Immergiamoci nei dettagli di configurazione di PowerMTA per SparkPost Signals.
Esaminiamo i dettagli della configurazione di PowerMTA per SparkPost Signals. Avrai bisogno di:
Un host su cui eseguire l'ultima versione di PowerMTA – sia una macchina nuova che una esistente
Un account SparkPost con permessi di chiave API per “Incoming Events: Write” come descritto qui
Imposteremo PowerMTA per inviare eventi al tuo account SparkPost, quindi potrai utilizzare quanto segue:
Innanzitutto, installa (o aggiorna) PowerMTA 5.0 r4 o successiva, seguendo le istruzioni di installazione della versione 5.0 abituali, che sono piuttosto semplici. Poi, lavoreremo attraverso i seguenti passaggi:
Configura il connettore PowerMTA per SparkPost Signals
Imposta il monitoraggio degli impegni con un dominio di tracciamento personalizzato
Seleziona quali flussi di traffico PowerMTA riportare a Signals
Testare che i tuoi eventi raggiungano Signals
Rivedi come utilizzare nomi significativi che si mostrano bene nei report.
Tratteremo anche altri aspetti specifici della configurazione PowerPMTA utilizzati nella nostra demo di Signals:
Eventi FBL (Reclami di spam) e rimbalzi remoti (out-of-band)
Configurazione dell’inject, compreso DKIM
Configurazione FBL e OOB
Configurazione e denominazione di VirtualMTA (e come questo appare nei report di SparkPost Signals)
Infine, c'è una “funzione bonus” con codice per garantire che i nomi delle campagne siano compatibili con le convenzioni di nome di PowerMTA X-Job .
Configura connettore PowerMTA
La configurazione di Signals è descritta nella Guida Utente 5.0, sezione 10.1. Qui inizieremo con "Use Case #2", che abilita Signals per tutto il traffico da questo host PowerMTA, e abilita il monitoraggio dell'engagement di SparkPost.
# # SparkPost Signals # <signals> api-key ##my ingest API key here## upload-url https://api.sparkpost.com/api/v1/ingest/events log-verbose true min-free-space 1G engagement-tracking sparkpost # questo attiva il monitoraggio di apertura e clic in PowerMTA customer-id 123 # Il numero del tuo account SparkPost qui </signals> enable-signals vero
Ecco cosa fa ogni attributo:
api-key
Questo è unico per il tuo account SparkPost, è il valore che hai ottenuto da SparkPost in precedenza.
upload-url
Questo deve corrispondere all'indirizzo del servizio API SparkPost, sia esso US o EU. Per ulteriori informazioni, vedere qui. I valori usuali sono:
SparkPost (US): https://api.sparkpost.com/api/v1/ingest/events
SparkPost EU: https://api.eu.sparkpost.com/api/v1/ingest/events
log-verbose
Questa direttiva è opzionale e, quando abilitata, fornisce un po' più di informazioni nel file pmta.log, il che può essere utile durante la configurazione per confermare che tutto funzioni correttamente. Ogni minuto, anche quando non c'è traffico, vedrai:
2019-07-26 11:47:57 Signals: Discovered 0 files
Con traffico, vedrai qualcosa come:
2019-07-26 11:50:57 Signals: Discovered sp1-0000000000003FBD.json 2019-07-26 11:50:57 Signals: Transferred sp1-0000000000003FBD.json successfully. 2019-07-26 11:50:57 Signals: Discovered 1 file, transferred 1 file successfully
min-free-space
Questo indica a PowerMTA la soglia di spazio su disco oltre la quale dovrebbe iniziare a eliminare i file di eventi JSON SparkPost più vecchi per fare spazio ai nuovi file quando lo spazio su disco è scarso.
enable-signals
Questo indica a PowerMTA di caricare su Signals, in questo caso a livello globale per tutto il traffico (maggiori informazioni qui, per v5.0). Puoi essere più selettivo su quali flussi di traffico caricare se lo desideri.
