Last Updated:

DKIM, SPF y DMARC en HCL Domino

HCL Domino en su versión 12.0.2, añade la configuración de SPF y DMARC.

Tristan Dixon de Prominic.net (nuestro proveedor de alojamiento Domino en la nube), explicó en Collabsphere 2022, temas como Registros SPF, DKIM, DMARC, filtros de SAM y además el control ICAP. Este articulo es un resumen de su sesión con algunas ilustraciones.

¿Por qué los registros SPF, DKIM y DMARC son importantes?

  • Añaden credibilidad y validez a su dominio
  • Ayudan a proteger los usuarios de los intentos de fishing / spoofing
  • Es importante de tener todos esos registros en marcha en su infraestructura de correo para su dominio

Registros SPF (Sender Policy Framedwork)

  • Valida que la IP y los hostnames están autorizados a mandar correo en nombre de su dominio
  • Impide a los Spammers, mandar correo usando su dominio
  • Añade credibilidad duradera a su dominio
  • Implica añadir un registro TXT en su DNS publico para su dominio
  • Un ejemplo podría ser:
    v=spf1 ip4:189.205.10.25 a:subdominio.midominio.es ~all
    v=spf1 + IP address + FQDN + Opción

SPF - Componentes del TXT

  • mx: include todos las IP asociados con los registros MX de su dominio
  • a: define un FDQN Fully Qualified Domain Name (dominio completo)
  • Include: define un nombre de dominio y marca el SPF valido para este domino
  • ip4: define una IP
  • ~all: Es un fallo leve para el registro SPF. Permite al correo que es validado por el control, entra y ser marcado como SPAM
  • -all: Es un fallo grave para el registro SPF. Todos sus mensajes que no han sido emitido por sus servidores (listados en el registro SPF), serán bloqueados.

 

DKIM (DomainKeys Identified Mail)

  • Firmar todos los correos saliendo de su empresa / dominio con un clave encriptada
  • Permite a los receptores de los correos, verificar si un correo ha sido modificado durante su transmisión, consultando el registro DNS para validar
  • Ayuda a parar el fishing y spoofing contra su dominio
  • Añade credibilidad a todos sus correos saliente de su dominio
  • Construye una reputación a largo plazo para el propio dominio
  • DKIM se encuentra disponible desde Domino 12.0.1
  • Documentación: https://help.hcltechsw.com/domino/12.0.0/admin/conf_dkimsigning.html 
  • Para crear una clave DKIM para su domino, se crea una base de datos credstore.nsf en su servidor Domino (si Verse esta en uso, ya existe).
    Documentación: 
    https://help.hcltechsw.com/domino/12.0.0/admin/secu_creating_the_credential_store_application_on_a_single_domino_server_t.html 

  • Si no existe, se crea con los comandos siguientes donde nekname es el nombre de la clave:
  • keymgmt create nek <nekname>

  • Después, se crea la base de datos para almacenar los credenciales, encriptado con la clave que acabamos de crear
  • keymgmt create credstore <nekname>
  • La marca de la clave tiene que coincidir (ver documentación)
  • La base de datos credstore.nsf se crea en el sub directorio \data\IBM_CredStore
  • Creación de la la clave DKIM con el comando:

    keymgmt create DKIM <domain> <selector> RSA [<keySize>]
  • keymgmt create DKIM data101.es 12345 RSA 2048

  • Se exporta esta clave a un fichero de texto para poder obtener su contenido en el registro DNS
    keymgmt export DKIM DNS data101.es 12345 dkimdns.txt
  • El registro DNS para DKIM tiene el formato siguiente:
     <selector>._domainkey.<domain>
  • 12345._domainkey.renovations.com
  • Hay que añadir un registro DKIM_KEY en el notes.ini del servidor Domino SMTP para asociar una clave con el dominio (Ojo: reinicio de la tarea Router necesaria)
  • DKIM_KEY_<domain>=<selector>
  • Después de esta configuración, se activa la firma con un comando de consola
  • RouterDKIMSigning=<value> (1/2)

 

Featured

Follow us

Tags