У меня есть несколько доменов с регистратором, имеющим прямую переадресацию на другой адрес электронной почты.
Система работала безупречно в течение многих лет на многих доменах, но недавно я создал новый переадресатор, который не прошел тестирование.
Ошибка не была ошибкой SPF/DKIM, это была ошибка неизвестного адреса. Регистратор настаивает, что причина сбоя в том, что его система не позволяет записям spf и dkim существовать в домене для пересылки.
Мои познания в этой области не обширны, но я не уверен, что заявления регистратора верны. Есть ли какие-нибудь указания?
решение1
Нет, DKIM и SPF не отключают ретрансляцию почты полностью. Вместо этого они только разрешаютавторизованныйретрансляторы для ретрансляции почты для домена и рекомендуют всем принимающим системам отклонять почту отнесанкционированныйреле. Эта авторизация объявляется через специальные записи DNS.
Можно настроить несколько исходящих ретрансляторов (ваш собственный сервер и несколько внешних серверов) одновременно. Но в конечном итоге вам придется перечислить их все в своих записях SPF и DKIM.
Для SPF вы должны знать все IP-адреса ретрансляторов или имя их действительной записи SPF, в которой перечислены все их адреса. Затем вы настраиваете в своей записи SPF все эти адреса или используете include:their-spf-record, в дополнение к вашим собственным или другим ретрансляторам, которые вам нужны:
example.com. TXT "v=spf1 a:your.server.name include:their-spf-record ip4:192.0.2.111 -all"
(может быть много разных частей a:, include:, ip4:).
Для ДКИМ,оператор реледолжны сгенерировать пары ключей подписи. Затем они должны сообщить вам открытый ключ и егоселектор(они также настраивают свой сервер для подписи с использованием соответствующего закрытого ключа и этого селектора). Затем для каждой пары ключ-селектор вы создаете дополнительную TXT-запись в форме:
selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=..<key>.."
Конечно, каждая система должна использовать свой собственный селектор.
Это все настройки DNS, необходимые для отправки почты с доменом «from» из нескольких систем одновременно.
Часть SPF не должна вызывать никаких трудностей ни у кого. Проблема с их системой может заключаться в том, что они не знают, как настроить подпись DKIM для ретранслируемой почты. В моем случае, например, postfix+rmilter делает это, и у него нет проблем, все можно настроить. Также вы можете выбрать подпись с помощью DKIM на своем сервере, который использует ретранслятор в качестве смарт-хоста, и вам нужно убедиться, что ретрансляционные системы не вмешиваются в подписанные заголовки и не удаляют вашу подпись; в таком случае нет необходимости настраивать дополнительную подпись DKIM в ретрансляционной системе.