Puoi anche segnare un particolare traffico PowerMTA da riportare come appartenente a un subaccount SparkPost – questo è un altro modo per distinguere un flusso di traffico particolare da un altro.
engagement-tracking, customer-id
La soluzione di Engagement Tracking di PowerMTA predefinisce il dominio di monitoraggio per il servizio ospitato SparkPost negli Stati Uniti. Specifica il tuo ID cliente numerico SparkPost; ecco le istruzioni per trovarlo.
tracking-domain
Per gli account SparkPost EU, aggiungi la seguente riga:
tracking-domain pmta.eu.spgo.io # questo è l'endpoint per SparkPost EU
Domain di monitoraggio personalizzato
Se preferisci usare il tuo dominio di monitoraggio (questo è meglio dal punto di vista della deliverability), fai quanto segue:
Crea un dominio di monitoraggio con il tuo fornitore DNS creando un record CNAME. Questo sarà generalmente un sottodominio del tuo dominio di primo livello, ad esempio track.mycompany.com .
track.mycompany.com CNAME pmta.spgo.io # se hai un account SparkPost US track.mycompany.com CNAME pmta.eu.spgo.io # se hai un account SparkPost EU
Puoi anche usare domini di monitoraggio HTTPS, sebbene questo sia più complicato (vedi i passaggi di configurazione SparkPost qui).
Registra il dominio di monitoraggio nel tuo account SparkPost e verificalo. Attendi qualche minuto prima di provare questo, per consentire alle modifiche DNS di propagarsi su Internet, a seconda del tuo fornitore DNS.
Configura PowerMTA per utilizzare quel dominio invece di quello predefinito, con
tracking-domain yourdomain.com # Metti qui il tuo dominio
Puoi controllare che le tue email consegnate abbiano "pixeleti aperti" aggiunti e i link formattati, osservando l'interno della posta (in Gmail, usa il menu in alto a destra e scegli "Mostra originale").
Noterai i pixeleti aperti all'inizio e alla fine dell'HTML nell'email. Ogni link HTML viene anche modificato per avere REF che punta al dominio di monitoraggio.
Questo è tutto ciò di cui hai bisogno per far funzionare SparkPost Signals con il monitoraggio dell'engagement integrato di PowerMTA.
Prevenire il monitoraggio di link specifici nella tua email HTML
Puoi impedire a PowerMTA di tracciare link specifici, impostando l'attributo personalizzato data-msys-clicktrack a "0" :
<a href="#" data-msys-clicktrack="0">Example</a>
PowerMTA non incapsulerà il link. Rimuoverà anche quell'attributo prima di trasmettere il messaggio al tuo destinatario.
Seleziona quali flussi di traffico PowerMTA riportare a Signals
Testing che i tuoi eventi stanno raggiungendo Signals
Qui c'è una vista di SparkPost Signals, collegata a PowerMTA. Puoi vedere che il punteggio di salute sta variando.
I nomi delle campagne sono disponibili come faccette di reportistica, insieme a Subaccount, IP Pool, Mailbox Provider e Sending Domain.
Oltre a esaminare i log di PowerMTA, puoi verificare che i dati degli eventi stiano raggiungendo SparkPost guardando alla schermata di Integrazione Signals.
Nella tua schermata di ricerca eventi SparkPost, dovresti vedere gli eventi apparire entro pochi minuti. Questi includeranno eventi di Injection e Delivery, oltre a Bounce, e potenzialmente Out-of-Band Bounce ed eventi di reclamo di spam, se hai già configurato PowerMTA per gestirli per te.
Se hai abilitato il Tracciamento di Coinvolgimento, vedrai anche eventi di open, initial_open, e click.
Usare nomi significativi che compaiono bene nei report
Impostare i nomi del Pool VirtualMTA di PowerMTA e i nomi dei lavori in modo che siano significativi e leggibili è davvero utile. Questi appaiono direttamente nei tuoi aspetti di SparkPost Signals e nel report di riepilogo.
Come accennato in precedenza, non è necessario creare questi pool nel tuo account SparkPost. SparkPost li acquisisce dalla configurazione di PowerMTA.
Ecco come i termini di configurazione di PowerMTA si traducono nei termini di SparkPost.
PowerMTA termSparkPost Reports / Signals termRecipient Domain
(parte di dominio del campo “rcpt” nel file di contabilità).Recipient DomainLa parte di dominio dell'intestazione “Sender” o “From” nel messaggio inoltrato da PowerMTA.
