Google कार्यस्थान सुरक्षा मार्गदर्शिका
एसपीएफ़, डीकेआईएम और डीएमएआरसी वैकल्पिक पॉलिश नहीं हैं। वे व्यावसायिक ईमेल के लिए विश्वास परत हैं।
एक मजबूत Google वर्कस्पेस ईमेल सेटअप प्रत्येक वैध प्रेषक को मैप करता है, एक स्वच्छ एसपीएफ़ नीति प्रकाशित करता है, डीकेआईएम हस्ताक्षर को सक्रिय करता है, और गलती से चालान, वेबसाइट फॉर्म या सीआरएम मेल को अवरुद्ध किए बिना डीएमएआरसी को रोल आउट करता है।
एसपीएफ़, डीकेआईएम और डीएमएआरसी ईमेल प्रमाणीकरण नियंत्रण हैं। वे अच्छी मेलबॉक्स सुरक्षा को प्रतिस्थापित नहीं करते हैं, और वे इसकी गारंटी नहीं देते हैं कि प्रत्येक संदेश इनबॉक्स में आएगा। वे मेल प्राप्त करने वाली प्रणालियों को यह तय करने में मदद करते हैं कि आपके डोमेन से आने का दावा करने वाला संदेश आपकी डोमेन नीति के साथ अनुमत, हस्ताक्षरित और संरेखित है या नहीं।
Google वर्कस्पेस का उपयोग करने वाले छोटे व्यवसाय के लिए, लक्ष्य व्यावहारिक है: स्पूफिंग जोखिम को कम करना, विश्वास में सुधार करना, और वेबसाइटों, सीआरएम, इनवॉइसिंग सिस्टम, भुगतान अनुस्मारक, समर्थन टूल और मार्केटिंग प्लेटफ़ॉर्म से वैध मेल को तोड़ने से बचना।
प्रमाणीकरण क्रम
त्वरित उत्तर
Google वर्कस्पेस-केवल प्रेषक सेटअप के लिए, प्रारंभिक एसपीएफ़ नीति अक्सर इस तरह दिखती है:
v=spf1 include:_spf.google.com ~allलेकिन अगर आपका डोमेन किसी वेबसाइट, सीआरएम, हेल्प डेस्क, बिलिंग टूल, मार्केटिंग सिस्टम या एसएमटीपी रिले से भी भेजता है तो उसे आंख मूंदकर पेस्ट न करें। एसपीएफ़ आमतौर पर डोमेन के लिए एक TXT रिकॉर्ड है, और इसमें सभी वैध प्रेषक शामिल होने चाहिए। Google का SPF दस्तावेज़ Google के शामिल पैटर्न और पहले प्रेषकों की पहचान करने की आवश्यकता को समझाता है: SPF सेट करें।
सुरक्षित आदेश है:
Google कार्यस्थान और डोमेन से भेजने वाले प्रत्येक तृतीय-पक्ष सिस्टम की सूची बनाएं।
एक एसपीएफ़ रिकॉर्ड प्रकाशित करें जो डुप्लिकेट एसपीएफ़ रिकॉर्ड के बिना वैध प्रेषकों को कवर करता है।
Google एडमिन में DKIM कुंजी जेनरेट करें, TXT रिकॉर्ड प्रकाशित करें, फिर हस्ताक्षर सक्रिय करें।
निगरानी से शुरुआत करें, रिपोर्ट की समीक्षा करें, फिर तैयार होने पर सख्त नीति की ओर बढ़ें।
हेडर, रिपोर्ट, प्रेषक उपकरण और व्यवसाय-महत्वपूर्ण डिलीवरी की जाँच करें।
प्रेषक सूची
अधिकांश SPF और DMARC गलतियाँ इसलिए होती हैं क्योंकि टीम केवल Gmail के बारे में सोचती है। एक डोमेन कई स्थानों से भेज सकता है:
प्रेषक सूची चेकलिस्ट
- गूगल वर्कस्पेस जीमेल।
- वेबसाइट संपर्क फ़ॉर्म.
- वर्डप्रेस, शॉपिफाई, वेबफ्लो, कस्टम बैकएंड, या फॉर्म प्लगइन।
- सीआरएम या बिक्री स्वचालन।
- चालान, लेखांकन, या भुगतान अनुस्मारक उपकरण।
- सहायता डेस्क या टिकटिंग प्रणाली।
- ईमेल मार्केटिंग प्लेटफार्म.
