//Reputación y/o buena presentación de nuestro Zimbra en Internet.
En esta entrada veremos algunas configuraciones necesarias para respaldar la credibilidad de nuestro servidor de correo en Internet ante otros servidores de correo.
Para tal fin necesitamos valernos de configuraciones tanto en nuestro servidor DNS Bind9 y Zimbra.
//SMTP BANNER
El SMTP BANNER no es más que una cadena de texto que utiliza nuestro servidor Zimbra para saludar a otros servidores durante la entrega de un correo. (Por ejemplo: Hola, Servidor de correo de NETWORLD, mail.ntw.nat.cu) Es importante que este valor que vamos a configurar sea igual o al menos contenga el FQDN del servidor que a su vez debe coincidir con el registro PTR en el servidor DNS. Así los demás servidores podrán reconocer nuestro servidor como auténtico y que realmente pertenece al registro PTR que dice tener asociado. (Si tienes dudas espera el video donde explicaré mejor esto)
# sudo su zimbra
# zmprov ms `zmhostname` zimbraMtaSmtpdBanner mail.ntw.nat.cu
# zmcontrol restart
# exit
//Registro SPF
El registro SPF es uno de los registros TXT con relación al correo más importante con el que debemos contar en nuestro DNS. Muchos servidores de correo en el mundo requieren de un registro SPF para el servidor de origen, de lo contrario no reconoce a dicho servidor como autentico.
Es importante aclarar que SPF tiene dos vistas, aquí veremos la configuración en el servidor DNS, pero existe la otra parte, que es cuando nuestro propio Zimbra comprueba el registro SPF del servidor que quiere comunicarse con el. Esta última configuración no la veremos en esta serie, pero lo tendré en cuenta para un único video por ser algo sumamente necesario y que por lo menos en Cuba se está requiriendo por parte de las autoridades.
Para crear nuestro registro SPF podemos hacerlo de forma manual o utilizar uno de los tantos asistentes que hay en internet, les dejo uno que pueden usar:
https://www.spfwizard.net/index.php/?lang=es
Primero vamos a ver una imagen sobre como realice el proceso para mi dominio, ustedes cambien los datos por el suyo, incluso pueden realizar otros ajustes según sus necesidades o requerimientos.
Al principio vemos como va quedando nuestro registro TXT a medida que vamos escogiendo opciones más abajo.
Veamos una breve descripción de para que sirve cada opción:
Tu dominio: ntw.nat.cu
Especifica por supuesto el dominio en cuestión, atención, es solo el dominio, nada de alias.
Permitir a los servidores listados como MX enviar correos para este dominio: Si (recomendado)
Especifica que los servidores declarados como MX por supuesto puedan enviar correos.
Permitir a los servidores listados como MX enviar correos para este dominio: Si (recomendado)
Permite que la propia dirección IP del servidor pueda enviar correos.
Permitir cualquier nombre de servidor acabado en ntw.nat.cu enviar correos para este dominio: No (recomendado)
Si especificáramos Si, entonces cualquier alias tendría permitido enviar correo, por ejemplo: www.ntw.nat.cu, correo.ntw.nat.cu, etc, y eso no es lo que queremos, solamente, mail.ntw.nat.cu.
Direcciones IP en formato CIDR que envían correos para este dominio: 152.206.85.80
Especifica la dirección o direcciones IP de nuestros servidores MX con autorización a enviar correo, en el ejemplo declaramos 152.206.85.80, puede ser también 152.206.85.80/32 para limitar aun más, o podemos agregar más si tenemos más de un servidor MX, por ejemplo: 152.206.85.80/32 152.206.85.81/32, siempre separado por espacios.
Añade cualquier otro nombre de servidor que pueda enviar correos para este dominio: mail.ntw.nat.cu
Aquí especificamos el FQDN de nuestro MX, en este caso mail.ntw.nat.cu, si deseamos o tenemos más de un MX, lo declaramos, separado por espacios.
Cualquier dominio que pueda enviar correos para este dominio: (en blanco)
Si por cualquier motivo, necesitas poder enviar correo, con otro dominio, puedes declararlo aquí por ejemplo: mx1.dominio.cu
¿Como de estricto deben considerar los servidores estos emails?: Fail (Descartar los que no coincidan con ninguna regla)
Elige el método de comportamiento para el marcado de correo, para lograr la mejor aceptación, marco Fail, así cualquier regla de las anteriores que falle, marcará el correo como no válido y no podrá ser entregado.
Al configurar todo el registro, obtenemos la entrada TXT lista para agregar a nuestro servidor DNS:
ntw.nat.cu. IN TXT \»v=spf1 mx a ip4:152.206.85.80 a:mail.ntw.nat.cu -all\»
Ya podemos pasar a nuestro servidor DNS y editar nuestro zona para agregar el registro que acabamos de crear:
# sudo sudo nano /etc/bind/zonas/db.ntw.nat.cu
Agregamos al final:
@ 7200 IN TXT \"v=spf1 mx a ip4:152.206.85.80 a:mail.ntw.nat.cu -all\"
Guardamos los cambios y reiniciamos Bind, ya tenemos nuestro registro SPF.