(parte di dominio di “orig” nel file di contabilità).Sending DomainVirtualMTA (name)—VirtualMTA Pool (name)
(“vmtaPool” nel file di contabilità)IP Pool (name)smtp-source-host a.b.c.d
(“dlvSourceIp” nel file di contabilità)Sending IP a.b.c.dJob (name)
(“jobId” nel file di contabilità)Campaign ID (name)—Template (name)“Subaccount” non è un concetto nativo di PowerMTA.
Tuttavia, PowerMTA può taggare virtualMTAs, virtual MTA Pools, o i domini Sender-or-From con un ID di subaccount per scopi di reporting su SparkPost.
Subaccount ID (number)FBL (event)Spam Complaint (event)Remote Bounce (event)Out-of-Band bounce (event)
Impostare almeno un indirizzo smtp-source-host consente anche a SparkPost di identificare correttamente l'indirizzo IP di invio in modo che appaia negli eventi di Injection e Delivery, così come nella vista del report di riepilogo.
I nomi dei lavori sono impostati in PowerMTA tramite un'intestazione nel messaggio iniettato. Oltre a consentire il controllo individuale dei lavori (pausa/riprendi ecc.) che è utile in sé, PowerMTA trasmette i nomi attraverso al reporting di SparkPost Signals come “campaign ID”. Vedi Guida Utente v5.0 sezione 12.8 “Tracking a campaign in PowerMTA with a JobID”.
Ci sono alcune cose da tenere a mente riguardo alla denominazione dei lavori. Mentre SparkPost (con formato JSON e escape JSON) permette caratteri come <SPACE> nei nomi delle campagne, le intestazioni delle mail sono più restrittive. I caratteri validi ammessi nell'intestazione X-Job sono:
A-Za-z0-9!#$%&'()*+,-./:;<=>?@[\]^_{|}~
In altre parole, i caratteri non ammessi includono <SPACE>, le virgolette doppie “ e l'apostrofo `. Se sei abituato a lavorare con i nomi X-Job, questo non ti sorprenderà, e i nomi degli ID di campagna funzioneranno “perfettamente” nel reporting di SparkPost. Se come me, hai imparato prima SparkPost, potresti volere uno strumento per garantire che i tuoi valori X-Job siano sicuri; vedi la funzionalità bonus alla fine di questo articolo.
Eventi FBL (Spam Complaints) e rimbalzi remoti (out-of-band)
PowerMTA può ricevere e elaborare eventi FBL (noti in SparkPost come eventi di reclamo di spam) e bounce remoti (noti in SparkPost come bounce out-of-band, poiché la risposta arriva un po' di tempo dopo, anziché durante la conversazione SMTP).
Ci sono articoli nel Port25 Support Forum su come impostare il Bounce Processor e il FBL Processor. Se sei un utente PowerMTA esistente, probabilmente li hai già.
Ecco la configurazione che ho fatto per una demo, basata su questi articoli e orientata verso l'hosting di PowerMTA in Amazon EC2.
Se hai familiarità con la configurazione di PowerMTA in quest'area, puoi saltare questa parte, fino alla prossima linea orizzontale.
Configurazione Injection
Utilizzeremo la porta 587 per i messaggi iniettati, che arriveranno attraverso Internet pubblico da un altro host. Dobbiamo impedire che cattivi attori scoprano e abusino di questo servizio, quindi applichiamo l'autenticazione tramite nome utente/password e opzionalmente TLS, simile agli endpoint di iniezione SMTP di SparkPost.
Vogliamo essere in grado di inviare messaggi da fonti correttamente autenticate a qualsiasi destinazione. Vogliamo anche un ascoltatore separato sulla porta 25 per FBL e risposte di rimbalzo remoto che non richiedono autenticazione.
# # Indirizzo IP edizione() e porta(i) su cui ascoltare le connessioni SMTP in arrivo # smtp-listener 0.0.0.0:587 smtp-listener 0.0.0.0:25
Nelle dichiarazioni seguenti <source> utilizziamo l'autenticazione tramite nome utente/password e opzionalmente TLS per difenderci dall'iniezione di messaggi illegittimi. Impostiamo anche i limiti di velocità sulle connessioni che effettuano tentativi di password non riusciti.
Il tuo setup potrebbe essere diverso; ad esempio, se hai una rete privata tra l'iniettore e PowerMTA, non avrai bisogno dell'autenticazione tramite password.
