Vamos a sumergirnos en los detalles de la configuración de PowerMTA para SparkPost Signals.
Vamos a profundizar en los detalles de la configuración de PowerMTA para SparkPost Signals. Vas a necesitar:
Un host para ejecutar la última versión de PowerMTA, ya sea una máquina nueva o existente
Una cuenta de SparkPost con permiso de clave API para “Incoming Events: Write” como se describe aquí
Configuraremos PowerMTA para enviar eventos a tu cuenta de SparkPost, luego podrás utilizar lo siguiente:
Primero, instala (o actualiza) a PowerMTA 5.0 r4 o posterior, siguiendo las instrucciones habituales de instalación de v5.0, que son bastante sencillas. Luego, trabajaremos a través de los siguientes pasos:
Configurar el conector de PowerMTA para SparkPost Signals
Configurar el seguimiento de la participación con un dominio de seguimiento personalizado
Seleccionar qué flujos de tráfico de PowerMTA informar a Signals
Probar que tus eventos estén llegando a Signals
Revisar cómo usar nombres significativos que destaquen bien en los informes.
También cubriremos otros aspectos específicos de configuración de PowerPMTA utilizados en nuestra demostración de Signals:
Eventos FBL (Spam Complaints) y rebotes remotos (out-of-band)
Configuración de inyección, incluyendo DKIM
Configuración de FBL y OOB
Configuración y nombramiento de VirtualMTA (y cómo aparece esto en tus informes de SparkPost Signals)
Finalmente, hay una “característica adicional” con código para asegurar que los nombres de tus campañas sean compatibles con las convenciones de nombre X-Job de PowerMTA.
Configurar PowerMTA connector
La configuración de Signals se describe en la sección 10.1 de la Guía del Usuario 5.0. Aquí comenzaremos con “Use Case #2”, que habilita Signals para todo el tráfico desde este host de PowerMTA, y habilita el seguimiento de participación de SparkPost.
# # SparkPost Signals # <signals> api-key ##my ingest API key here## upload-url https://api.sparkpost.com/api/v1/ingest/events log-verbose true min-free-space 1G engagement-tracking sparkpost # esto activa el seguimiento de apertura y clics en PowerMTA customer-id 123 # Número de cuenta de SparkPost aquí </signals> enable-signals true
A continuación, se detalla lo que hace cada atributo:
api-key
Esto es único para tu cuenta de SparkPost, es el valor que obtuviste de SparkPost antes.
upload-url
Esto necesita coincidir con la dirección de tu servicio API de SparkPost, ya sea en EE.UU. o en la UE. Para más información, consulte aquí. Los valores habituales son:
SparkPost (EE.UU.): https://api.sparkpost.com/api/v1/ingest/events
SparkPost UE: https://api.eu.sparkpost.com/api/v1/ingest/events
log-verbose
Esta directiva es opcional y cuando está habilitada, proporciona un poco más de información en el archivo pmta.log, que puede ser útil durante la configuración para confirmar que todo funciona correctamente. Cada minuto, incluso cuando no hay tráfico, verás:
2019-07-26 11:47:57 Signals: No se encontraron archivos
Con tráfico, verás algo como:
2019-07-26 11:50:57 Signals: Descubierto sp1-0000000000003FBD.json 2019-07-26 11:50:57 Signals: Transferido sp1-0000000000003FBD.json con éxito. 2019-07-26 11:50:57 Signals: 1 archivo descubierto, 1 archivo transferido con éxito
min-free-space
Esto le indica a PowerMTA el umbral de espacio en disco a partir del cual debería comenzar a eliminar los archivos de eventos JSON más antiguos de SparkPost para hacer espacio para nuevos archivos cuando el espacio en disco sea bajo.
enable-signals
Esto le dice a PowerMTA que cargue a Signals, en este caso globalmente para todo el tráfico (más información aquí, para v5.0). Puedes ser más selectivo respecto a qué flujos de tráfico cargar si lo deseas.