# sudo systemctl restart bind9
//DKIM
El registro DKIM, es un método de autentificación de correo, básicamente agrega firmas criptográficas a los correos para evitar que sea modificados en el camino. Para esto se generan dos claves, la privada y la pública, al enviar un correo, Zimbra lo firma con la clave privada, la clave pública siempre esta disponible en el servidor DNS en forma de registro TXT, esto garantiza que los servidores de destino, puedan validar el correo leyendo el registro DKIM en el servidor DNS.
Ahora bien, ¿Cómo creamos o generamos este registro?
Bien lo primero es acceder a nuestro servidor Zimbra para generar la clave:
# sudo su zimbra
# /opt/zimbra/libexec/zmdkimkeyutil -a -d ntw.nat.cu
Asegurate de cambiar a tu dominio.
Este simple comando genera la clave DKIM que usaremos en nuestro registro TXT en el DNS. A continuación les dejo algunos comandos más necesarios para actualizar o eliminar esto.
Actualizar DKIM:
# /opt/zimbra/libexec/zmdkimkeyutil -u -d ntw.nat.cu
Eliminar DKIM:
# /opt/zimbra/libexec/zmdkimkeyutil -r -d ntw.nat.cu
Obtener información sobre DKIM:
# /opt/zimbra/libexec/zmdkimkeyutil -q -d ntw.nat.cu
Debemos copiar el registro generado y colocarlo en nuestro servidor DNS.
Editamos nuevamente la zona:
# sudo nano /etc/bind/zonas/db.ntw.nat.cu
Y justo debajo de nuestro registro SPF, colocamos el nuevo registro TXT DKIM generado en Zimbra, como estamos agregando estos registros a nuestro propio servidor DNS y no tenemos una forma amigable de hacerlo, es necesario fijarse bien para no cometer errores:
EA2CDF54-A93B-11EC-A6A1-7D78606B4A01._domainkey IN TXT ( \"v=DKIM1; k=rsa; \"
\"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA8seS3IRVWq/MRj785BA7EyTht5ReFmLh1J2qPUKqKI/c2lO7V0gPwnVjJTxzwbmlJebyVsqV5tHc3Z+G56OgmvtZxV1+qWXpiFRJygtfqc6k+nUrj6UXYd4ubRtMmeygv6+5BjUjIxwLMFqPqU2zkEyQaXWN59natVkvNL5h7reqpCK3yOvwdqytTOEu6XwYR+F8cetAFwywRY\"
\"KJ9NIPJjMUIeZjIWPkvn00D2YtzZ0joOnIlT/PIjoKp0q0MAWJFFjdc/S18CQw6oES+ZcBFH7Z5rYsKi8jNAdn88xWEjsMG+AOdErJv0ddIxtjzJzgKZ1ENaLmsdeex+Fr41Dd2QIDAQAB\" )
Para ver como queda de una mejor forma, vea el video sobre esta entrada.
Guardamos los cambios y reiniciamos una vez más nuestro Bind
# sudo systemctl restart bind9
Es hora de comprobar que hemos realizado los pasos correctamente, para eso podemos utilizar algunas herramientas en línea, a continuación les dejo dos de las que utilizo.
https://mxtoolbox.com/dkim.aspx
https://dmarcian.com/dkim-inspector/
Para poder realizar la comprobación, estas herramientas solicitarán dos datos: el dominio, en este caso ntw.nat.cu y el Selector, este segundo dato es único, y lo encontramos al principio de nuestro registro DKIM generado, en este caso: EA2CDF54-A93B-11EC-A6A1-7D78606B4A01
Si todo está correcto deberíamos obtener éxito en la prueba.
//DMARC
DMARC básicamente actúa para comprobar que los registros SPF y DKIM están bien, además indica a los servidores de correo receptores que hacer en caso de encontrar un error, e incluso envía notificaciones al administrador del dominio, como reportes de fallos etc.
El siguiente asistente le ayudará a generar el registro DMARC para su dominio:
https://www.kitterman.com/dmarc/assistant.html?
Les dejo un ejemplo de los datos para generar el registro:
Domain: ntw.nat.cu //Nuestro dominio.
Required: quarantine
admin@ntw.nat.cu será el correo utilizado al cual enviar los diferentes tipos de notificaciones.
Nuestro registro generado quedará:
v=DMARC1; p=quarantine; rua=mailto:admin@ntw.nat.cu; ruf=mailto:admin@ntw.nat.cu; sp=quarantine
Nuevamente accedemos a nuestro servidor DNS y editamos nuestra zona, agregando al final:
# sudo nano /etc/bind/zonas/db.ntw.nat.cu
_dmarc.ntw.nat.cu. IN TXT \"v=DMARC1; p=quarantine; rua=mailto:admin@ntw.nat.cu; ruf=mailto:admin@ntw.nat.cu; sp=quarantine\"
Guardamos los cambios y reiniciamos:
# sudo systemctl restart bind9
Listo, al finalizar, contamos con registro SPF, DKIM y DMARC, podemos enviar y recibir correo desde Gmail por ejemplo y comprobar la reputación de nuestro servidor.
//Para dudas y consultas utilice nuestro grupo de Telegram o la Comunidad.