# Una regola fonte per tutte le iniezioni, interne o esterne. Applicare l'autenticazione, ad eccezione dei rimbalzi e degli FBL # <source 0/0> log-connections false log-commands false # ATTENZIONE: dettagliato! solo per dev log-data false # ATTENZIONE: ancora più dettagliato! smtp-service true # consenti il servizio SMTP smtp-max-auth-failure-rate 1/min allow-unencrypted-plain-auth false allow-starttls true rewrite-list mfrom </source> <source {auth}> always-allow-relaying yes # solo se l'autenticazione riesce default-virtual-mta default process-x-job true </source>
La dichiarazione <source {auth}> (vedi qui. v5.0) si applica una volta che l'autenticazione è stata completata. Qui, consente il rilancio in avanti, imposta il gruppo MTA virtuale predefinito da utilizzare e aggiunge l'intestazione X-Job (che sarà riportata da SparkPost Signals come campaign_id).
La rewrite-list mappa i messaggi iniettati per l'uso di un dominio specifico di MAIL FROM (aka bounce domain o Return-Path:).
# # Riscrivere l'indirizzo MAIL FROM per corrispondere al dominio di rimbalzo # <rewrite-list mfrom> mail-from *@pmta.signalsdemo.trymsys.net *@bounces.pmta.signalsdemo.trymsys.net </rewrite-list>
Quindi, configuriamo la nostra configurazione TLS e nome utente/password SMTP, secondo le raccomandazioni attuali.
# # Proteggere il servizio in entrata con nome utente, password e TLS. SMT 2020-06-15 # smtp-server-tls-certificate /etc/pmta/pmtasignalsdemo.pem smtp-server-tls-allow-tlsv1 false smtp-server-tls-allow-tlsv1.1 false smtp-server-tls-allow-tlsv1.2 true smtp-server-tls-allow-tlsv1.3 true # # Utenti SMTP (autenticati tramite SMTP AUTH) # <smtp-user SMTP_Injection> password ##INSERISCI QUI LA TUA PASSWORD## authentication-method password </smtp-user>
Possiamo verificare che il TLS v1.0 (insicurissimo, deprecato) non sia accettato usando il mio strumento di test SMTP preferito, swaks.
swaks --server pmta.signalsdemo.trymsys.net --port 587 --to test@trymsys.net --from any@sparkpost.com --tls --tls-protocol tlsv1
Vediamo:
*** TLS startup failed (connect(): error:00000000:lib(0):func(0):reason(0)) *** STARTTLS tentato ma fallito
Allo stesso modo per –tls-protocol tlsv1_1.
Applichiamo anche la firma DKIM ai nostri messaggi in uscita, poiché è una buona pratica (ho seguito queste istruzioni per impostare la chiave).
# # DKIM # domain-key mypmta, pmta.signalsdemo.trymsys.net, /etc/pmta/mypmta.pmta.signalsdemo.trymsys.net.pem
FBL e OOB configuration
Ora .. finalmente .. dichiariamo quali domini specifici sono aperti per i rimbalzi remoti e le risposte FBL. Non vogliamo trasmettere questi da nessuna parte (per prevenire attacchi di backscatter), solo elaborare internamente queste risposte.
# # Abilita l'elaborazione dei rimbalzi e di FBL su domini specifici # relay-domain pmta.signalsdemo.trymsys.net relay-domain bounces.pmta.signalsdemo.trymsys.net relay-domain fbl.pmta.signalsdemo.trymsys.net <bounce-processor> deliver-unmatched-email no deliver-matched-email no <address-list> domain pmta.signalsdemo.trymsys.net domain bounces.pmta.signalsdemo.trymsys.net </address-list> </bounce-processor> <feedback-loop-processor> deliver-unmatched-email no deliver-matched-email no <address-list> domain fbl.pmta.signalsdemo.trymsys.net </address-list> </feedback-loop-processor>
Puoi vedere che ho impostato due domini di rimbalzo, mentre stavo sperimentando con l'uso/non uso della regola di riscrittura mfrom.
Il dominio FBL è solitamente registrato con servizi esterni come Microsoft SNDS; vedi questo articolo per maggiori informazioni. Per questa demo, i FBL arriveranno dal Bouncy Sink, quindi non è necessario registrarsi.