También puedes marcar tráfico particular de PowerMTA para que sea reportado como perteneciente a una subcuenta de SparkPost – esta es otra forma de distinguir un flujo de tráfico particular de otro.
engagement-tracking, customer-id
La solución de Seguimiento de Compromiso de PowerMTA predetermina al dominio de seguimiento para el servicio alojado en EE.UU. de SparkPost. Especificas tu ID de cliente numérico de SparkPost; aquí están las instrucciones para encontrarlo.
tracking-domain
Para cuentas de SparkPost en la UE, agrega la siguiente línea:
tracking-domain pmta.eu.spgo.io # este es el punto de acceso para SparkPost UE
Dominio de Seguimiento Personalizado
Si preferirías usar tu propio dominio de seguimiento (esto es mejor desde el punto de vista de la entregabilidad), haz lo siguiente:
Crea un dominio de seguimiento con tu proveedor de DNS creando un registro CNAME. Este usualmente será un subdominio de tu dominio de nivel superior, por ejemplo, track.mycompany.com .
track.mycompany.com CNAME pmta.spgo.io # si tienes una cuenta de SparkPost en EE.UU. track.mycompany.com CNAME pmta.eu.spgo.io # si tienes una cuenta de SparkPost en la UE
También puedes usar dominios de seguimiento HTTPS, aunque esto es más complejo (consulta los pasos de configuración de SparkPost para dominios de seguimiento HTTPS).
Registra el dominio de seguimiento en tu cuenta de SparkPost, y verifícalo. Espera unos minutos antes de intentar esto, para permitir que los cambios de DNS se propaguen a través de Internet, dependiendo de tu proveedor de DNS.
Configura PowerMTA para usar ese dominio en lugar del predeterminado, con
tracking-domain yourdomain.com # Pon tu propio dominio aquí
Puedes verificar que tus correos electrónicos entregados tengan “pixeles de apertura” añadidos y los enlaces envueltos, observando los internos del correo (en Gmail, usa el menú superior derecho y elige “Mostrar Original”).
Notarás los pixeles de apertura al principio y al final del HTML en el correo electrónico. Cada enlace HTML también se cambia para tener REF apuntando al dominio de seguimiento.
Eso es todo lo que necesitas para que SparkPost Signals funcione con el Seguimiento de Compromiso incorporado de PowerMTA.
Prevención de rastreo de enlaces específicos en tu email HTML
Puedes evitar que PowerMTA rastree enlaces específicos, estableciendo el atributo personalizado data-msys-clicktrack a “0” :
<a href="#" data-msys-clicktrack="0">Example</a>
PowerMTA no envolverá el enlace. También eliminará ese atributo antes de transmitir el mensaje a tu destinatario.
Seleccione qué flujos de tráfico de PowerMTA informar a Signals
Probando que tus eventos están llegando a Signals
Aquí tienes una vista de SparkPost Signals, conectado a PowerMTA. Puedes ver que la puntuación de salud está variando.
Los nombres de las Campañas están disponibles como facetas de informes, junto con Subaccount, IP Pool, Mailbox Provider, y Sending Domain.
Además de mirar los registros de PowerMTA, puedes verificar que los datos de eventos están llegando a SparkPost mirando la pantalla de Integración de Signals.
En tu pantalla de Búsqueda de Eventos de SparkPost, deberías ver los eventos aparecer en pocos minutos. Estos incluirán eventos de Injection y Delivery, así como Bounce, y potencialmente Out-of-Band Bounce y eventos de Spam Complaint, si ya has configurado PowerMTA para manejarlos por ti.
Si tienes el Seguimiento de Engagement habilitado, también verás eventos de open, initial_open, y click.
Usando nombres significativos que aparezcan bien en los informes
Configurar los nombres de los PowerMTA VirtualMTA Pool y los nombres de los trabajos para que sean significativos y fáciles de leer vale la pena. Estos aparecen directamente en sus facetas de SparkPost Signals y el informe de resumen.
Como se mencionó anteriormente, no necesita crear estos pools en su cuenta de SparkPost. SparkPost los recoge de su configuración de PowerMTA.
Aquí se muestra cómo los términos de configuración de PowerMTA se traducen a términos de SparkPost.
Término de PowerMTA / Término de Informes de SparkPost / SignalsDominio del destinatario
(parte del dominio del campo “rcpt” en el archivo de contabilidad).Dominio del destinatarioLa parte del dominio del encabezado “Sender” o “From” en el mensaje retransmitido por PowerMTA.
