Установка SPF записывает на выделенном сервере
Если Вы поворот домена, переходящего для MySQL с mysqld_disable_trans булевская переменная, MySQL больше не защищается SELinux.
Больше подробно: установка этой булевской переменной сделает mysqld выполненным как initrc_t, который является более или менее тем же как unconfined_t. Это означает, что устранены ограничения SELINUX, на которых порт MySQL может и не может использовать.
Зеркально отразите булево использование:
setsebool mysqld_disable_trans 1
или непосредственно сделайте это постоянным с
setsebool -P mysqld_disable_trans 1
Еще в большем количестве деталей: булевская переменная отключает переход от initrc_t домен к mysqld_t домен в то время mysqld запускается init демоном во время начальной загрузки или перехода от unconfined_t кому: mysqld_t если это запускается вручную после начальной загрузки. Таким образом, mysqld не работает за пределами SELinux вообще, но в домене, который имеет намного меньше ограничений, чем mysqld_t имеет.
Много сервисов, которые существуют в собственном RHEL5 / политика CentOS 5, имеет * _disable_trans булевские переменные для выключения домена, переходящего для того сервиса. В более новых дистрибутивах и более новой политике, как на Fedora и RHEL6, Вы просто разгружаете полный модуль для mysqld для предотвращения SELinux для блокирования приложения, делающего материал.
(Ответ отредактирован с учетом правок на вопрос.)
Это зависит от обстоятельств. Записи SPF должны применяться к конверту From , а не к заголовку From: . Если ваш сервер использует SRS, все должно быть в порядке; конверт из будет переписан на example.com , и ваша запись SPF закроет его. В противном случае это будет зависеть от того, какие их MUA (и / или внутренние почтовые серверы) установили конверт From ; если это helloworld.com , то да, их запись SPF (если она существует) должна разрешить отправку вашей инфраструктурой.
При этом, если они являются вашими клиентами, они не причинят вреда, включая вы в своих записях SPF, которые они могут сделать с помощью простого , включая: . Лучше перестраховаться, чем сожалеть, и не надо
SPF необходимо настроить для каждого домена. Хотя вы можете использовать подстановочные знаки, это эффективно создает все возможные поддомены, соответствующие подстановочному знаку. Использование подстановочных знаков возникает редко. SPF не применяется к записям PTR , и ваши домены NS обычно не должны отправлять электронную почту.
Если вы хотите защитить домены, которые не должны отправлять электронную почту, от использования для рассылки спама, используйте запись SPF, например v = spf1 -all . Я бы порекомендовал сделать это, но многие домены не имеют этого покрытия. (Я видел, как многие из них отклонялись моим спам-фильтром.) Это должно включать веб-домены, которые предпочитают некоторые спамеры.
Домен, используемый в конверте из адреса, От: , Отправитель: , и аналогичные заголовки должны иметь запись SPF, например v = spf1 a mx -all . Это вызовет проблемы для отправителей, использующих другие SMTP-серверы для отправки электронной почты из вашего домена. SPF будет применен к конверту с адреса, который в большинстве случаев должен соответствовать одному из заголовков адреса отправителя.
Если вы хотите разрешить другим SMTP-серверам отправлять сообщения от имени вашего домена, вы можете использовать include ] механизм. Существуют ограничения на количество применяемых поисков домена, поэтому глубокая вложенность с такими механизмами, как A или MX , может привести к сбою проверки до того, как все механизмы будут завершены. Вы также, вероятно, импортируете механизм ~ all , который значительно нарушит цель использования SPF.
Настройка вашего SMTP-сервера для приема аутентифицированных подключений от ваших пользователей через порт Submisssion (587) позволит им использовать ваш почтовый сервер для отправки электронной почты. Порт отправки должен быть настроен для включения StartTLS. Аутентификация должна требовать TLS.
Ваш SMTP-сервер должен иметь запись SPF, позволяющую отправлять электронную почту. Запись типа v = spf1 a -all будет подходящей.
Рассмотрите возможность просмотра DMARC , который позволит вам опубликовать политику о том, как следует обрабатывать SPF и DKIM электронной почты. Вы также можете получать отзывы о том, насколько ваш домен соответствует вашим политикам. Это может включать признаки того, что ваш домен используется для рассылки спама.
Ваш SMTP-сервер должен иметь запись SPF, позволяющую отправлять электронную почту. Запись типа v = spf1 a -all будет подходящей.
Рассмотрите возможность просмотра DMARC , который позволит вам опубликовать политику о том, как следует обрабатывать SPF и DKIM электронной почты. Вы также можете получать отзывы о том, насколько ваш домен соответствует вашим политикам. Это может включать признаки того, что ваш домен используется для рассылки спама.
Ваш SMTP-сервер должен иметь запись SPF, позволяющую отправлять электронную почту. Запись типа v = spf1 a -all будет подходящей.
Рассмотрите возможность просмотра DMARC , который позволит вам опубликовать политику о том, как следует обрабатывать SPF и DKIM электронной почты. Вы также можете получать отзывы о том, насколько ваш домен соответствует вашим политикам. Это может включать признаки того, что ваш домен используется для рассылки спама.