Test della funzione di ascolto SMTP
È importante testare che il tuo listener SMTP richieda l'autorizzazione per qualsiasi destinazione generale, rifiutando qualsiasi messaggio che non sia specificamente indirizzato ai domini FBL e remote-bounce.
swaks --server pmta.signalsdemo.trymsys.net --port 25 --to test@strange.pmta.signalsdemo.trymsys.net --from any@sparkpost.com
La risposta, come previsto, mostra che il relay è negato:
550 5.7.1 relay negato per il destinatario in "RCPT TO:<test@strange.pmta.signalsdemo.trymsys.net>
(Fine della descrizione dell'impostazione demo).
Configurazione e nominazione di VirtualMTA
PowerMTA VirtualMTAs (e pool di VirtualMTA) sono funzionalità potenti per gestire flussi di messaggi, e le funzionalità di reporting di PowerMTA / SparkPost Signals funzionano al meglio con questi attivi.
# # Instrada tutto il traffico in uscita attraverso questo virtual mta / pool. # Dichiara l'indirizzo IP di consegna qui, in modo che gli eventi di iniezione (aka "reception") di SparkPost segnali # portino l'attributo sending_IP corretto # <virtual-mta mta1> smtp-source-host 172.31.25.101 pmta.signalsdemo.trymsys.net </virtual-mta> <virtual-mta-pool default> virtual-mta mta1 <domain *> max-smtp-out 20 # max. connessioni *per dominio* bounce-after 4d12h # 4 giorni, 12 ore retry-after 10m # 10 minuti dkim-sign sì </domain> </virtual-mta-pool>
La configurazione del virtual-mta-pool è riportata in SparkPost come “IP Pool” ed è disponibile come un aspetto di reportistica SparkPost Signals (il menu a discesa sotto i grafici).
Il Rapporto di Sintesi mostra anche IP Pool come un aspetto di reportistica “Group By”.
Come indicato all'inizio di questo articolo, impostare almeno un indirizzo smtp-source-host consente a SparkPost di identificare correttamente l'indirizzo IP di invio, in modo che venga visualizzato negli eventi di Iniezione e Consegna e nel Rapporto di Sintesi:
Questo è tutto ciò di cui hai bisogno per ottenere un'integrazione di base funzionante tra PowerMTA e SparkPost Signals. Troverai qui l'esempio completo di file di configurazione.
Prima di andare, ecco la funzione bonus che ho menzionato.
Funzione bonus: controllo/filtraggio nome X-Job
Per garantire che qualsiasi stringa di caratteri sia sicura per l'uso come nome X-Job di PowerMTA, ecco una semplice funzione Python per mappare qualsiasi carattere non sicuro a un trattino di sottolineatura “_”
import re def pmtaSafeJobID(s): """ :param s: str :return: str Mappa una stringa ID di campagna arbitraria nei caratteri consentiti per l'intestazione PMTA X-Job. Vedi https://download.port25.com/files/UsersGuide-5.0.html#tracking-a-campaign-in-powermta-with-a-jobid Specifica di escludere <sp> " ` ma consentire la maggior parte degli altri caratteri. """ # Nota: bisogna sfuggire ' - [ ] e doppio-escapare \ - vedi https://docs.python.org/3/library/re.html disallowedChars = '[^A-Za-z0-9!#$%&\'()*+,\-./:;<=>?@\[\\\\\]^_{|}~]' return re.sub(disallowedChars, '_', s)
Questo utilizza le espressioni regolari di Python in un modo specifico. Dichiara l'insieme dei caratteri non consentiti utilizzando l'operatore “complemento dell'insieme” ^ piuttosto che elencare tutti i caratteri consentiti. Questo significa che catturiamo (e rendiamo sicuri) caratteri al di là del solito set di 7 bit. Possiamo mostrarlo utilizzando questo frammento di test:
s='' for i in range(32, 256): s += chr(i) print(pmtaSafeJobID(s))
Risultando
_!_#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^__abcdefghijkl mnopqrstuvwxyz{|}~___________________________________________________________ ______________________________________________________________________
Puoi vedere che <SPACE>, i doppi apici “ e l'accento grave `, così come tutti i caratteri oltre ~, sono mappati su un trattino di sottolineatura.
