Getting in the Inbox   

                     

 Notice 

 This eBook and supplementary material was created to provide specific information regarding the subject matter covered. Every attempt has been made to verify the information provided in this material however neither the author nor the publisher are responsible for any errors, omissions, or incorrect interpretations of the subject matter.  Information contained within this material is subject to local, state, federal and international laws. The reader is advised to consult with a licensed professional for legal, financial and other professional services.  The reader of this material assumes responsibility for the use of this information. Adherence to all applicable laws and regulations governing professional licensing, business practices, advertising and all other aspects of doing business in the United States or any other jurisdiction is the sole responsibility of the reader.  The author and publisher assume no responsibility or liability whatsoever for the use or misuse of the information contained within these materials. Getting in the Inbox is Copyright 2017 by James J. Jones. Reproduction without permission is prohibited.  

        

Introduction: Being compliant with email standards is the best way to reliably avoid the spam folder. In this report we will try to explain in as simple as possible terms how you too can make sure the domains are up to par with industry standards. Doing so will show the email giants that you’re someone who is reputable and is concerned about your email recipients security. Remember that we will be simplifying the process as much as possible, which means we won’t dive too deep into any of the standards or configurations. If you want to learn more about a particular subject, we will provide helpful resources for further reading at the end of each segment.  Different standards: There are 3 standards currently in play and are all complementary to one another. This means that you do not pick one, you implement all of them for best results. Let's get started!  Overview:  SPF (Sender Policy Framework): What it does: Specifies which servers are allowed to send email from your domain. It prevents a lot of email “spoofing”. This is an attack where the someone sends an email pretending to be another company/person. Why do I need it? SPF allows spam filters to verify that the email was sent from a legitimate server that you have whitelisted as someone who is allowed to send emails on your behalf. What are the concerns with implementing SPF? It does restrict a lot of legitimate spoofing, for example using your home ISP’s servers to send email to look like your work email as well as email forwarding issues.  DKIM (DomainKeys Identified Mail): What it does: It protects the integrity of your email by creating a digital signature that is unique to each email. It prevents a lot of spoofing attacks that uses techniques to change the sender addresses. Why do I need it? It tells the spam filter that the message has not been altered, thus making it look more legit. What are the concerns with implementing DKIM? A few older servers may change certain things in the email to make it conform to its own standards, thus breaking the signature. Certain older mailing lists may also break the signature.   DMARC (Domain-based Message Authentication, Reporting & Conformance): What it does: 

It uses both DKIM and SPF and adds a reporting feature. The reports can help you monitor protection of the domain from fraudulent email. Why do I need it? This protocol further secures your outgoing mail, and it helps email providers deal with rejected messages. It gives you a report on your outgoing email and why you are getting rejected. What are the concerns with implementing DMARC? You will get a lot of reports back if you send a lot of email. You may also need to set up a new email address to receive these reports as some providers do not allow you to receive them.  Note: These steps do not protect you against cousin domain phishing. That is an attack where someone creates a domain that looks like yours, and sends emails from that domain. Ex. Setting up protection for www.example.com doesn’t protect against emails from www.example.co.uk or www.exmple.com .  Check to see how compliant you are with the tools below. SPF: https://www.agari.com/project/spf/ DMARC: https://www.agari.com/project/dmarc/ DKIM: https://www.agari.com/project/dkim/ Note: You will need to find your DKIM selector. Most people use “default” so test that first. Instructions on how to find your selector are in the Additional Guides portion below.     

Setting up SPF:  Cpanel:  Simple - Only sending mail from your own server  Step 1. Select Authentication under Email tab 

 Step 2. Click Enable Button under SPF Section 

  Advanced - Adding more allowed servers or complex policies Step 1. Click Advanced Zone Editor in Domains tab NOTE - If you do not see this option, skip to Enabling Advanced DNS Editor below. 

