Чтобы снизить вероятность того, что электронное письмо будет помечено как СПАМ, я считаю, что на почтовых серверах следует выполнить следующие действия:
- Имя хоста преобразуется в допустимый IP-адрес, напримерmail.example.comк1.1.1.1
- Обратный DNS существует, например1.1.1.1точкиmail.example.com
- Почтовый сервер выдает команды "HELO" какmail.example.com
- Почтовый сервер имеет запись MX, указывающую наmail.example.com
- Запись SPF для включения1.1.1.1как авторизованный отправляющий сервер
- Проверяет DMARC и DKIM. Подпись DKIM зашифрована почтовым сервером, а открытый ключ доступен для расшифровки.
Как бы вы настроили DNS, когда сервер Postfix ретранслирует почту в Office 365?
Ретрансляция SMTP настроена с опцией 3, см. здесьстатья). Я считаю, что то, что я перечислил ниже, применимо только при настройке ретрансляции SMTP, а не аутентификации SMTP (я считаю, что обмен HELO будет осуществляться между Office 365 и сервером получателя при использовании аутентификации SMTP, и поэтому это не применимо).
- Сервер Postfix должен разрешить действительный IP-адрес, напримерmail.example.comк1.1.1.1
- Обратный DNS существует, например1.1.1.1точкиmail.example.com.
- Что бы произошло, если бы было несколько доменов и сервер отправлял с одного и того же IP? Не будет ли это проблемой, если сервер использует соответствующие домены в качестве имен хостов? Напримерmail.abc-domain.comиmail.example.comэто два отдельных сервера, использующих один и тот же публичный IP-адрес.
- Является ли решением использовать одно и то же имя хоста для обмена HELO на всех серверах независимо от того, для какого домена сервер ретранслирует? В качестве альтернативы мы можем иметь два публичных IP для каждого домена.
- Сервер Postfix должен выдавать команды "HELO" какmail.example.com.
- MX установлен какпример.mail.protection.outlook.comдляпример.comпоскольку почта доставляется в Office 365. В этом сценарии сервер Postfix используется только как сервер ретрансляции.
- Запись SPF должна включать в себя оба1.1.1.1иspf.protection.outlook.com.
- Похоже, что ретрансляция SMTP в Office 365 включает имя хоста и IP-адрес сервера Postfix в обмен HELO, поэтому важно включить публичный IP-адрес Postfix в запись SPF.
- Office 365 будет отправлять электронные письма от именипример.comдля аутентифицированных пользователей (например, пользователей Outlook), что является причинойspf.protection.outlook.comтакже требуется в записи SPF.
- Запись PTR уже существует для example.com, которая ведет к веб-серверу на 2.2.2.2. Веб-серверу не нужна запись PTR, указывающая на себя, поэтому я думаю, что можно безопасно изменить PTR на сервер Postfix.Какие еще варианты использования существуют для записи PTR?
- Проверки DMARC и DKIM.
- Я считаю, что подпись DKIM должна быть зашифрована в Office 365, поскольку и сервер Postfix, и обычные пользователи (пользователи Outlook) отправляют электронные письма в Office 365.Это верно?
Как я уже упоминал ранее, я вижу, что Postfix включил имя хоста и IP в заголовок электронного письма, как показано ниже.
Hop Delay From By With Time (UTC) Blacklist
1 * userid mail.example.com 9/8/2023 6:38:37 AM
2 1 Second mail.example.com 59.154.1.42 SY4AUS01FT019.mail.protection.outlook.com 10.114.156.121 Microsoft SMTP Server 9/8/2023 6:38:38 AM Not blacklisted
3 1 Second SY4AUS01FT019.eop-AUS01.prod.protection.outlook.com 2603:10c6:10:1f4:cafe::15 SY5PR01CA0071.outlook.office365.com 2603:10c6:10:1f4::9 Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) 9/8/2023 6:38:39 AM Not blacklisted
4 0 seconds SY5PR01CA0071.ausprd01.prod.outlook.com 2603:10c6:10:1f4::9 ME3PR01MB7048.ausprd01.prod.outlook.com 2603:10c6:220:16d::8 Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) 9/8/2023 6:38:39 AM
В заголовке полученного письма я вижу, что команда HELO запускается на сервере Postfix при ретрансляции писем в Office 365.
