Tenho vários domínios com um registrador que encaminha diretamente para outro endereço de e-mail.
O sistema funcionou perfeitamente por muitos anos em vários domínios, mas recentemente criei um novo encaminhamento que falhou nos testes.
O erro não foi um erro SPF/DKIM, foi um erro de endereço desconhecido. O registrador insiste que o motivo da falha é que seu sistema não permite a existência de registros spf e dkim no domínio a ser encaminhado.
Meu conhecimento na área não é extenso, mas não estou convencido de que as declarações do registrador sejam verdadeiras. Alguma orientação por aí?
Responder1
Não, DKIM e SPF não desativam totalmente a retransmissão de correio. Em vez disso, eles só permitemautorizadoretransmissores para retransmitir mensagens para um domínio e recomendamos que todos os sistemas receptores rejeitem mensagens denão autorizadorelés. Esta autorização é anunciada através de registros DNS especiais.
É possível configurar vários relés de saída (seu próprio servidor e alguns servidores externos) ao mesmo tempo. Mas você acabará listando todos eles em seus registros SPF e DKIM.
Para SPF, você deve conhecer todos os endereços IP de retransmissão ou um nome de seu registro SPF válido que liste todos os seus endereços. Em seguida, você configura em seu registro SPF todos esses endereços, ou usa include:their-spf-record, além dos seus próprios ou de outros relés necessários:
example.com. TXT "v=spf1 a:your.server.name include:their-spf-record ip4:192.0.2.111 -all"
(pode haver muitas partes diferentes de a:, include:, ip4:).
Para DKIM,operador de retransmissãodeve gerar pares de chaves de assinatura. Então eles devem lhe informar a chave pública e seuseletor(eles também configuram seu servidor para assinar usando a chave privada correspondente e este seletor). Então, para cada par de seletores de chave, você cria um registro TXT adicional no formato:
selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=..<key>.."
É claro que cada sistema deve usar seu próprio seletor distinto.
Esta é toda a configuração de DNS necessária para enviar e-mails com domínio "de" de vários sistemas simultaneamente.
A parte do SPF não deve ser difícil para ninguém. O problema com o sistema deles pode ser que eles não sabem como configurar a assinatura DKIM para mensagens retransmitidas. No meu caso, por exemplo, postfix+rmilter faz isso e não tem problemas, tudo pode ser configurado. Além disso, você pode optar por assinar com DKIM em seu servidor que usa o retransmissor como smarthost, e deve garantir que os sistemas de retransmissão não mexam nos cabeçalhos assinados e não removam sua assinatura; nesse caso, não há necessidade de configurar assinatura DKIM adicional no sistema de retransmissão.