. У меня есть ряд доменов с регистратором с прямой переадресацией на другой адрес электронной почты.
Система работала безупречно много лет во многих доменах, но недавно я создал новый форвард, который не прошел тестирование.
Ошибка не была ошибкой SPF/DKIM, это была ошибка неизвестного адреса. Регистратор настаивает на том, что причиной сбоя является то, что их система не позволяет существовать записям spf и dkim в домене для переадресации.
Мои познания в этой области невелики, но я не уверен, что утверждения регистратора верны. Любое руководство там?
Нет, DKIM и SPF не отключают ретрансляцию почты полностью. Вместо этого они разрешают ретрансляцию почты для домена только авторизованным ретрансляторам и рекомендуют всем принимающим системам отклонять почту от неавторизованных ретрансляторов. Эта авторизация объявляется через специальные записи DNS.
Можно одновременно настроить несколько исходящих ретрансляторов (ваш собственный сервер и несколько внешних серверов). Но в конечном итоге вы перечислите их все в своих записях SPF и DKIM.
Для SPF необходимо либо знать все IP-адреса реле, либо имя их действительной записи SPF, в которой перечислены все их адреса. Затем вы настраиваете в своей записи SPF все эти адреса или используете include:their-spf-record
, в дополнение к вашим собственным или другим реле, которые вам нужны:
example.com. TXT "v=spf1 a:your.server.name include:their-spf-record ip4:192.0.2.111 -all"
(может быть много разных a:, include:, ip4:части).
Для DKIM оператор ретрансляции должен генерировать пары ключей подписи. Затем они должны сообщить вам открытый ключ и его селектор (, а также настроить свой сервер для подписи с использованием соответствующего закрытого ключа и этого селектора ). Затем для каждой пары ключей-селекторов вы создаете дополнительную TXT-запись вида :
selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=..<key>.."
. Конечно, каждая система должна использовать свой собственный селектор.
Это все настройки DNS, необходимые для отправки почты с доменом «от» из нескольких систем одновременно.
Часть SPF ни у кого не должна вызывать затруднений. Проблема с их системой может заключаться в том, что они не знают, как настроить подпись DKIM для ретранслируемой почты. В моем случае, например, postfix+rmilter это делает и у него нет проблем, все можно настроить. Также вы можете подписать с помощью DKIM на своем сервере, который использует ретранслятор в качестве смарт-хоста,и вы должны гарантировать, что системы ретрансляции не испортят подписанные заголовки и не удалят вашу подпись; если это так, нет необходимости настраивать дополнительную подпись DKIM в системе ретрансляции.