- ईमेल फ़ॉलबैक भेजने वाला एसएमएस या ओटीपी प्लेटफ़ॉर्म।
- सर्वर अलर्ट, क्रॉन जॉब्स, या ऐप नोटिफिकेशन।
- पुराना प्रदाता जो अभी भी माइग्रेशन के दौरान भेजता है।
यदि कोई स्वीकृत सिस्टम @company.com से भेजता है, तो उसके SPF में मूल्य, DKIM आवश्यकता, बाउंस पता व्यवहार और क्या यह कस्टम रिटर्न-पथ संरेखण का समर्थन करता है, रिकॉर्ड करें। यह वास्तविक प्रमाणीकरण सेटअप और चेकलिस्ट से कॉपी किए गए DNS रिकॉर्ड के बीच अंतर है।
प्रेषक इन्वेंट्री वर्कशीट
| प्रेषक | उदाहरण | रिकॉर्ड की जरूरत है | मालिक |
|---|---|---|---|
| गूगल कार्यक्षेत्र | कर्मचारी जीमेल | एसपीएफ़ में और डीकेआईएम शामिल हैं | कार्यक्षेत्र व्यवस्थापक |
| वेबसाइट प्रपत्र | संपर्क पृष्ठ | एसपीएफ़ या एसएमटीपी प्रदाता डीकेआईएम | वेब टीम |
| सीआरएम | अनुवर्ती कार्रवाई का नेतृत्व करें | विक्रेता एसपीएफ़/डीकेआईएम | बिक्री संचालन |
| बिलिंग उपकरण | चालान | विक्रेता एसपीएफ़/डीकेआईएम | लेखा |
| विपणन मंच | अभियान | अलग DKIM और DMARC संरेखण समीक्षा | मार्केटिंग |
एसपीएफ़ सेट करें
एसपीएफ़ एक प्रेषक प्राधिकरण प्रश्न का उत्तर देता है: क्या यह भेजने वाला सर्वर डोमेन की एसपीएफ़ नीति द्वारा अनुमत है?
कार्यान्वयन नियम:
- रूट डोमेन के लिए एक SPF TXT रिकॉर्ड रखें।
- जब Google डोमेन के लिए मेल भेजता है तो Google Workspace को
include:_spf.google.comके साथ शामिल करें। - केवल वैध तृतीय-पक्ष प्रेषकों को जोड़ें।
allको अंतिम तंत्र के रूप में रखें।- डुप्लिकेट SPF TXT रिकॉर्ड से बचें।
- उन प्रदाताओं को जोड़ने से बचें जो अब मेल नहीं भेजते हैं।
Google का SPF समस्या निवारण मार्गदर्शन सामान्य जाँचों पर भी प्रकाश डालता है: रिकॉर्ड अस्तित्व, सिंटैक्स, तृतीय-पक्ष प्रेषक, DNS प्रबंधन, लुकअप सीमाएँ, और DNS सुधारों के प्रभावी होने की प्रतीक्षा करना। एसपीएफ़ समस्याओं का निवारण करें देखें।
डीकेआईएम स्थापित करें
DKIM आउटबाउंड मेल में एक डिजिटल हस्ताक्षर जोड़ता है। Google Workspace के लिए, व्यावहारिक प्रवाह यह है:
- Google एडमिन खोलें.
- जीमेल प्रमाणीकरण सेटिंग्स पर जाएं।
- डोमेन चुनें.
- DKIM कुंजी जनरेट करें.
- सक्रिय DNS होस्ट पर दिए गए TXT रिकॉर्ड को जोड़ें।
- DNS दिखाई देने तक प्रतीक्षा करें.
- Google एडमिन पर वापस लौटें और प्रमाणीकरण प्रारंभ करें।
- एक परीक्षण ईमेल भेजें और हेडर का निरीक्षण करें।
कार्यान्वयन करते समय Google के वर्तमान DKIM सेटअप निर्देशों का उपयोग करें: DKIM सेट करें।
DNS रिकॉर्ड मौजूद होने पर भी DKIM विफल हो सकता है। सामान्य कारणों में कुंजी को गलत तरीके से कॉपी करना, चयनकर्ता को गलत होस्ट के अंतर्गत रखना, गलत DNS प्रदाता पर प्रकाशित करना, पुनर्जनन के बाद पुरानी कुंजी का उपयोग करना, या किसी तीसरे पक्ष के सिस्टम के माध्यम से भेजना जो आपके डोमेन के साथ हस्ताक्षर नहीं करता है।
DMARC स्थापित करें
DMARC रिसीवर्स को बताता है कि प्रमाणीकरण और संरेखण जांच में विफल रहने वाले मेल को कैसे संभालना है। रिपोर्टिंग पते के साथ कॉन्फ़िगर होने पर यह समग्र रिपोर्टिंग को भी सक्षम बनाता है।
छोटे व्यवसाय वाले Google वर्कस्पेस रोलआउट के लिए, हर चीज़ को अस्वीकार करके शुरुआत न करें। दृश्यता से प्रारंभ करें:
