Retransmisión de Postfix a Office 365: configuración de DNS

tag-icon tag-icon postfix smtp office365 e-mailrelay
Retransmisión de Postfix a Office 365: configuración de DNS

Para reducir la probabilidad de que el correo electrónico sea marcado como SPAM, creo que estas son las pocas cosas que se deben hacer en los servidores de correo electrónico:

  • El nombre de host se resuelve en una IP válida, por ejemplocorreo.ejemplo.coma1.1.1.1
  • Existe DNS inverso, por ejemplo1.1.1.1puntoscorreo.ejemplo.com
  • El servidor de correo emite comandos "HELO" comocorreo.ejemplo.com
  • El servidor de correo tiene un registro MX que apunta acorreo.ejemplo.com
  • Registro SPF para incluir1.1.1.1como servidor de envío autorizado
  • Validación DMARC y DKIM. La firma DKIM cifrada por el servidor de correo y la clave pública están disponibles para descifrarla.

¿Cómo configuraría el DNS cuando el servidor Postfix se transmita a Office 365?

El relé SMTP se ha configurado con la opción 3, consulte esteartículo). Creo que lo que he enumerado a continuación solo se aplica cuando se configura la retransmisión SMTP y no la autenticación SMTP (creo que el intercambio HELO se realizará entre Office 365 y el servidor de los destinatarios cuando se usa la autenticación SMTP y de ahí la razón por la que esto no se aplica).

  • El servidor Postfix debería resolverse en una IP válida, por ejemplocorreo.ejemplo.coma1.1.1.1
  • Existe DNS inverso, por ejemplo1.1.1.1puntoscorreo.ejemplo.com.
    • ¿Qué pasaría si hubiera varios dominios y servidores enviando desde la misma IP? ¿No sería esto un problema si el servidor usa el dominio respectivo como nombre de host? P.ejcorreo.dominio-abc.comycorreo.ejemplo.comSon dos servidores separados que utilizan la misma dirección IP pública.
    • ¿La solución es utilizar el mismo nombre de host para el intercambio HELO en todos los servidores, independientemente del dominio para el que esté retransmitiendo el servidor? Alternativamente, podemos tener dos IP públicas para cada dominio.
  • El servidor Postfix debería emitir comandos "HELO" comocorreo.ejemplo.com.
  • MX establecido comoejemplo.mail.protection.outlook.comparaejemplo.commientras los correos se entregan a Office 365. El servidor Postfix solo se utiliza como servidor de retransmisión en este escenario.
  • El registro SPF debe incluir ambos1.1.1.1yspf.protection.outlook.com.
    • Parece que la retransmisión SMTP a Office 365 incluye el nombre de host y la IP del servidor Postfix en el intercambio HELO, lo que significa que es importante incluir la IP pública de Postfix en el registro SPF.
    • Office 365 enviará correos electrónicos en nombre deejemplo.compara usuarios autenticados (por ejemplo, los usuarios de Outlook), que es la razónspf.protection.outlook.comTambién se requiere en el registro SPF.
    • Ya existe un registro PTR para ejemplo.com que está en el servidor web en 2.2.2.2. El servidor web no debería necesitar que el registro PTR apunte a sí mismo, por lo que creo que es seguro cambiar el PTR al servidor Postfix.¿Qué otros casos de uso existen para el registro PTR?
  • Validación DMARC y DKIM.
    • Creo que la firma DKIM debería cifrarse en Office 365, ya que tanto el servidor Postfix como el usuario normal (usuarios de Outlook) envían correos electrónicos a Office 365.¿Es esto correcto?

Como se mencionó anteriormente, puedo ver que Postfix ha incluido el nombre de host y la IP en el encabezado del correo electrónico como se muestra a continuación.

Hop Delay   From    By  With    Time (UTC)  Blacklist
1   *   userid  mail.example.com        9/8/2023 6:38:37 AM 
2   1 Second    mail.example.com 59.154.1.42    SY4AUS01FT019.mail.protection.outlook.com 10.114.156.121    Microsoft SMTP Server   9/8/2023 6:38:38 AM Not blacklisted
3   1 Second    SY4AUS01FT019.eop-AUS01.prod.protection.outlook.com 2603:10c6:10:1f4:cafe::15   SY5PR01CA0071.outlook.office365.com 2603:10c6:10:1f4::9 Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)    9/8/2023 6:38:39 AM Not blacklisted
4   0 seconds   SY5PR01CA0071.ausprd01.prod.outlook.com 2603:10c6:10:1f4::9 ME3PR01MB7048.ausprd01.prod.outlook.com 2603:10c6:220:16d::8    Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)    9/8/2023 6:38:39 AM

En el encabezado del correo electrónico recibido, puedo ver que el encabezado del correo electrónico muestra que el comando HELO se inicia en el servidor Postfix al transmitir correos electrónicos a Office 365.

