Настройки SPF для субдоменов с помощью общего почтового сервера
Я испытываю затруднения, заставляя субдомены пройти проверки SPF при отправке почты через общий почтовый сервер (иначе релейный хост).
Вот текущая установка:
MX 10 mail.example.com.
example.com. TXT "v=spf1 a mx -all"
sub1 TXT "v=spf1 include:example.com -all"
sub2 TXT "v=spf1 a mx -all"
A 1.2.3.4
mail A 1.2.3.5
sub1 A 1.2.3.6
sub2 A 1.2.3.7
(Вышеупомянутое является просто разделенным вниз и "подвергнутой цензуре" версией моего файла зоны DNS от Linode. Существуют также некоторые AAAA записи для субдоменов, но я пропустил их для краткости. Записи SPF для sub1 и sub2 имейте различные значения, потому что я экспериментировал, чтобы попытаться заставить это работать.)
mail.example.com выполняет постфикс и настроен как релейный хост к example.com, sub1.example.com, и sub2.example.com. Все они посылают электронное письмо очень хорошо через почтовый сервер (и будьте подписаны DKIM также), это - просто SPF, это - проблема.
Когда я посылаю почту с адреса как user@example.com затем SPF проверяет передачу без проблемы. Однако, когда я посылаю почту с адреса как otheruser@sub1.example.com затем SPF проверяет сбой. Крайне важно смочь послать электронные письма в обоих форматах.
Очевидно, я неправильно понимаю спецификацию SPF некоторым способом. Любое понимание ценится!
РЕДАКТИРОВАНИЕ 2
На самом деле субдомен SPF записывает со значением "v=spf1 include:example.com -all" кажется, работает теперь (другое значение все еще не работает). Я предполагаю, что кэш DNS где-нибудь между моим сервером (серверами) и Gmail (кого я использовал для проверки на передачу/сбой SPF) просто должен был обновить. Спасибо за справку так или иначе, всех.
РЕДАКТИРОВАНИЕ 1
Вот (подвергнутая цензуре) информация заголовка от использования "Шоу, исходного" в Gmail:
Delivered-To: bob@gmail.com
Received: by 10.27.176.132 with SMTP id g4csp19468;
Mon, 6 Oct 2014 09:23:39 -0700 (PDT)
X-Received: by 10.60.223.229 with SMTP id qx5mr2871424.34.1412612619;
Mon, 06 Oct 2014 09:23:39 -0700 (PDT)
Return-Path: <alice@sub2.example.com>
Received: from mail.example.com (mail.example.com. [01:02::03:04:05:06])
by mx.google.com with ESMTPS id fi7si2708120.75.2014.10.06.09.23.38
for <bob@gmail.com>
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 06 Oct 2014 09:23:38 -0700 (PDT)
Received-SPF: fail (google.com: domain of alice@sub2.example.com does not designate 01:02::03:04:05:06 as permitted sender) client-ip=01:02::03:04:05:06;
Authentication-Results: mx.google.com;
spf=hardfail (google.com: domain of alice@sub2.example.com does not designate 01:02::03:04:05:06 as permitted sender) smtp.mail=alice@sub2.example.com;
dkim=pass header.i=@example.com
Received: from sub2.example.com (sub2.example.com [IPv6:01:02::03:04:07:08])
by mail.example.com (Postfix) with ESMTPS id 587C7A7;
Mon, 6 Oct 2014 09:23:38 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=example.com; s=mail;
t=1412612618; bh=TN5kedzeI1m7kEkfICUGBMJFkDu6VqIrLGM3ne5ESHQ=;
h=To:From:Subject:Date:From;
b=Hr3ivPismDgCfyk5Sf5pVmIX6LQo0J4Gv7mWer7QP/81ZK5CrDv+o0LwR1Q19vPlF
j0RYKzQpsU2n2r/vqnlj8PY7yEd7pZoaQfByJzY0S4uj8NoyLK3ywVSzRt8c/acjSK
jMTItp+tmK6ZDALMbhhfSHgvTO0N+uozVTgEeMtU=
Received: by sub2.example.com (Postfix, from userid 1000)
id 910FF104; Mon, 6 Oct 2014 09:23:36 -0700 (PDT)
To: bob@gmail.com
From: alice@sub2.example.com
Если предположить, что для отправки почты вам также нужны sub1 и sub2, то вам нужно вручную добавить их ip-адреса в SPF-запись. Создание SPF-записи для sub1.example.com работает только в том случае, если ваша электронная почта имеет формат joe@sub1.example.com. Измените ваш example.com SPF на следующий:
example.com. TXT "v=spf1 a mx ip4:1.2.3.6 ip4:1.2.3.7 -all"
У вас правильный синтаксис, единственный недостаток в том, что SPF запись, в отличие от DKIM, совпадает только с доменом, откуда приходит электронное письмо.
.Обычно субдомены посылают электронную почту, используя для адресов родительский домен. Для этого требуется, чтобы идентификаторы пользователей координировались между доменами. Однако, существуют случаи использования различных субдоменов для отправки электронной почты.
Если вы хотите, чтобы работали SPF-записи для субдоменов, вам нужны MX-записи и SPF-записи для каждого субдомена. Ни включенная модель, ни модель, приведенная ниже, не будут работать без спецификации MX. (Для включенной SPF-записи можно использовать спецификацию A:192.0.2.x). Попробуйте использовать определение связки типа:
sub1 IN A 192.0.2.6
IN TXT "v=spf1 mx -all"
IN MX mail
Так как почтовый субдомен находится в вашем домене, вы можете указать MX как mail или mail.example.com.. Для другого домена вам всегда нужен полный адрес mail.example.net..
Рассмотрим возможность установки SPF-записи для вашего почтового сервера что-то вроде этого:
mail IN A 192.0.2.5
IN AAAA 2001:DB8::5
IN TXT "v=spf1 a -all"
Кажется, ваш почтовый сервер имеет IPv6-адрес. Вы должны добавить его как AAAA-запись в определение почтового сервера, как показано на рисунке. Если вы хотите, чтобы SPF работал через IPv6, ваш почтовый сервер/служба будет нуждаться в фиксированном IPv6 адресе.
Хотя в SPF нет необходимости, проверьте, чтобы записи PTR для IP-адресов субдомена почтовых серверов возвращали его имя. Для IPv4 обычно необходимо связаться со своим провайдером. Для IPv6 вы должны иметь возможность получить сетевой блок, делегированный вашему DNS, и вам нужно будет настроить зону.
.Постфикс отправляет почту через IPv6, если это возможно, но IPv6 example.com (01:02::03:04:05:06, из заголовков) не указан в SPF-записи. Либо разрешите этот IP дополнительно, либо ограничьте Postfix только IPv4.
Так как мы хотим быть прогрессивными, вы можете выбрать первый вариант :)
.