     

Step 2. Add a TXT record Type should be TXT. Name should be yourdomainhere.com. TTL should be 14400 TXT Data should v=spf1 a mx ~all 

  SPF Resources: General. https://en.wikipedia.org/wiki/Sender_Policy_Framework - SPF Wiki http://www.openspf.org/FAQ/Common_mistakes - Common mistakes when adding SPF http://www.openspf.org/Best_Practices - Best Practices for SPF Windows Server Installation https://www.emailarchitect.net/domainkeys/doc/html/object_spf.htm Other Linux Server Instructions https://www.exratione.com/2014/07/setting-up-spf-and-dkim-for-an-ubuntu-1404-mail-server/ - Ubuntu https://www.linode.com/docs/email/postfix/configure-spf-and-dkim-in-postfix-on-debian-8 - Debian Domain Registrar Guides: Godaddy Setup Guide https://www.godaddy.com/help/add-an-spf-record-19218 Namequick Setup Guide https://www.namecheap.com/support/knowledgebase/article.aspx/317 IPage Setup Guide http://www.ipage.com/knowledgebase/beta/article.bml?ArticleID=1918 Bluehost Setup Guide 

https://my.bluehost.com/cgi/help/spf Email Marketing Platforms: Aweber SPF Setup Guide https://help.aweber.com/hc/en-us/articles/204027276-Does-AWeber-Use-SPF-Authentication- Sendgrid SPF Setup Guide https://sendgrid.com/docs/Glossary/spf.html MailChimp Setup Guide http://kb.mailchimp.com/accounts/email-authentication/set-up-custom-domain-authentication-dkim-and-spf  

Setting UP DKIM  CPanel:  Simple  Step 1. Select Authentication under Email tab 

 Step 2. Click Enable under DKIM Section 

  Advanced  Step 1. Generating a key If you are familiar with public/private key generation, you can use the tools you feel the most comfortable with. If not then there are a lot out there that can generate dkim keys for you. Here are a couple. http://dkimcore.org/tools/keys.html https://www.port25.com/dkim-wizard/   

DKIM Resources: https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail - DKIM wiki https://blogs.cisco.com/security/common_errors_causing_dkim_verification_failures - Common mistakes  DKIM installation on Windows server https://www.emailarchitect.net/domainkeys/kb/dkim_iis_smtp.aspx Other Linux Servers Instructions https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-dkim-with-postfix-on-debian-wheezy - DKIM for Debian https://help.ubuntu.com/community/Postfix/DKIM DKIM for Ubuntu    

Setting up DMARC  Note - You will need to complete both SPF and DKIM setups before setting up a DMARC policy.  Step 1. Setting up a monitor only policy  We highly recommend you use a record generator for the first time. This will prevent typos and guarantee you a valid record.  A free dmarc record generator can be found below. We recommend you use the default when starting. http://www.kitterman.com/dmarc/assistant.html  This should give you a screen similar to this one: 

  Step 2. Adding DMARC txt record via CPanel After logging into your CPanel, click Advanced Zone Editor in Domains tab NOTE - If you do not see this option, skip to Enabling Advanced DNS Editor below. 

 

Step 3. Add a TXT Record  Type should be TXT. Name should be _dmarc.yourdomainhere.com. TTL should be 14400 TXT Data should be what you generated in step 1.  

   Dmarc Resources: https://en.wikipedia.org/wiki/DMARC - DMARC wiki https://dmarc.org/ - DMARC Resources        

Additional Guides  Enabling Advanced DNS Editor (You can call your host to have them enable this for you):  Step 1. Log in to your WHM.   Step 2. Select Packages 

  Step 3. Select Feature Manager 

  Step 4. Click Edit for default 

  Step 5. Check Advanced DNS Zone Editor 

  Step 6. Make sure you click Save button 

    

How to find DKIM selector if it is not “default” Step 1. Send an email to yourself from an email address on the domain you are wanting to check. Ex. yourname@yourdomain.com Step 2. Look at the header of the email (instructions below). https://support.google.com/mail/answer/22454?hl=en Step 3. Search for: “s=” under DKIM-Signature Ex. DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=yourdomain.com; s=thisisyourselector;