Cómo realizar la configuración adecuada de la zona DNS para un servidor de correo electrónico autohospedado

Question

Suponiendo que todos los servidores VPS se conectan al VPS 1 para enviar correos electrónicos y que el registro MX de todos los dominios apunta a la dirección IP del VPS 1:

FPS

Cree un SPF TXTregistro para todos los dominios: "v=spf mx ~all". ~Se utiliza the en lugar de the -en la alldeclaración. Esto es algo controvertido, pero se relaciona con las notas siguientes. El fracaso total -a menudo tiene consecuencias indeseables en la capacidad de entrega.

Tenga en cuenta que el Return-Pathdominio (donde van los rebotes) se verifica mediante SPFcomprobaciones, y no la Fromdirección (es por eso que necesitamos DMARC). Por lo tanto, si sus correos electrónicos utilizan direcciones de rebote diferentes a las direcciones de remitente, Bounce addressse verificará el dominio en busca de un SPFregistro.

Tenga en cuenta que SPFla verificación fallará en los correos electrónicos reenviados mediante reglas de transporte/bandeja de entrada o listas de correo (a menos que Return-Pathse reescriba el encabezado). Tenga en cuenta que el Return-Pathdominio (donde van los rebotes) se verifica mediante SPFcomprobaciones, y no la Fromdirección (es por eso que necesitamos DMARC). Por lo tanto, si sus correos electrónicos utilizan direcciones de rebote diferentes a las direcciones de remitente, Bounce addressse verificará el dominio en busca de un SPFregistro. Lo mismo ocurre cuando utiliza subdominios. Para cada subdominio que utilice como dirección de rebote, deberá configurar un registro SPF (y MX).

DMARC

Cree un registro 'DMARC' TXTen cada dominio en _dmarc.domain.com: "v=DMARC1;p=reject". Dado que su configuración es tan sencilla, es posible que no desee preocuparse por los informes en XMLformato enviados a usted o a un servicio de terceros, ya que sabe que solo un host debe estar autorizado para enviar correos electrónicos en nombre de sus dominios. Si amplía sus servicios, puede agregar la ruaetiqueta para permitir la recepción de informes.

DKIM

Le recomiendo encarecidamente agregar una DKIMconfiguración de firma a su configuración para mejorar la capacidad de entrega en caso de que SPFla autenticación falle como se describe en los escenarios anteriores. DKIMsobrevivirá al reenvío cuando SPFfalle, aunque DKIMla autenticación puede fallar cuando se cambien partes del correo electrónico durante el transporte (por ejemplo, reescritura de direcciones). Juntos SPFy DKIMse complementarán para mejorar la capacidad de entrega.

Un consejo básico para configurar DKIM es crear un par de claves DKIM con una longitud de bits de 2048 y publicar la clave pública en un TXTregistro DNS en ._domainkey.domain.com donde puede elegir su propio nombre de selector. Para fines de rotación de claves, es aconsejable configurar un segundo registro selector para usarlo cuando la clave privada inicial se vio comprometida o como práctica recomendada para la rotación programada (por ejemplo, cada 6 meses).

Hay mucho más que decir sobre las mejores prácticas de firma DKIM; sin embargo, esto está más allá del alcance de su pregunta y está perfectamente establecido en el RFC.

Descargo de responsabilidad

Esta configuración refleja mis elecciones sobre cómo configurar la autenticación de correo electrónico en el escenario descrito. En determinadas áreas existen suposiciones que pueden no ser correctas o completas y, de lo contrario, conducirían a un enfoque diferente.

Answer 1

Suponiendo que todos los servidores VPS se conectan al VPS 1 para enviar correos electrónicos y que el registro MX de todos los dominios apunta a la dirección IP del VPS 1:

FPS

Cree un SPF TXTregistro para todos los dominios: "v=spf mx ~all". ~Se utiliza the en lugar de the -en la alldeclaración. Esto es algo controvertido, pero se relaciona con las notas siguientes. El fracaso total -a menudo tiene consecuencias indeseables en la capacidad de entrega.

Tenga en cuenta que el Return-Pathdominio (donde van los rebotes) se verifica mediante SPFcomprobaciones, y no la Fromdirección (es por eso que necesitamos DMARC). Por lo tanto, si sus correos electrónicos utilizan direcciones de rebote diferentes a las direcciones de remitente, Bounce addressse verificará el dominio en busca de un SPFregistro.

Tenga en cuenta que SPFla verificación fallará en los correos electrónicos reenviados mediante reglas de transporte/bandeja de entrada o listas de correo (a menos que Return-Pathse reescriba el encabezado). Tenga en cuenta que el Return-Pathdominio (donde van los rebotes) se verifica mediante SPFcomprobaciones, y no la Fromdirección (es por eso que necesitamos DMARC). Por lo tanto, si sus correos electrónicos utilizan direcciones de rebote diferentes a las direcciones de remitente, Bounce addressse verificará el dominio en busca de un SPFregistro. Lo mismo ocurre cuando utiliza subdominios. Para cada subdominio que utilice como dirección de rebote, deberá configurar un registro SPF (y MX).

DMARC

Cree un registro 'DMARC' TXTen cada dominio en _dmarc.domain.com: "v=DMARC1;p=reject". Dado que su configuración es tan sencilla, es posible que no desee preocuparse por los informes en XMLformato enviados a usted o a un servicio de terceros, ya que sabe que solo un host debe estar autorizado para enviar correos electrónicos en nombre de sus dominios. Si amplía sus servicios, puede agregar la ruaetiqueta para permitir la recepción de informes.

DKIM

Le recomiendo encarecidamente agregar una DKIMconfiguración de firma a su configuración para mejorar la capacidad de entrega en caso de que SPFla autenticación falle como se describe en los escenarios anteriores. DKIMsobrevivirá al reenvío cuando SPFfalle, aunque DKIMla autenticación puede fallar cuando se cambien partes del correo electrónico durante el transporte (por ejemplo, reescritura de direcciones). Juntos SPFy DKIMse complementarán para mejorar la capacidad de entrega.

Un consejo básico para configurar DKIM es crear un par de claves DKIM con una longitud de bits de 2048 y publicar la clave pública en un TXTregistro DNS en ._domainkey.domain.com donde puede elegir su propio nombre de selector. Para fines de rotación de claves, es aconsejable configurar un segundo registro selector para usarlo cuando la clave privada inicial se vio comprometida o como práctica recomendada para la rotación programada (por ejemplo, cada 6 meses).

Hay mucho más que decir sobre las mejores prácticas de firma DKIM; sin embargo, esto está más allá del alcance de su pregunta y está perfectamente establecido en el RFC.

Descargo de responsabilidad

Esta configuración refleja mis elecciones sobre cómo configurar la autenticación de correo electrónico en el escenario descrito. En determinadas áreas existen suposiciones que pueden no ser correctas o completas y, de lo contrario, conducirían a un enfoque diferente.

Cómo realizar la configuración adecuada de la zona DNS para un servidor de correo electrónico autohospedado

Respuesta1

información relacionada