Tengo varios dominios con un registrador con reenvío directo a otra dirección de correo electrónico.
El sistema ha funcionado perfectamente durante muchos años en muchos dominios, pero recientemente creé un nuevo avance que falló en las pruebas.
El error no fue un error de SPF/DKIM, fue un error de dirección desconocida. El registrador insiste en que el motivo del fallo es que su sistema no permite que existan registros spf y dkim en el dominio que se va a reenviar.
Mi conocimiento en el área no es extenso pero no estoy convencido de que las declaraciones del registrador sean ciertas. ¿Alguna orientación por ahí?
Respuesta1
No, DKIM y SPF no desactivan por completo la retransmisión de correo. En cambio, sólo permitenautorizadoretransmisiones para retransmitir correo para un dominio y recomendamos que todos los sistemas receptores rechacen el correo deno autorizadorelés. Esta autorización se anuncia mediante registros DNS especiales.
Es posible configurar varios repetidores salientes (su propio servidor y algunos servidores externos) al mismo tiempo. Pero terminarás incluyéndolos todos en tus registros SPF y DKIM.
Para SPF, debe conocer todas las direcciones IP de retransmisión o un nombre de su registro válido SPF que enumere todas sus direcciones. Luego configura en su registro SPF todas esas direcciones, o las utiliza include:their-spf-record, además de las suyas propias o de otros relés que necesite:
example.com. TXT "v=spf1 a:your.server.name include:their-spf-record ip4:192.0.2.111 -all"
(Puede haber muchas partes diferentes de a:, include:, ip4:).
Para DKIM,operador de relevodebe generar pares de claves de firma. Luego deben decirte la clave pública y suselector(También configuran su servidor para firmar usando la clave privada correspondiente y este selector). Luego, para cada par clave-selector, crea un registro TXT adicional del formulario:
selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=..<key>.."
Por supuesto, cada sistema debe utilizar su propio selector distinto.
Esta es toda la configuración de DNS necesaria para enviar correo con dominio "de" desde varios sistemas simultáneamente.
La parte SPF no debería tener ninguna dificultad para nadie. El problema con su sistema podría ser que no saben cómo configurar la firma DKIM para el correo retransmitido. En mi caso por ejemplo postfix+rmilter hace esto y no tiene problemas, se puede configurar todo. También puede optar por firmar con DKIM en su servidor que utiliza el relé como host inteligente, y debe asegurarse de que los sistemas de relé no alteren los encabezados firmados y no eliminen su firma; Si es así, no es necesario configurar una firma DKIM adicional en el sistema de retransmisión.