Para reduzir a probabilidade de o e-mail ser sinalizado como SPAM, acredito que estas são as poucas coisas que devem ser feitas nos servidores de e-mail:
- O nome do host é resolvido para um IP válido, por exemplomail.exemplo.compara1.1.1.1
- Existe DNS reverso, por exemplo1.1.1.1pontosmail.exemplo.com
- O servidor de correio emite comandos "HELO" comomail.exemplo.com
- O servidor de email possui um registro MX apontando paramail.exemplo.com
- Registro SPF para incluir1.1.1.1como um servidor de envio autorizado
- Validações DMARC e DKIM. A assinatura DKIM criptografada pelo servidor de e-mail e a chave pública estão disponíveis para descriptografia.
Como você configuraria o DNS quando o servidor Postfix retransmitisse para o Office 365?
O relé SMTP foi configurado com a opção 3, consulte esteartigo). Acredito que o que listei abaixo se aplica apenas ao configurar a retransmissão SMTP e não a autenticação SMTP (acredito que a troca HELO será feita entre o Office 365 e o servidor destinatário ao usar a autenticação SMTP e, portanto, o motivo pelo qual isso não se aplica).
- O servidor Postfix deve resolver para um IP válido, por exemplomail.exemplo.compara1.1.1.1
- DNS reverso existe, por exemplo1.1.1.1pontosmail.exemplo.com.
- O que aconteceria se houvesse vários domínios e servidores enviando do mesmo IP? Isso não seria um problema se o servidor usasse o respectivo domínio como nomes de host? Por exemplomail.abc-domain.comemail.exemplo.comsão dois servidores separados usando o mesmo endereço IP público.
- A solução é usar o mesmo nome de host para troca HELO em todos os servidores, independentemente de qual domínio o servidor está retransmitindo? Alternativamente, podemos ter dois IP públicos para cada domínio.
- O servidor Postfix deve emitir comandos "HELO" comomail.exemplo.com.
- MX definido comoexemplo.mail.protection.outlook.comparaexemplo.comà medida que os e-mails são entregues ao Office 365. O servidor Postfix é usado apenas como um servidor de retransmissão neste cenário.
- O registro SPF deve incluir ambos1.1.1.1espf.proteção.outlook.com.
- Parece que a retransmissão SMTP para o Office 365 inclui o nome do host e o IP do servidor Postfix na troca HELO, o que significa que é importante incluir o IP público do Postfix no registro SPF.
- O Office 365 enviará emails em nome deexemplo.compara usuários autenticados (por exemplo, usuários do Outlook), que é a razãospf.proteção.outlook.comtambém é exigido no registro SPF.
- Já existe um registro PTR para example.com, que é para o servidor web em 2.2.2.2. O servidor Web não deveria precisar do registro PTR apontando para si mesmo, então eu acho que é seguro alterar o PTR para o servidor Postfix.Que outros casos de uso existem para o registro PTR?
- Validações DMARC e DKIM.
- Acredito que a assinatura DKIM deve ser criptografada no Office 365, pois tanto o servidor Postfix quanto o usuário comum (usuários do Outlook) enviam emails para o Office 365.Isso está correto?
Conforme mencionado anteriormente, posso ver que o Postfix incluiu o nome do host e o IP no cabeçalho do email, conforme mostrado abaixo.