v=DMARC1; p=none; rua=mailto:[email protected]एक वास्तविक मेलबॉक्स या रिपोर्टिंग टूल का उपयोग करें जिसकी कोई समीक्षा करेगा। एक DMARC रिकॉर्ड जो ऐसे मेलबॉक्स पर रिपोर्ट भेजता है जिसे कोई नहीं पढ़ता, परिचालन निगरानी नहीं है।
Google DMARC से पहले SPF और/या DKIM स्थापित करने और DMARC को धीरे-धीरे शुरू करने की अनुशंसा करता है। कार्यान्वयन करते समय Google के वर्तमान DMARC निर्देशों और अनुशंसित रोलआउट मार्गदर्शन का उपयोग करें: DMARC सेट करें और अनुशंसित DMARC रोलआउट।
पी=कोई नहीं से प्रारंभ करें
उन वैध प्रेषकों को खोजने के लिए निगरानी का उपयोग करें जो अभी तक प्रमाणित या संरेखित नहीं हैं।
प्रेषकों को साफ़ करें
अनुपलब्ध विक्रेता प्रमाणीकरण जोड़ें, पुराने सिस्टम बंद करें, और स्वीकृत SMTP पथों पर प्रपत्रों को स्थानांतरित करें।
नीति को धीरे-धीरे आगे बढ़ाएँ
रिपोर्ट साफ़ दिखने के बाद, संगरोध की ओर बढ़ें या देखभाल और व्यावसायिक अनुमोदन के साथ अस्वीकार करें।
इसे कायम रखें
CRM, मार्केटिंग टूल, सपोर्ट डेस्क, वेबसाइट या इनवॉइस प्रेषक जोड़ते समय DMARC को दोबारा जांचें।
समस्या निवारण एवं निगरानी
प्रमाणीकरण समस्या निवारण के लिए साक्ष्य की आवश्यकता होती है। किसी बाहरी मेलबॉक्स पर परीक्षण संदेश भेजें, संदेश शीर्षलेख खोलें और SPF, DKIM और DMARC परिणाम देखें। Google की DMARC समस्या निवारण मार्गदर्शिका विशेष रूप से प्रमाणीकरण परिणामों के लिए संदेश शीर्षलेखों की जाँच करने की ओर इशारा करती है: DMARC समस्याओं का निवारण करें।
एसपीएफ़ पास हो गया लेकिन डीकेआईएम विफल हो गया
हो सकता है कि Google अभी तक हस्ताक्षर न कर रहा हो, हो सकता है कि DNS ने प्रचारित न किया हो, या संदेश किसी तृतीय-पक्ष पथ के माध्यम से भेजा गया हो।
DKIM पास हो गया लेकिन DMARC विफल हो गया
यदि दृश्यमान डोमेन प्रमाणित डोमेन के साथ संरेखित नहीं होता है, तो संरेखण अभी भी विफल हो सकता है।
वेबसाइट फ़ॉर्म प्रमाणीकरण विफल रहता है
हो सकता है कि वेबसाइट सीधे सर्वर से भेज रही हो। उचित डोमेन प्रमाणीकरण के साथ अनुमोदित एसएमटीपी या लेनदेन संबंधी ईमेल प्रदाता का उपयोग करें।
DMARC रिपोर्टों को नजरअंदाज कर दिया जाता है
रिपोर्ट में किसी स्वामी, उपकरण या प्रक्रिया की जानकारी होनी चाहिए। अन्यथा व्यवसाय सुरक्षित रूप से निगरानी से प्रवर्तन की ओर नहीं बढ़ सकता है।
अक्सर पूछे जाने वाले प्रश्न
क्या SPF Google Workspace के लिए पर्याप्त है?
नहीं, एसपीएफ़ उपयोगी है, लेकिन डीकेआईएम और डीएमएआरसी हस्ताक्षर, संरेखण जांच और विफलता नीति जोड़ते हैं। पेशेवर सेटअप के लिए इन तीनों का उपयोग करें।
क्या मेरे पास एकाधिक एसपीएफ़ रिकॉर्ड हो सकते हैं?
एक ही डोमेन के लिए एकाधिक SPF TXT रिकॉर्ड से बचें। वैध प्रेषकों को एक एसपीएफ़ नीति में मर्ज करें।
मुझे DMARC को संगरोध या अस्वीकार करने के लिए कब स्थानांतरित करना चाहिए?
केवल तभी आगे बढ़ें जब रिपोर्ट से पता चले कि Google Workspace और सभी वैध तृतीय-पक्ष प्रेषक सही तरीके से पास हो रहे हैं।
क्या उपनामों के लिए अलग एसपीएफ़ रिकॉर्ड की आवश्यकता है?
एक ही डोमेन के अंतर्गत सामान्य उपनामों को अलग एसपीएफ़ की आवश्यकता नहीं होती है। अलग-अलग डोमेन या उपडोमेन को अपने स्वयं के प्रमाणीकरण रिकॉर्ड की आवश्यकता हो सकती है।
हैंडओवर में क्या शामिल होना चाहिए?
DNS होस्ट, SPF रिकॉर्ड, DKIM चयनकर्ता, DKIM सक्रियण तिथि, DMARC नीति, रिपोर्ट गंतव्य, परीक्षण किए गए प्रेषक और ज्ञात तृतीय-पक्ष उपकरण शामिल करें।
