При настройке DNS для почтового сервера рекомендуется соблюдать следующие правила:
Записи в DNS (в соответствующих зонах):
Записи в DNS (в соответствующих зонах):
Записи в DNS (в соответствующих зонах):
Стандарт у нас пока один - RFC2821. Плюс современная практика защиты от спама (SPF и т.д.).
Вообще, если бы все пользовались SPF (хотя бы в части настройки собственных записей в ДНС) - проблема спама, как и обещал горячо любимый Билл Гейтс, могла бы быть на 99% решена уже в этом году.
Пример4 (рекомендация для провайдеров): если вы поставщик услуг хостинга сайтов/ДНС/почты и т.п., пожалуйста, не делайте для доменов ваших клиентов SPF-записей, если они вас об этом не просят. Если вы все-таки не можете удержаться от создания непрошенных SPF-записей для своих ничего не подозревающих клиентов, по крайней мере добавляйте в них SPF от Гугла, Яндекса и Mail.ru, т.к. большая часть ваших ничего не подозревающих о существовании SPF клиентов будет хостить свою почту именно там:
Записи в DNS (в соответствующих зонах):
взято
https://forum.ixbt.com/topic.cgi?id=7:26978
- Сервер исходящей почты должен представляться в команде HELO/EHLO своим внешним FQDN (т.е., например, не mail.firma.local, а mail.firma.ru)
- FQDN сервера исходящей почты должно однозначно разрешаться записью A во внешний IP-адрес сервера исходящей почты.
- Внешний IP-адрес сервера исходящей почты должен однозначно разрешаться записью PTR во внешний FQDN сервера исходящей почты (т.е. A, PTR и HELO/EHLO должны однозначно соответствовать друг другу).
- Сервер исходящей почты должен быть указан в записях SPF всех доменов, для которых он является авторизованным для отправки или пересылки почты.
- Запись MX должна существовать и указывать на FQDN сервера входящей почты.
Записи в DNS (в соответствующих зонах):
mail.firma.ru. A 1.1.1.1 ; HELO/EHLO = mail.firma.ru firma.ru. MX 30 mail.firma.ru. firma.ru. TXT "v=spf1 a:mail.firma.ru -all" 1.1.1.1.in-addr.arpa. PTR mail.firma.ru.Пример2: два собственных сервера входящей почты mail1.firma.ru и mail2.firma.ru, собственный сервер исходящей почты exchange.firma.ru, запасной сервер исходящей почты у запасного провайдера relay.isp.net, сервер исходящей почты филиала mail.urupinsk.net, почтовые домены superfirma.ru и myfirma.com, домен firma.ru для отправки почты не используется:
Записи в DNS (в соответствующих зонах):
superfirma.ru. MX 10 mail2.firma.ru. superfirma.ru. MX 20 mail1.firma.ru. myfirma.com. MX 10 mail1.firma.ru. myfirma.com. MX 50 mail2.firma.ru. exchange.firma.ru. A 1.1.1.1 ; HELO/EHLO = exchange.firma.ru. 1.1.1.1.in-addr.arpa. PTR exchange.firma.ru. relay.isp.net. A 2.2.2.2 ; HELO/EHLO = relay.isp.net. 2.2.2.2.in-addr.arpa. PTR relay.isp.net. mail.urupinsk.net. A 3.3.3.3 ; HELO/EHLO = mail.urupinsk.net. 3.3.3.3.in-addr.arpa. PTR mail.urupinsk.net. superfirma.ru. TXT "v=spf1 a:exchange.firma.ru a:relay.isp.net a:mail.urupinsk.net -all" myfirma.com. TXT "v=spf1 a:exchange.firma.ru a:relay.isp.net a:mail.urupinsk.net -all" firma.ru. TXT "v=spf1 -all" ; домен для электронной почты не используется mail1.firma.ru. A 4.4.4.4 mail2.firma.ru. A 5.5.5.5 4.4.4.4.in-addr.arpa. PTR mail1.firma.ru. 5.5.5.5.in-addr.arpa. PTR mail2.firma.ru.
Пример3: сервер mail.server.ru обслуживает "много" доменов:
Записи в DNS (в соответствующих зонах):
mail.server.ru. A 1.1.1.1 ; HELO/EHLO = mail.server.ru 1.1.1.1.in-addr.arpa. PTR mail.server.ru. domain1.ru. MX 10 mail.server.ru. domain2.ru. MX 10 mail.server.ru. ... domain99.ru. MX 10 mail.server.ru. domain1.ru. TXT “v=spf1 a:mail.server.ru –all” domain2.ru. TXT “v=spf1 a:mail.server.ru –all” ... domain99.ru. TXT “v=spf1 a:mail.server.ru –all” ; сам домен server.ru для переписки может вообще не использоваться: server.ru. TXT “v=spf1 –all” ; затычка от спамеров
Стандарт у нас пока один - RFC2821. Плюс современная практика защиты от спама (SPF и т.д.).
Вообще, если бы все пользовались SPF (хотя бы в части настройки собственных записей в ДНС) - проблема спама, как и обещал горячо любимый Билл Гейтс, могла бы быть на 99% решена уже в этом году.
Пример4 (рекомендация для провайдеров): если вы поставщик услуг хостинга сайтов/ДНС/почты и т.п., пожалуйста, не делайте для доменов ваших клиентов SPF-записей, если они вас об этом не просят. Если вы все-таки не можете удержаться от создания непрошенных SPF-записей для своих ничего не подозревающих клиентов, по крайней мере добавляйте в них SPF от Гугла, Яндекса и Mail.ru, т.к. большая часть ваших ничего не подозревающих о существовании SPF клиентов будет хостить свою почту именно там:
Записи в DNS (в соответствующих зонах):
someclient.ru. TXT "v=spf1 mx a:mail.super-isp.net include:_spf.google.com include:_spf.yandex.ru include:_spf.mail.ru -all"Ссылки на некоторые вопросы:
- Зачем нужен SPF и почему -all.
- Кое-что о двух провайдерах и одном почтовом сервере.
- Проверка IP на нахождение в черных списках, 2, 3;
- Онлайн тесты (DNS, SPF, DKIM): 1, 2, 3, 4, 5, 6, 7.
- Сервисы контроля репутации, FBL: 1, 2, 3.
взято
https://forum.ixbt.com/topic.cgi?id=7:26978
Комментариев нет :
Отправить комментарий