다른 이메일 주소로 바로 전달되는 등록 기관이 있는 도메인이 여러 개 있습니다.
이 시스템은 수년 동안 많은 도메인에서 완벽하게 작동했지만 최근에는 테스트에 실패한 새로운 포워드를 만들었습니다.
오류는 SPF/DKIM 오류가 아니라 주소를 알 수 없는 오류였습니다. 등록 기관은 시스템이 전달될 도메인에 spf 및 dkim 레코드가 존재하는 것을 허용하지 않기 때문에 실패 이유가 있다고 주장합니다.
해당 분야에 대한 나의 지식은 광범위하지 않지만 등록 기관의 진술이 사실인지 확신할 수 없습니다. 거기에 어떤 지침이 있습니까?
답변1
아니요, DKIM 및 SPF는 메일 릴레이를 완전히 비활성화하지 않습니다. 대신에 그들은 단지 허용합니다인정 받은도메인의 메일을 릴레이하고 모든 수신 시스템이 다음에서 보낸 메일을 거부하도록 권장합니다.허가받지 않은릴레이. 이 승인은 특수 DNS 레코드를 통해 발표됩니다.
동시에 여러 개의 아웃바운드 릴레이(자체 서버 및 일부 외부 서버)를 설정할 수 있습니다. 하지만 결국에는 SPF 및 DKIM 레코드에 모두 나열됩니다.
SPF의 경우 모든 릴레이 IP 주소를 알고 있거나 모든 주소를 나열하는 SPF 유효 레코드의 이름을 알아야 합니다. 그런 다음 해당 주소를 모두 SPF 레코드에 설정하거나 include:their-spf-record
필요한 자체 또는 기타 릴레이 외에 을 사용합니다.
example.com. TXT "v=spf1 a:your.server.name include:their-spf-record ip4:192.0.2.111 -all"
(a:, include:, ip4: 부분이 많이 있을 수 있습니다).
DKIM의 경우,중계 운영자서명 키 쌍을 생성해야 합니다. 그런 다음 공개 키와 그 정보를 알려주어야 합니다.선택자(또한 해당 개인 키와 이 선택기를 사용하여 서명하도록 서버를 구성합니다). 그런 다음 각 키 선택기 쌍에 대해 다음 형식의 추가 TXT 레코드를 생성합니다.
selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=..<key>.."
물론 각 시스템은 고유한 선택기를 사용해야 합니다.
이것은 여러 시스템에서 동시에 "발신" 도메인을 사용하여 메일을 보내는 데 필요한 모든 DNS 설정입니다.
SPF 부분은 누구에게나 어려움이 있어서는 안 됩니다. 시스템 문제는 릴레이된 메일에 대해 DKIM 서명을 설정하는 방법을 모른다는 것일 수 있습니다. 예를 들어 내 경우에는 postfix+rmilter가 이 작업을 수행하고 문제가 없으며 모두 구성할 수 있습니다. 또한 릴레이를 스마트호스트로 사용하는 서버에서 DKIM으로 서명하도록 선택할 수 있으며, 릴레이 시스템이 서명된 헤더를 혼동하지 않고 서명을 제거하지 않도록 해야 합니다. 그렇다면 릴레이 시스템에 추가 DKIM 서명을 설정할 필요가 없습니다.