Podešavanje mejla u cPanel-u i DNS-u

U ovom članku objasniću podešavanje mejla na hosting serveru (korištenjem cPanel-a, princip je sličan i za ostale panele), kao i podešavanje potrebnih DNS polja. Posebni članci objašnjavaju SMTP podešavanje za WordPress i integraciju Gmail naloga za mejl sajta. Shvatanje materije ovog članka je preduslov za razumevanje oba navedena članka. Pored mejla servera hosting provajdera, može se koristiti i odvojeno (plaćeno) rešenje – poput MXroute – objašnjenje za konfigurisanje. Možete pročitati i o prednostima i manama hostovanog mejl servisa.

Sadržaj:

1. Uvod
2. Kreiranje mejl naloga u cPanel-u
3. DNS podešavanje za mejl
4. Testiranje
5. Podešavanje eksternih mejl servisa (ako se koriste)

1. Uvod

Protokol za slanje elektronske pošte je daleko od pouzdanog. Iz mog iskustva: ko god tvrdi da može “garantovati” (uvek pitati: “čime se garantuje, novcem, reputacijom, ili nečim trećim?”) dostavu mejlova – ili svesno laže, ili nema dovoljno iskustva.

Ipak, mislim da vredi i da treba uraditi ono što je do nas da mejlovi imaju najveću verovatnoću da:

• Stignu do planiranog primaoca, bez da budu blokirani spem filterima.
• Kada stignu, završe u “inbox-u”, a ne u “spam” sandučiću primaoca.

Ovo počinje podešavanjem SMTP-a i relevantnih DNS polja, kako je objašnjeno u nastavku.

2. Kreiranje mejl naloga u cPanel-u

Pretpostaviću da su SSL/TLS sertifikati već instalirani i podešeni kako treba i ovde neću objašnjavati kako se to radi. Ne preporučujem slanje mejlova bez SSL/TLS konekcije, jer tada sadržaj mejlova lakše mogu pročitati “treće strane” i jer je tako veća verovatnoća da mejlovi budu označeni kao potencijalno “opasni/spam/phishing”. No, pređimo na stvar:

Ulogujte se u cPanel. Idite na opcije za mejl.

Ako je mejl nalog već kreiran, kliknite na “Connect Devices” da vidite bitna podešavanja (podrazumeva se da znate lozinku). Ako nije, kliknite na “+ Create” kako biste ga kreirali.

Prilikom kreiranja mejl naloga unose se željeno ime, lozinka, podešavaju ograničenja, pa klik na “+ CREATE”.

Sada će se [email protected] pojaviti na spisku mejl naloga prikazanom na slici 2. Kliknite na “Connect Devices” za taj nalog.

Dobićete spisak podešavanja SMTP klijenta. Koristite plave SSL/TLS opcije (prikazano na slici 4).

Ako je sve urađeno kako treba (SSL/TLS sertifikati instalirani i za mail.vašdomen.com), ime mejl servera je obično: “mail.vašdomen.com” – u ovom slučaju “mail.elektrobicikli.com”.

Podaci sa slike 4 će vam trebati da podesite mejl klijente, zapišite ih.

3. DNS podešavanje za mejl

DNS polja važna za sigurnu dostavu (i verifikaciju pošiljaoca) mejlova su:

• a) MX zapisi
• b) Sledeći TXT zapisi:
• SPF (eng. Sender Policy Framework)
• DKIM (eng. Domain Keys Identified Mail)
• DMARC (eng. Domain-based Message Authentication, Reporting & Conformance)
• BIMI

MX zapisi će biti automatski kreirani ako koristite SMTP server hosting provajdera za slanje mejlova. Ako koristite hostovan mejl servis, dobićete potrebne podatke od provajdera servisa. Ovako izgledaju ti zapisi:

SPF i DKIM bi trebalo da su automatski kreirani, osim u slučaju korištenja hostovanog mejl servisa – u kom slučaju ćete dobiti potrebno SPF polje od provajdera mejla (što je objašnjeno u članku o konfiguraciji MXroute servisa).

Objasniću kako se to može proveriti u cPanel-u. Ako koristite Cloudflare (ili poseban DNS), moraćete ta polja dodati tamo (u DNS opcijama). U posebnom članku dao sam objašnjenje svih DNS polja vezanih za mejl (kao i ostalih DNS polja). Ovo je primer kako TXT zapisi DNS-a izgledaju:

Da biste proverili i konfigurisali DNS zapise, idite u Zone Editor u cPanel-u:

Tu se vide SPF i DKIM polja – oba su tipa “TXT”. Ako se koristi poseban DNS, treba ih kreirati i tamo, uz copy/paste vrednosti iz desne kolone, prkazanih na slici 7. S tim što bi moj predlog za SPF polje bio sledeći, ako se koriste spoljni mejl servisi:

v=spf1 include:mxlogin.com include:sendgrid.net -all

U ovom primeru sam dozvolio slanje sa MXroute i SendGrid, a zabranio sa svih ostalih. Pošto ne koristim druge servise, pa bi to značilo da nisu legitimni (tj. da neko pokušava slati mejlove pretvarajući se da je bikegremlin.com).

Objašnjenje (na engleskom) SPF polja je lepo dato ovde: How to create an SPF record.

Poseban članak objašnjava: kako da podesite DKIM vrednost, čak i ako koristite poseban email servis.

Treba dodati i DMARC polje. DMARC je polje koje povezuje SPF i DKIM, sve radi validacije domena za slanje mejlova (i sprečavanje da neko ko se pretvara da šalje sa vašeg domena može slati mejlove – phishing). Kako se to radi u cPanel Zone Editoru, prikazano je na slici 8. Za druge DNS-ove princip je isti.

