我有許多域名,其註冊商可以直接轉發到另一個電子郵件地址。
該系統多年來在許多領域都完美運行,但最近我創建了一個新的轉發,但在測試中失敗了。
該錯誤不是 SPF/DKIM 錯誤,而是位址未知錯誤。註冊商堅稱失敗的原因是他們的系統不允許 spf 和 dkim 記錄存在於要轉發的網域上。
我在該領域的知識並不廣泛,但我不相信註冊商的陳述是真實的。有什麼指導嗎?
答案1
不,DKIM 和 SPF 不會完全停用郵件中繼。相反,他們只允許授權的中繼 中繼某個網域的郵件,並建議所有接收系統拒絕來自未經授權的繼電器。此授權是透過特殊的 DNS 記錄宣布的。
可以同時設定多個出站中繼(您自己的伺服器和一些外部伺服器)。但最終您會將它們全部列出在您的 SPF 和 DKIM 記錄中。
對於 SPF,您必須知道所有中繼 IP 位址,或列出其所有位址的 SPF 有效記錄的名稱。然後include:their-spf-record,除了您自己的或您需要的其他中繼之外,您還可以將所有這些位址設定到您的 SPF 記錄中,或使用:
example.com. TXT "v=spf1 a:your.server.name include:their-spf-record ip4:192.0.2.111 -all"
(可能有很多不同的a:、include:、ip4:部分)。
對於 DKIM,中繼操作員必須產生簽名金鑰對。然後他們必須告訴你公鑰及其選擇器(他們還配置其伺服器以使用相應的私鑰和此選擇器進行簽署)。然後,為每個鍵選擇器對建立以下形式的附加 TXT 記錄:
selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=..<key>.."
當然,每個系統必須使用自己獨特的選擇器。
這是同時從多個系統發送具有「寄件者」網域的郵件所需的全部 DNS 設定。
SPF部分對任何人來說都不會有任何困難。他們的系統問題可能是他們不知道如何為中繼郵件設定 DKIM 簽章。以我為例,postfix+rmilter 就是這樣做的,沒有問題,都可以設定。此外,您還可以選擇在使用中繼作為智慧主機的伺服器上使用 DKIM 進行簽名,並且您必須確保中繼系統不會弄亂已簽署的標頭,也不會刪除您的簽名;如果是這樣,則無需在中繼系統上設定額外的 DKIM 簽章。