(parte del dominio de “orig” en el archivo de contabilidad).Dominio de envíoVirtualMTA (nombre)—VirtualMTA Pool (nombre)
(“vmtaPool” en el archivo de contabilidad)IP Pool (nombre)smtp-source-host a.b.c.d
(“dlvSourceIp” en el archivo de contabilidad)IP de envío a.b.c.dTrabajo (nombre)
(“jobId” en el archivo de contabilidad)Campaign ID (nombre)—Plantilla (nombre)“Subaccount” no es un concepto nativo de PowerMTA.
Sin embargo, PowerMTA puede etiquetar virtualMTAs, virtual MTA Pools, o dominios de Sender-or-From con un subaccount ID para propósitos de informes de SparkPost.
ID de subcuenta (número)FBL (evento)Queja de spam (evento)Bote remoto (evento)Rebote fuera de banda (evento)
Configurar al menos una dirección de smtp-source-host también le permite a SparkPost identificar correctamente la dirección IP de envío para que aparezca en los eventos de inyección y entrega, así como en la vista del informe de resumen.
Los nombres de trabajos se establecen en PowerMTA a través de un encabezado en el mensaje inyectado. Además de permitir el control individual del trabajo (pausa/reanudar, etc.), que es útil en sí mismo, PowerMTA pasa los nombres a los informes de SparkPost Signals como “campaign ID”. Consulte la Guía del usuario v5.0 sección 12.8 “Seguimiento de una campaña en PowerMTA con un JobID”.
Hay algunas cosas que debe tener en cuenta con respecto a la nomenclatura de trabajos. Mientras que SparkPost (con formato JSON y escape de JSON) permite caracteres como <ESPACIO> en los nombres de las campañas, los encabezados de correo son más restrictivos. Los caracteres válidos permitidos en el encabezado X-Job son:
A-Za-z0-9!#$%&'()*+,-./:;<=>?@[\]^_{|}~
En otras palabras, los caracteres no permitidos incluyen <ESPACIO>, comillas dobles “ y la tilde inversa `. Si está acostumbrado a trabajar con nombres X-Job, esto no será sorprendente, y los nombres de sus ID de campaña “funcionarán” en los informes de SparkPost. Si, como yo, aprendió SparkPost primero, es posible que desee una herramienta para garantizar que sus valores de X-Job sean seguros; vea la característica adicional al final de este artículo.
Eventos FBL (Spam Complaints) y rebotes remotos (fuera de banda)
PowerMTA puede recibir y procesar eventos FBL (conocidos en SparkPost como eventos de queja por spam) y devoluciones remotas (conocidas en SparkPost como devoluciones fuera de banda, porque la respuesta llega un tiempo después, en lugar de durante la conversación SMTP).
Hay artículos en el Foro de Soporte de Port25 sobre cómo configurar el Procesador de Rebotes y el Procesador de FBL. Si ya eres un usuario de PowerMTA, probablemente ya los tengas.
Aquí está la configuración que hice para una demostración, basada en estos artículos y orientada a alojar PowerMTA en Amazon EC2.
Si estás familiarizado con la configuración de PowerMTA en esta área, puedes saltarte esta parte y pasar a la siguiente línea horizontal.
Configuración de inyección
Usaremos el puerto 587 para mensajes inyectados, que vendrán a través de Internet público desde otro host. Necesitamos detener a los malos actores que descubren y abusan de este servicio, por lo que aplicamos autenticación de nombre de usuario/contraseña y TLS opcional, similar a los puntos de inyección SMTP de SparkPost.
Queremos poder enviar mensajes desde fuentes que estén correctamente autenticadas a cualquier destino. También queremos un oyente separado en el puerto 25 para FBL y respuestas de rebote remoto que no requieren autenticación.
# # Dirección(es) IP y puerto(s) en los que escuchar conexiones entrantes de SMTP # smtp-listener 0.0.0.0:587 smtp-listener 0.0.0.0:25
En las siguientes declaraciones <source>, estamos utilizando autenticación de nombre de usuario/contraseña y TLS opcional para defendernos contra la inyección de mensajes deshonestos. También establecemos límites de tasa en conexiones que realizan intentos fallidos de contraseña.
