Ich habe Postfix auf einem Ubuntu 20.04-Rechner eingerichtet. Ich bin mir jedoch nicht sicher , wo ich die Subdomain und wo die Domain verwenden muss. Nennen wir sie mail.example.combzw.example.com
Das System ist ein Null-Client, der E-Mails sendet, aber keine empfängt (implementiert über inet_interfaces = loopback-onlyin /etc/postfix/main.cf). Ich beabsichtige, Nachrichten [email protected]ausschließlich von zu senden.
- Der MX-Eintrag ist
@ IN MX 0 mail.example.com. - A-Einträge für beide
@undmailverweisen auf den Postfix-Server. - Die in genannten TLS-Zertifikate
/etc/postfix/main.cfbeziehen sich aufmail.example.com:smtpd_tls_cert_file=/etc/letsencrypt/live/mail.example.com/fullchain.pemundsmtpd_tls_key_file=/etc/letsencrypt/live/mail.example.com/privkey.pem. - Mit
smtp_generic_maps = hash:/etc/postfix/genericschreibe ichuser@hostnameum zu[email protected]in/etc/postfix/main.cf. - Ich habe
masquerade_domains = example.comin hinzugefügt, um in durch/etc/postfix/main.cfzu ersetzen . Das funktioniert irgendwie nicht. E-Mails kommen immer noch vom Absender .mail.example.com[email protected]example.com[email protected]
Die Fragen lauten dementsprechend:
- Muss ich im MX-Eintrag
@oder verwenden?mail - Müssen die TLS-Zertifikate auf verweisen auf
mail.example.comoder auf verweisenexample.com? - Soll
/etc/postfix/genericzuerstuser@hostnamein[email protected]oder direkt in umgewandelt werden[email protected]?
Antwort1
Heutzutage ist die korrekteste Vorgehensweise hierfür die Erstellung eines Kontos beim entsprechenden E-Mail-Dienst, der vollständig für die Bereitstellung von konfiguriert ist example.com. (Das kann natürlich auch Ihr eigener Server sein, das spielt keine Rolle.) Auf Ihrem Null-Host konfigurieren Sie den E-Mail-Server dann nur als Smarthost mit SASL-Authentifizierung.
Obwohl es durchaus möglich ist, Postfix auf diese Weise einzurichten (es gibt jede Menge Handbücher, darunter auch das von Postfix), halte ich Postfix für einen solchen Einsatzzweck für übertrieben. Erwägen Sie die Verwendung von nullmailer, das genau für Systeme geeignet ist, die mit E-Mails nichts anderes tun, als einige Systembenachrichtigungen zu veranlassen.
Wenn dies nicht möglich ist, richten Sie DNS wie folgt ein:
example.comDer MX-Eintrag verweist auf den richtigen Mail-Dienst. Er hat nichts mit Subdomains zu tun.nullhost.example.com. MX 10 ., d. h. ins Nirgendwo zeigen. Dies ist ein expliziter Hinweis darauf, dass Sie keine E-Mails empfangen möchten[email protected]. Dies ist nicht erforderlich, wenn Sie den SMTP-Dienst des Null-Hosts vor externen Verbindungen schützen (Firewalltcp/25, nur mithörenlocalhost:25usw.); explizit ist jedoch immer besser als implizit.- Dieser Null-Host wird E-Mails senden, die
example.comals Absenderdomäne festgelegt sind. Daher müssen seine E-Mails die DMARC-Einstellungen für diese Domäne einhalten. Andernfalls werden die E-Mails von korrekt reagierenden Empfängern gelöscht.
Dieser letzte Punkt, DMARC, könnte die Dinge erheblich verkomplizieren. Wenn es sicher eingestellt ist, was bedeutet, dass der Eintrag wie aussieht _dmarc.example.com. TXT "v=DMARC1; p=reject; pct=100; ...", müssen Sie SPF und DKIM-Signierung auf dem Null-Host einrichten. SPF ist einfach, fügen Sie einfach „a:nullhost.example.com“ zum SPF-TXT-Eintrag hinzu. DKIM ist anspruchsvoll, Sie müssen ein zusätzliches DKIM-Schlüsselpaar erstellen, einen Selektor wählen ( nullhostwird wahrscheinlich reichen) und sein öffentliches Paar als in DNS installieren nullhost._domainkey.example.com. TXT "... key data ...". Konfigurieren Sie dann die Signierung mit dem entsprechenden privaten Schlüssel direkt auf dem Null-Host (und verwenden Sie den gewählten Selektor), ich würde dafür OpenDKIM verwenden. Habe ich erwähnt, dass die Verwendung von Smarthost die bevorzugte Methode ist?
Und Ihre Fragen.
- Sie sind nicht der Server (Sie sagten, dieses System solle keine E-Mails empfangen). Sie benötigen also kein TLS-Server-Zertifikat. Sie können die Dinge mit einem TLS-Client-Zertifikat einrichten, sodass Sie es vorzeigen können, wenn Sie sich über TLS mit Ihrem Smarthost oder anderen Servern verbinden. Aber warum sollten Sie das tun wollen?
- Der "Apex"-Eintrag
@ MX, auch bekannt alsexample.com. MX, muss an example.com'sMalle eXChanger (das System, das E-Mails für empfängt[email protected]). Es hat nichts mit E-Mails für Subdomänen zu tun. Jede Subdomäne ist eine eigene Maildomäne. - Wie Sie die Adressumschreibung einrichten, bleibt Ihnen überlassen. Das Einzige, was die Außenwelt sieht, ist das Endergebnis. Warum also die Mühe machen, es in zwei Schritten zu tun?