在Debian系统上配置DMARC(Domain-based Message Authentication, Reporting, and Conformance)涉及几个步骤。DMARC是一种电子邮件验证标准,用于检测伪造的电子邮件地址。以下是配置DMARC的详细步骤:
首先,确保你的Debian系统上安装了Postfix和OpenDKIM。你可以使用以下命令来安装它们:
sudo apt update
sudo apt install postfix opendkim opendkim-tools
OpenDKIM用于对电子邮件进行签名。你需要生成密钥对并配置OpenDKIM。
sudo opendkim-genkey -t -s mail -d yourdomain.com
这将在/etc/opendkim/keys/yourdomain.com/mail.private生成私钥,在/etc/opendkim/keys/yourdomain.com/mail.txt生成公钥。
编辑/etc/opendkim.conf文件,添加或修改以下内容:
Domain yourdomain.com
KeyFile /etc/opendkim/keys/yourdomain.com/mail.private
Selector mail
Socket inet:12301@localhost
sudo systemctl start opendkim
sudo systemctl enable opendkim
编辑Postfix的主配置文件/etc/postfix/main.cf,添加或修改以下内容:
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:12301
non_smtpd_milters = inet:localhost:12301
然后重启Postfix服务:
sudo systemctl restart postfix
创建或编辑DMARC策略文件/etc/dmarc/dmarc.conf,添加以下内容:
v=DMARC1;
p=none; # 初始设置为none,以便测试
aspf=r; # 启用ASPF
adkim=s; # 启用DKIM对齐模式
然后创建DMARC记录并将其添加到你的DNS区域文件中。例如,如果你使用的是yourdomain.com,你需要添加以下TXT记录:
_dmarc.yourdomain.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-failures@yourdomain.com; sp=none;"
你可以使用以下命令来添加DNS记录:
sudo nano /etc/bind/zones/db.yourdomain.com
在文件中添加上述TXT记录,然后保存并退出。
最后,重启BIND服务(如果你使用的是BIND):
sudo systemctl restart bind9
你可以使用opendkim-testkey工具来测试OpenDKIM配置:
sudo opendkim-testkey -d yourdomain.com -s mail
确保输出显示密钥有效并且签名正确。
定期检查DMARC报告,以确保你的配置正确并且没有滥用行为。你可以通过查看mailto:dmarc-reports@yourdomain.com邮箱来获取报告。
通过以上步骤,你应该能够在Debian系统上成功配置DMARC。记得在生产环境中将p=none更改为p=quarantine或p=reject,以提高电子邮件的安全性。