Su configuración podría ser diferente; por ejemplo, si tiene una red privada entre el inyector y PowerMTA, no necesitará autenticación de contraseña.
# Una regla de fuente para toda la inyección, interna o externa. Enforce auth, excepto para rebotes y FBLs # <source 0/0> log-connections false log-commands false # ADVERTENCIA: ¡verboose! solo para dev log-data false # ADVERTENCIA: ¡aún más verboose! smtp-service true # permitir servicio SMTP smtp-max-auth-failure-rate 1/min allow-unencrypted-plain-auth false allow-starttls true rewrite-list mfrom </source> <source {auth}> always-allow-relaying yes # solo si la auth tiene éxito default-virtual-mta default process-x-job true </source>
La declaración <source {auth}> (ver aquí. v5.0) se aplica una vez que la autenticación ha pasado. Aquí, permite la retransmisión hacia adelante, configura el grupo MTA virtual predeterminado para usar y agrega el encabezado X-Job (que será informado por SparkPost Signals como campaign_id).
La lista de reescritura mapea mensajes inyectados para usar un dominio específico de MAIL FROM (también conocido como dominio de rebote o Return-Path:).
# # Reescribe la dirección MAIL FROM para que coincida con el dominio de rebote # <rewrite-list mfrom> mail-from *@pmta.signalsdemo.trymsys.net *@bounces.pmta.signalsdemo.trymsys.net </rewrite-list>
Luego configuramos nuestra configuración TLS y nombre de usuario / contraseña SMTP, de acuerdo con las recomendaciones actuales.
# # Asegure el servicio entrante con nombre de usuario, contraseña y TLS. SMT 2020-06-15 # smtp-server-tls-certificate /etc/pmta/pmtasignalsdemo.pem smtp-server-tls-allow-tlsv1 false smtp-server-tls-allow-tlsv1.1 false smtp-server-tls-allow-tlsv1.2 true smtp-server-tls-allow-tlsv1.3 true # # Usuarios SMTP (autenticados vía SMTP AUTH) # <smtp-user SMTP_Injection> password ##PONGA SU CONTRASEÑA AQUÍ## authentication-method password </smtp-user>
Podemos verificar que TLS v1.0 (inseguro, obsoleto) no se acepta usando mi herramienta de prueba SMTP favorita, swaks.
swaks --server pmta.signalsdemo.trymsys.net --port 587 --to test@trymsys.net --from any@sparkpost.com --tls --tls-protocol tlsv1
Vemos:
*** Fallo del inicio de TLS (connect(): error:00000000:lib(0):func(0):reason(0)) *** STARTTLS intentado pero fallido
De igual forma para –tls-protocol tlsv1_1.
También apliquemos la firma DKIM en nuestros mensajes salientes, ya que es una buena práctica (seguí estas instrucciones para configurar la clave).
# # DKIM # domain-key mypmta, pmta.signalsdemo.trymsys.net, /etc/pmta/mypmta.pmta.signalsdemo.trymsys.net.pem
FBL and OOB configuración
Ahora.. finalmente.. declaramos qué dominios específicos están abiertos para respuestas de rebote remoto y FBL. No queremos retransmitirlos en ningún lugar (para prevenir ataques de backscatter), solo procesar esas respuestas internamente.
# # Habilitar el procesamiento de rebotes y FBL en dominios específicos # relay-domain pmta.signalsdemo.trymsys.net relay-domain bounces.pmta.signalsdemo.trymsys.net relay-domain fbl.pmta.signalsdemo.trymsys.net <bounce-processor> deliver-unmatched-email no deliver-matched-email no <address-list> domain pmta.signalsdemo.trymsys.net domain bounces.pmta.signalsdemo.trymsys.net </address-list> </bounce-processor> <feedback-loop-processor> deliver-unmatched-email no deliver-matched-email no <address-list> domain fbl.pmta.signalsdemo.trymsys.net </address-list> </feedback-loop-processor>
Puedes ver que configuré dos dominios de rebote, ya que estaba experimentando con el uso/no uso de la regla de reescritura mfrom.