Received-SPF: Pass (protection.outlook.com: domain of example.com designates
1.1.1.1 as permitted sender) receiver=protection.outlook.com;
client-ip=1.1.1.1; helo=mail.example.com; pr=C
Received: from mail.example.com (1.1.1.1) by
SY4AUS01FT019.mail.protection.outlook.com (10.114.156.121) with Microsoft
SMTP Server id 15.20.6768.30 via Frontend Transport; Fri, 8 Sep 2023 06:38:38
+0000
Напротив, при отправке через Office 365 через Outlook HELO начинается с Office 365
Received-SPF: Pass (protection.outlook.com: domain of example.com
designates 40.107.108.68 as permitted sender)
receiver=protection.outlook.com; client-ip=40.107.108.68;
helo=AUS01-ME3-obe.outbound.protection.outlook.com; pr=C
Received: from AUS01-ME3-obe.outbound.protection.outlook.com (40.107.108.68)
by ME3AUS01FT015.mail.protection.outlook.com (10.114.155.141) with Microsoft
SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.6792.19 via Frontend Transport; Wed, 13 Sep 2023 04:01:55 +0000
ARC-Seal: i=1; a=rsa-sha256; s=arcselector9901; d=microsoft.com; cv=none;
решение1
Начните с подтверждения того, что имя хоста вашего сервера Postfix правильно преобразуется в допустимый IP-адрес, например, «mail.example.com» в «1.1.1.1». Кроме того, убедитесь, что есть обратная запись DNS, связывающая «1.1.1.1» с «mail.example.com». Эти базовые настройки DNS играют важную роль в установлении доверия и доставке писем без пометки их как спам.
В сценариях, где несколько доменов совместно используют один сервер с общим публичным IP-адресом, рассмотрите возможность использования постоянного имени хоста, например «mail.example.com», для обмена HELO. Это упрощает настройку и управление и требует только одной записи SPF. Однако будьте осторожны, так как если один из ваших доменов попадет в черный список, это может повлиять на доставку электронной почты во всех ваших доменах. В качестве альтернативы вы можете назначить отдельные публичные IP-адреса каждому домену. Хотя это обеспечивает улучшенную изоляцию и устойчивость, это более сложная настройка для настройки и управления.
Крайне важно включить как публичный IP-адрес вашего сервера Postfix («1.1.1.1»), так и запись SPF Office 365 («spf.protection.outlook.com») в вашу запись DNS SPF. Этот шаг важен, поскольку Office 365 может отправлять электронные письма от имени вашего домена, особенно для аутентифицированных пользователей, таких как пользователи Outlook. Пример записи SPF может выглядеть следующим образом: «v=spf1 a:1.1.1.1 include:spf.protection.outlook.com ~all».
В случаях, когда существует запись PTR для «example.com», указывающая на IP вашего веб-сервера («2.2.2.2»), изменение ее для указания на сервер Postfix не должно негативно повлиять на веб-сервер. Записи PTR играют важную роль в проверке подлинности сервера и должны точно отражать функцию сервера. В этом контексте обновление записи PTR для «1.1.1.1» для указания на «mail.example.com» соответствует его роли как сервера электронной почты.
Убедитесь, что подписи DKIM правильно зашифрованы в Office 365. Это имеет решающее значение, поскольку и сервер Postfix, и пользователи Outlook отправляют электронные письма в Office 365, а правильное шифрование DKIM необходимо для аутентификации и надежности электронной почты. Стоит отметить, что Office 365 автоматически подписывает все исходящие электронные письма с помощью DKIM, поэтому с вашей стороны не требуется никаких дополнительных настроек.
Следуя этим рекомендациям по настройке DNS и электронной почты, вы можете повысить надежность ретрансляции электронной почты с помощью Office 365. Это, в свою очередь, повышает доставляемость электронной почты и снижает вероятность того, что письма будут помечены как спам. Шифруйте соединения электронной почты между вашим сервером Postfix и Office 365 для повышения безопасности и конфиденциальности. Настройте Postfix для аутентификации в Office 365 с использованием SMTP AUTH для безопасной ретрансляции электронной почты.
Регулярно проверяйте заголовки электронной почты, чтобы убедиться, что команды HELO соответствуют имени хоста вашего сервера, гарантируя успешную доставку электронной почты.
решение2
Ретрансляция очень отличается от отправки электронной почты. Описанные вами меры относятся к отправке электронной почты. Онидолженвсе это не имеет отношения к передаче электронной почты.
Я считаю, что подпись DKIM должна быть зашифрована в Office 365, поскольку и сервер Postfix, и обычные пользователи (пользователи Outlook) отправляют электронные письма в Office 365. Это правильно?
Нет. Это не имеет никакого смысла. DKIMзнакиписьма. Получатель проверяет подпись. Он не может этого сделать, если не может прочитать подпись.