Ngoài ra còn TXT record.

Khi đăng kí sử dụng 1 số dịch vụ Online , bạn sẽ cần xác nhận theo yêu cầu của nhà cung cấp dịch vụ .
Ví dụ như Google Apps , trong Giá trị TXT , sao chép và dán mã thông báo bảo mật Google Apps duy nhất của tên miền của bạn. Bạn có thể tìm thấy mã thông báo bảo mật này trong bảng điều khiển Google Apps. Mã thông báo bảo mật là một chuỗi gồm 68 ký tự bắt đầu bằng google-site-verification:, tiếp theo là 43 ký tự bổ sung (ví dụ: google-site-verification:zVl_6j6BPmLsr9UWnMUByezuLmE06FgK_CMVJqLT_uQ 2).

Advertisements

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất / Thay đổi )

Connecting to %s