Hop Delay From By With Time (UTC) Blacklist
1 * userid mail.example.com 9/8/2023 6:38:37 AM
2 1 Second mail.example.com 59.154.1.42 SY4AUS01FT019.mail.protection.outlook.com 10.114.156.121 Microsoft SMTP Server 9/8/2023 6:38:38 AM Not blacklisted
3 1 Second SY4AUS01FT019.eop-AUS01.prod.protection.outlook.com 2603:10c6:10:1f4:cafe::15 SY5PR01CA0071.outlook.office365.com 2603:10c6:10:1f4::9 Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) 9/8/2023 6:38:39 AM Not blacklisted
4 0 seconds SY5PR01CA0071.ausprd01.prod.outlook.com 2603:10c6:10:1f4::9 ME3PR01MB7048.ausprd01.prod.outlook.com 2603:10c6:220:16d::8 Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) 9/8/2023 6:38:39 AM
No cabeçalho do email recebido, posso ver que o cabeçalho do email mostra que o comando HELO é iniciado no servidor Postfix ao retransmitir emails para o Office 365
Received-SPF: Pass (protection.outlook.com: domain of example.com designates
1.1.1.1 as permitted sender) receiver=protection.outlook.com;
client-ip=1.1.1.1; helo=mail.example.com; pr=C
Received: from mail.example.com (1.1.1.1) by
SY4AUS01FT019.mail.protection.outlook.com (10.114.156.121) with Microsoft
SMTP Server id 15.20.6768.30 via Frontend Transport; Fri, 8 Sep 2023 06:38:38
+0000
Por outro lado, ao enviar via Office 365 através do Outlook, o HELO começa no Office 365
Received-SPF: Pass (protection.outlook.com: domain of example.com
designates 40.107.108.68 as permitted sender)
receiver=protection.outlook.com; client-ip=40.107.108.68;
helo=AUS01-ME3-obe.outbound.protection.outlook.com; pr=C
Received: from AUS01-ME3-obe.outbound.protection.outlook.com (40.107.108.68)
by ME3AUS01FT015.mail.protection.outlook.com (10.114.155.141) with Microsoft
SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.6792.19 via Frontend Transport; Wed, 13 Sep 2023 04:01:55 +0000
ARC-Seal: i=1; a=rsa-sha256; s=arcselector9901; d=microsoft.com; cv=none;
Responder1
Comece confirmando se o nome do host do seu servidor Postfix resolve corretamente para um endereço IP válido, como 'mail.example.com' para '1.1.1.1'. Além disso, certifique-se de que haja um registro DNS reverso, vinculando '1.1.1.1' a 'mail.example.com'. Essas configurações básicas de DNS desempenham um papel fundamental no estabelecimento de confiança e na entrega de e-mails sem serem sinalizados como spam.
Em cenários em que vários domínios compartilham um único servidor com um IP público comum, considere adotar um nome de host consistente, como ‘mail.example.com’, para a troca HELO. Isto simplifica a configuração e o gerenciamento e requer apenas um registro SPF. No entanto, tenha cuidado, pois se um dos seus domínios for colocado na lista negra, isso poderá afetar a capacidade de entrega do e-mail em todos os seus domínios. Como alternativa, você pode optar por atribuir IPs públicos separados a cada domínio. Embora isso forneça isolamento e resiliência aprimorados, é uma configuração mais complexa de configurar e gerenciar.
É crucial incluir o IP público do seu servidor Postfix ('1.1.1.1') e o registro SPF do Office 365 ('spf.protection.outlook.com') no seu registro DNS SPF. Esta etapa é vital porque o Office 365 pode enviar e-mails em nome do seu domínio, principalmente para usuários autenticados, como usuários do Outlook. Um exemplo de registro SPF poderia ser assim: 'v=spf1 a:1.1.1.1 include:spf.protection.outlook.com ~all.'
Nos casos em que existe um registro PTR para 'example.com', apontando para o IP do seu servidor web ('2.2.2.2'), alterá-lo para apontar para o servidor Postfix não deve impactar negativamente o servidor web. Os registros PTR são fundamentais para validar a autenticidade do servidor e devem refletir com precisão a função do servidor. Neste contexto, atualizar o registro PTR de '1.1.1.1' para apontar para 'mail.example.com' está alinhado com sua função como servidor de e-mail.
Certifique-se de que as assinaturas DKIM sejam criptografadas corretamente no Office 365. Isso é fundamental porque tanto o servidor Postfix quanto os usuários do Outlook enviam emails para o Office 365, e a criptografia DKIM adequada é essencial para autenticação e confiabilidade de email. É importante notar que o Office 365 assina automaticamente todos os e-mails enviados com DKIM, portanto, nenhuma configuração adicional é necessária de sua parte.
Seguindo essas práticas recomendadas de configuração de DNS e email, você pode aumentar a confiabilidade de sua retransmissão de email com o Office 365. Isso, por sua vez, aumenta a capacidade de entrega de emails e reduz a probabilidade de emails serem sinalizados como spam. Criptografe conexões de e-mail entre seu servidor Postfix e o Office 365 para aumentar a segurança e a privacidade. Configure o Postfix para autenticar com o Office 365 usando SMTP AUTH para uma retransmissão de e-mail segura.
Inspecione regularmente os cabeçalhos de e-mail para garantir que os comandos HELO estejam alinhados com o nome do host do seu servidor, garantindo a entrega bem-sucedida do e-mail.
Responder2
Retransmitir é muito diferente de enviar e-mail. As medidas que você descreveu estão relacionadas ao envio de e-mail. Elesdevetodos são irrelevantes para a retransmissão de e-mail.
Acredito que a assinatura DKIM deve ser criptografada no Office 365, pois tanto o servidor Postfix quanto o usuário comum (usuários do Outlook) enviam e-mails para o Office 365. Isso está correto?
Não. Não faz sentido. DKIMsinaise-mails. O destinatário valida a assinatura. Não pode fazer isso se não conseguir ler a assinatura.