Received-SPF: Pass (protection.outlook.com: domain of example.com designates
 1.1.1.1 as permitted sender) receiver=protection.outlook.com;
 client-ip=1.1.1.1; helo=mail.example.com; pr=C
Received: from mail.example.com (1.1.1.1) by
 SY4AUS01FT019.mail.protection.outlook.com (10.114.156.121) with Microsoft
 SMTP Server id 15.20.6768.30 via Frontend Transport; Fri, 8 Sep 2023 06:38:38
 +0000

En cambio, al enviar vía Office 365 a través de Outlook, el HELO comienza en Office 365

Received-SPF: Pass (protection.outlook.com: domain of example.com
 designates 40.107.108.68 as permitted sender)
 receiver=protection.outlook.com; client-ip=40.107.108.68;
 helo=AUS01-ME3-obe.outbound.protection.outlook.com; pr=C
Received: from AUS01-ME3-obe.outbound.protection.outlook.com (40.107.108.68)
 by ME3AUS01FT015.mail.protection.outlook.com (10.114.155.141) with Microsoft
 SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
 15.20.6792.19 via Frontend Transport; Wed, 13 Sep 2023 04:01:55 +0000
ARC-Seal: i=1; a=rsa-sha256; s=arcselector9901; d=microsoft.com; cv=none;

Respuesta1

Comience confirmando que el nombre de host de su servidor Postfix se resuelve correctamente en una dirección IP válida, como 'mail.example.com' en '1.1.1.1'. Además, asegúrese de que haya un registro DNS inverso que vincule '1.1.1.1' con 'mail.example.com'. Estas configuraciones básicas de DNS desempeñan un papel fundamental a la hora de generar confianza y entregar correos electrónicos sin que se marquen como spam.

En escenarios en los que varios dominios comparten un único servidor con una IP pública común, considere adoptar un nombre de host coherente, como 'mail.example.com', para el intercambio HELO. Esto simplifica la configuración y la administración y requiere solo un registro SPF. Sin embargo, tenga cuidado, ya que si uno de sus dominios aparece en la lista negra, podría afectar la capacidad de entrega del correo electrónico en todos sus dominios. Alternativamente, puede optar por asignar IP públicas independientes a cada dominio. Si bien esto proporciona un mayor aislamiento y resiliencia, es una configuración más compleja de configurar y administrar.

Es fundamental incluir tanto la IP pública de su servidor Postfix ('1.1.1.1') como el registro SPF de Office 365 ('spf.protection.outlook.com') en su registro DNS SPF. Este paso es vital porque Office 365 puede enviar correos electrónicos en nombre de su dominio, particularmente para usuarios autenticados como los usuarios de Outlook. Un registro SPF de ejemplo podría verse así: 'v=spf1 a:1.1.1.1 include:spf.protection.outlook.com ~all'.

En los casos en que exista un registro PTR para 'ejemplo.com', que apunte a la IP de su servidor web ('2.2.2.2'), modificarlo para que apunte al servidor Postfix no debería afectar negativamente al servidor web. Los registros PTR son fundamentales para validar la autenticidad del servidor y deben reflejar con precisión la función del servidor. En este contexto, actualizar el registro PTR de '1.1.1.1' para que apunte a 'mail.example.com' se alinea con su función como servidor de correo electrónico.

Asegúrese de que las firmas DKIM estén cifradas correctamente en Office 365. Esto es fundamental porque tanto el servidor Postfix como los usuarios de Outlook envían correos electrónicos a Office 365, y el cifrado DKIM adecuado es esencial para la autenticación y la confiabilidad del correo electrónico. Vale la pena señalar que Office 365 firma automáticamente todos los correos electrónicos salientes con DKIM, por lo que no se requiere ninguna configuración adicional de su parte.

Si sigue estas prácticas recomendadas de configuración de correo electrónico y DNS, puede mejorar la confiabilidad de su retransmisión de correo electrónico con Office 365. Esto, a su vez, aumenta la capacidad de entrega del correo electrónico y reduce la probabilidad de que los correos electrónicos se marquen como spam. Cifre las conexiones de correo electrónico entre su servidor Postfix y Office 365 para mejorar la seguridad y la privacidad. Configure Postfix para autenticarse con Office 365 mediante SMTP AUTH para una retransmisión segura de correo electrónico.

Inspeccione periódicamente los encabezados de los correos electrónicos para asegurarse de que los comandos HELO se alineen con el nombre de host de su servidor, lo que garantiza una entrega exitosa del correo electrónico.

Respuesta2

La retransmisión es muy diferente al envío de correo electrónico. Las medidas que ha descrito se relacionan con el envío de correo electrónico. Ellosdeberíatodos serán irrelevantes para la transmisión de correo electrónico.

Creo que la firma DKIM debe cifrarse en Office 365, ya que tanto el servidor Postfix como el usuario normal (usuarios de Outlook) envían correos electrónicos a Office 365. ¿Es correcto?

No. No tiene ningún sentido. DKIMseñalescorreos electrónicos. El destinatario valida la firma. No puede hacer eso si no puede leer la firma.

información relacionada