El dominio FBL generalmente se registra con servicios externos como Microsoft SNDS; ver este artículo para más información. Para esta demostración, los FBLs vendrán de Bouncy Sink, así que no hay necesidad de registrarse.
Probando el SMTP listener
Es importante probar que tu oyente SMTP está requiriendo autorización para cualquier destino general, rechazando cualquier mensaje que no esté específicamente dirigido a los dominios de FBL y rebote remoto.
swaks --server pmta.signalsdemo.trymsys.net --port 25 --to test@strange.pmta.signalsdemo.trymsys.net --from any@sparkpost.com
La respuesta, como se esperaba, muestra que el reenvío está denegado:
550 5.7.1 reenvío denegado para el destinatario en "RCPT TO:<test@strange.pmta.signalsdemo.trymsys.net>
(Fin de la descripción de la configuración de demostración).
Configuración y nombramiento de VirtualMTA
Los VirtualMTAs de PowerMTA (y los grupos de VirtualMTA) son funciones potentes para gestionar flujos de mensajes, y las funciones de informes PowerMTA / SparkPost Signals funcionan mejor con estos activos.
# # Envía todo el tráfico saliente a través de este mta virtual / grupo. # Declara la dirección IP de entrega aquí, para que los eventos de inyección de señales SparkPost (también conocidos como "recepción") lleven el atributo sending_IP correcto # <virtual-mta mta1> smtp-source-host 172.31.25.101 pmta.signalsdemo.trymsys.net </virtual-mta> <virtual-mta-pool default> virtual-mta mta1 <domain *> max-smtp-out 20 # máx. conexiones *por dominio* bounce-after 4d12h # 4 días, 12 horas retry-after 10m # 10 minutos dkim-sign sí </domain> </virtual-mta-pool>
La configuración virtual-mta-pool se informa en SparkPost como "IP Pool", y está disponible como un elemento de informe de SparkPost Signals (el menú desplegable debajo de los gráficos).
El Informe de Resumen también muestra IP Pool como un elemento de informe "Agrupar por".
Como se señaló anteriormente en este artículo, configurar al menos una dirección smtp-source-host también permite a SparkPost identificar correctamente la dirección IP de envío, para que aparezca en los eventos de Inyección y Entrega, y en el Informe de Resumen:
Eso es todo lo que necesitas para que una integración básica funcione entre PowerMTA y SparkPost Signals. Encontrarás el ejemplo completo del archivo de configuración aquí.
Antes de que te vayas, aquí está la función adicional que mencioné.
Función adicional: comprobación/filtrado de X-Job name
Para asegurar que cualquier cadena de caracteres sea segura para usar como un nombre de PowerMTA X-Job, aquí hay una función simple de Python para mapear cualquier carácter no seguro a un guion bajo “_”
import re def pmtaSafeJobID(s): """ :param s: str :return: str Mapear una cadena arbitraria de ID de campaña en caracteres permitidos para el encabezado de PMTA X-Job. Ver https://download.port25.com/files/UsersGuide-5.0.html#tracking-a-campaign-in-powermta-with-a-jobid Específicamente no permitir <sp> " ` pero permitir la mayoría de los otros caracteres. """ # Nota: se debe escapar ' - [ ] y doble escapar \ - ver https://docs.python.org/3/library/re.html disallowedChars = '[^A-Za-z0-9!#$%&\'()*+,\-./:;<=>?@\[\\\\\]^_{|}~]' return re.sub(disallowedChars, '_', s)
Esto utiliza expresiones regulares de Python de una manera específica. Declara el conjunto de caracteres no permitidos usando el operador “complemento del conjunto” ^ en lugar de listar todos los caracteres permitidos. Eso significa que capturamos (y hacemos seguros) caracteres más allá del conjunto usual de 7 bits. Podemos mostrar eso usando este fragmento de prueba:
s='' for i in range(32, 256): s += chr(i) print(pmtaSafeJobID(s))
Resultando en
_!_#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^__abcdefghijkl mnopqrstuvwxyz{|}~___________________________________________________________ ______________________________________________________________________
Puede ver que <ESPACIO>, comillas dobles “, y acento grave `, así como todos los caracteres más allá de ~ se mapean a guion bajo.