Odličan članak koji (na engleskom) objašnjava u detalje šta je to SPF, DKIM, DMARC i kako se oni zajedno podešavaju da bi se sprečio email spoofing:
How to Implement DMARC/DKIM/SPF to Stop Email Spoofing/Phishing: The Definitive Guide

Na tom linku se mogu naći i instrukcije za podešavanje DKIM polja da bude nešto kompleksnije i omogući bolju zaštitu, kao i definisanje mejl adrese na koju se šalju izveštaji u slučaju da poslati mejl ne prođe SPF i DKIM proveru. Ukratko, primer boljih DMARC podešavanja za početak:

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; adkim=s; aspf=s; fo=1;

Zatim, ako ne dobijate puno grešaka na mejl za izveštaje ([email protected] u ovom primeru), možete podesiti strožije opcije (na mejl za izveštaje će stizati i prijave u slučaju da neko pokuša mejl spoofing):

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject; adkim=s; aspf=s; fo=1;

Za više detalja, pogledajte gore pomenuti članak. Takođe, možete otvoriti nalog na nekom od servisa koji pružaju uslugu analize DMARC izveštaja. Što je lakše nego da “ručno” analizirate izveštaje (bilo gledanjem koda, ili copy/paste u alat za DMARC analizu). Ja volim i koristim Easydmarc (besplatna verzija pruža osnovni izveštaj). Ako koristite takav neki servis, dobićete mejl adresu koju treba da stavite u DMARC polje, umesto [email protected].

Relativno nov TXT zapis, vezan za mejlove, zove se BIMI (eng. Brand Indicators for Message Identification). Sadrži link ka slici logoa (kompanije) – u .svg formatu. Dodaje se u formatu “default._bimi.vasdomen.com”, slično kao “default._domainkey.vasdomen.com” (prikazan na slici 7).

BIMI za vrednost sadrži link ka slici koja sadrži vaš logo (koju ste prethodno uploadovali na svoj domen). Šablon i primer:

v=BIMI1; l=LINK KA VAŠEM LOGOU U .svg FORMATU

v=BIMI1; l=https://www.bikegremlin.com/hotlink-ok/BikeGremlin.svg

Za razliku od ostalih DNS polja vezanih za mejlove, BIMI ima prvenstveno marketinšku funkciju, omogućavajući da se vaš logo prikaže pored mejlova u mejl klijentima koji to omogućavaju. Sa druge strane: MX, SPF, DMKIM i DMARC su važni za validaciju i prevenciju lažiranja mejlova od strane zlonamernih ljudi.

Nakon što je sve urađeno, treba sačekati da prođe DNS propagacija. Ovo može trajati i do 48 sati, mada obično bude gotovo u roku od sat-dva. Ako se koristi Cloudflare, često i u roku od desetak minuta.

Ažuriranje: nije loše verifikovati domen i na Gugl Postmaster. Dobićete kod koji treba dodati u TXT DNS zapis. Dodaje se isto kao i SPF, DKIM i DMARC zapisi.

4. Testiranje

Za testiranje koristim mail-tester.com. Otvorite mail-tester sajt i pratite uputstva. U suštini treba poslati mejl na zadatu adresu, sa vašeg sajta, koristeći podešeni nalog, kako bi se proverila ispravnost podešavanja istog.

Poseban članak objašnjava kako podesiti: SMTP slanje mejlova za WordPress sajt.

Na slici 11 prikazan je rezultat testiranja, a ispod ću objasniti kako se tumači.

Prva žuta strelica javlja da u mejlu koji sam poslao nema “Unsubscribe” polja za odjavu sa mejl liste. Ako šaljete mejl liste, to bi svakako trebalo implementirati. Za “obične” mejlove nije neophodno.

Crveni “-1” znak je obaveštenje da je IP adresa SMTP servera sa kojeg šaljem poštu na barem jednoj crnoj listi. Što znači da je neko od korisnika servera slao spem poštu. Ako ste na shared hostingu, onda je ovo posao provajdera: sprečavanje slanja spema i skidanje adrese sa crne liste. Ako imate svoju “dedicated” IP adresu, onda je to vaša krivica i vaš posao da rešavate.

Razni servisi za slanje mejlova, poput SendGrid, dodatno naplaćuju za posebnu IP adresu. Ako koristite besplatnu adresu, vrlo verovatno će se nalaziti na barem nekoliko crnih lista, pošto spameri često koriste ove servise.

Isto tako, neki servisi za mejl, poput MXroute, oštro “seku” sve spamere na svom serveru, pa nema problema ni sa deljenom IP adresom.

Za testiranje BIMI DNS zapisa, može poslužiti ovaj BIMI tester.

5. Podešavanje eksternih mejl servisa (ako se koriste)

Nakon što sam sve lepo namestio, primetio sam jedan problem: mejlovi poslati sa sajta koji je hostovan na istom serveru, završavali su u inbox-u na lokalnom serveru, ne na MXroute. Ako je mejl nalog na lokalnom serveru obrisan, još gore – mejl ne bude dostavljen uopšte (bounce).

Primer je dat za MXroute, ali princip je isti za bilo koji drugi eksterni mejl servis (MS Exchange, Gsuite…). To se u cPanel-u radi na sledeći način:

Tek nakon ovoga, sajt/domen je u potpunosti podešen kako treba za korištenje MXroute (ili bilo kog drugog odvojenog servisa za poštu).

DirectAdmin podešavanje se malo razlikuje od cPanel-a:

Zatim treba izmeniti podrazumevana podešavanja i editovati postojeći MX record ako postoji, kao i dodati drugi:

Nakon ovoga, kliknuti na “ADD RECORD” (slika 16) i dodati i secondary MX (value je 20 za njega).