我只是第一次設定 dovecat 和 postfix,想知道為什麼這麼多公司使用 IMAP 和 SMTP 子網域(例如 smtp.mail.example.com 和 imap.mail.example.com)?
有什麼好處或只使用 example.com 也可以嗎?
我之所以這麼問,是因為我顯然必須使用受信任的 SSL 證書,因為一些大型電子郵件服務提供者拒絕將電子郵件發送到標準的自分配證書。使用不帶通配符的 SSL 憑證會更便宜。
那麼使用子網域有什麼好處呢?
答案1
mail.example.com使用類似或 之類的網域的主要原因是smtp.example.com能夠在不影響主域上運行的其他服務的情況下移動它。只有example.com 電腦應該尋找 SMTP 伺服器,並且將使用 MX 記錄[email protected]。
除了極少數例外,只有垃圾郵件機器人使用第二級 ( example.com)(幾乎總是欺騙性的)領域。使用類似網域的少數合法伺服器example.com通常也會在其他幾個方面受到破壞。使用二級域可能會增加您發送的郵件的垃圾郵件分數。
專業管理員使用專用子網域來提供郵件服務。在大多數情況下,這將是一個不反映運行服務的伺服器名稱的子網域。
我在使用自簽名憑證的伺服器上傳送或接收 SMTP 郵件時沒有遇到任何問題。連接站點已經根據您的 MX 記錄知道它具有正確的站點。最近,我遇到了一些伺服器在 startTLS 命令上失敗的情況,但它們在沒有 TLS 的情況下重新連線。我相信他們使用的是 SSLv3,並因此而被拒絕,而不是基於 CA。對最近失敗的回顧表明,垃圾郵件機器人會錯誤地斷開連接並產生錯誤。我的電子郵件流量的很大一部分現在採用 TLS 加密,並且來自我的自簽名 CA 的憑證沒有問題。
使用可信任憑證是對網域內協作伺服器進行身份驗證的一種方法。但是,您可能想要限制簽章網域或使用私有(自簽章)CA。在其他情況下,例如 VPN,您也可能使用私人 CA。
您可能會遇到 Dovecot 問題,但連線的將是您的使用者。這不是供公眾使用的服務。如果您產生了 CA 來簽署您的證書,則可以使您的使用者可以使用該 CA 證書將其匯入到他們的電子郵件用戶端。這將解決該問題。
您現在可以免費獲得簽名證書。如果沒有,則讓我們加密證書頒發機構將於今年秋季推出。 (現已可用。)
答案2
只是為了糾正@Ram。
根據 RFC 規範,MX 記錄不得指向「example.com」。這是完全錯誤的。您必須將 MX 記錄指向「mail.example.com」記錄,並將「mail.example.com」記錄指向您的伺服器 IP。
答案3
這取決於您的 MX 記錄指向的位置。如果您的 MX 記錄指向 example.com 而不是 mail.example.com 並且 example.com 解析為 IP 位址,則您可以在該伺服器上執行 SMTP。
它適用於個人或小型辦公室設置,但較大的組織為每個功能都有專門的伺服器。
答案4
伺服器應該有一個「完全限定的網域」(參見https://en.wikipedia.org/wiki/Fully_qualified_domain_name)。在您的範例中,僅將其稱為「example.com」將是部分限定的,因為它是沒有伺服器名稱的網域名稱。
在實踐中,許多垃圾郵件過濾器會非常懷疑地對待任何沒有正確 FQDN 的伺服器。即使是 123.123.123.123.example.com 形式的名稱也可能會將您列入黑名單,因為它顯然是自動生成的,因此可能是用於避免垃圾郵件阻止過濾器的臨時(虛擬)計算機。
因此,您必須將其命名為“something.example.com”,而人們使用“mail”來表示“某物”的原因很簡單,因為它易於記憶且易於猜測。如果您在電子郵件用戶端中建立電子郵件帳戶,它有時會猜測這一點,從而節省用戶嘗試查找伺服器名稱的麻煩。