Настройка DNS для почтового сервера

Обновлено: 21.11.2024

DNS использует два типа записей: записи почтового обменника (MX) и записи A. Запись MX сопоставляет доменное имя с именами одного или нескольких почтовых хостов. Запись A сопоставляет имя хоста с IP-адресом сервера.

Почтовые серверы также используют другие записи DNS. Например, серверы, получающие почту из Интернета, выполняют обратный просмотр записи DNS PTR, чтобы определить имя хоста для заданного IP-адреса. Обратный поиск полезен для проверки источника сообщения, важного инструмента для ограничения доступа к ретрансляции через ваш сервер или предотвращения нежелательной коммерческой электронной почты (UCE).

Вы должны правильно настроить DNS для поддержки использования SMTP. Чтобы определить IP-адрес почтового сервера для целевого домена, IBM® Domino® делает следующее:

  1. Сервер ищет доменную часть адреса каждого получателя в DNS.
  2. Если DNS находит запись MX, сервер пытается подключиться к серверу, указанному в этой записи MX. Если имеется более одной записи MX, сервер пытается подключиться к записи с наименьшей стоимостью. Если несколько записей MX имеют наименьшую стоимость, сервер случайным образом выбирает одну из них и пытается подключиться к серверу, указанному в этой записи MX.

Примечание. Для одного доменного имени может быть несколько записей MX. Имя хоста просматривается в DNS, чтобы найти запись A. Запись A содержит IP-адрес хоста.

Запись MX сопоставляет доменное имя с одним или несколькими именами хостов. Запись A сопоставляет имя хоста с IP-адресом сервера. Вы можете использовать имя хоста в записи MX вместо просто записи A по следующим причинам:

  • Некоторые сторонние инструменты распознают только имена хостов, но не IP-адреса.
  • Если вы заменяете или перемещаете компьютер, вы можете назначить существующее имя хоста и IP-адрес новому или перемещенному компьютеру. Это изменение незаметно для пользователей, и сообщения продолжают направляться правильно.

Вы можете использовать DNS для обеспечения аварийного переключения и балансировки нагрузки для ваших почтовых серверов, создав несколько записей MX для доменного имени на DNS-сервере. Когда вы устанавливаете более одной записи MX для имени, вы можете установить значения предпочтения, чтобы управлять тем, как DNS выбирает эти записи. Сначала DNS выбирает предпочтения с меньшим значением — например, DNS выбирает от 5 до 10. Если несколько записей MX имеют одинаковое значение предпочтения, DNS случайным образом выбирает среди этих записей MX. Если одна из этих записей MX дает сбой, например из-за того, что сервер недоступен, DNS кэширует эту ошибку и пробует другие записи MX с таким же весом, а затем менее предпочтительные записи MX.

Просто приобрести доменное имя недостаточно для того, чтобы электронная почта направлялась в вашу сторону, а люди переходили на ваш веб-сайт. вам также необходимо, чтобы ваши записи DNS также указывали на ваш IP-адрес(а).

Для тех людей, которым требуется либо электронная почта, либо факс (на бумаге для заметок, возглавляемых компанией), чтобы запросить правильную настройку этих записей. Вам нужно будет отправить этот запрос своему интернет-провайдеру (или тому, кто размещает ваши общедоступные записи DNS).

Это касается того, какую информацию вы должны запрашивать и почему.

Помните, если у вас есть устройство безопасности за пределами вашей сети (например, брандмауэр или маршрутизатор, предоставляющий услуги брандмауэра), правильные порты должны быть открыты для вашего веб-сервера (обычно TCP-порт 80 и/или 443). или ваш почтовый сервер (TCP-порт 25, хотя Exchange может потребовать 443 для OWA и ActiveSync).

Примечание. Предполагается, что ваш интернет-провайдер предоставил вам либо статический общедоступный IP-адрес, либо диапазон общедоступных IP-адресов. Хотя можно использовать такие сервисы, как no-ip, если у вас нет статического IP-адреса.

Решение

Настройка записей DNS для веб-сервера (записи A)

Примечание. Выше я показал вам, как запись будет выглядеть на DNS-сервере Windows, просто чтобы вы могли понять, что это за записи, которые вы запрашиваете. (к тому же на их создание уходят секунды, не позволяйте вашему интернет-провайдеру делать это целую вечность!).

Проверка записей узлов DNS

Примечание. Я не нахожусь на этом IP-адресе, я просто настроил его таким образом для демонстрации. Перейдите в командную строку и введите приведенную выше команду, и вы увидите мой реальный текущий IP-адрес.

Что мне нужно запросить у моего интернет-провайдера / хоста домена?

Не могли бы вы сделать так, чтобы моя запись www указывала на 234.234.234.234

Настройка записей DNS для почтового сервера (записи A, MX, PTR и SPF)

<р>2.Теперь вам нужна запись MX (почтовый обмен), которая указывает на записи A, которые вы создали ранее, вы можете установить их в настройках.

Что такое настройки записи MX

Если у вас есть несколько почтовых серверов или резервная почтовая система, вы можете создать столько MX-записей, сколько хотите, по умолчанию почта будет отправляться сначала на НАИМЕНЬШИЙ параметр, если этот IP-адрес находится в автономном режиме или недоступен, он попытается СЛЕДУЮЩЕЕ НАИБОЛЕЕ предпочтительное.

Проверка записей MX

Как и выше, я собираюсь использовать команду nslookup, хотя на этот раз я просто выполню команду nslookup отдельно, после чего я смогу изменить тип записи, которую она ищет, на MX, прежде чем выполнять свой запрос.< /p>

Примечание. Кроме того, он также показывает правильные записи A.

<р>3. Хотя это и не обязательно для получения почты, вы также должны настроить записи PTR (указателей). Они работают противоположно A Record. Запись A преобразует имя в IP-адрес, запись PTR снова преобразует IP-адрес обратно в имя.

Зачем нужны записи PTR?

В связи с резким ростом количества рассылаемого спама люди искали систему, которая сократит его количество. Таким образом, некоторые почтовые системы (известные как Hotmail) начали выполнять обратный поиск входящей почты, они ищут адрес, который отправляет им почту (ЭТО БУДЕТ ТЫ), и если он не разрешается обратно в доменное имя отправляемого электронного письма, они удаляют адрес. почте (это называется ошибкой обратного просмотра). Таким образом, без записей PTR вы можете обнаружить, что не можете отправлять электронные письма на некоторые домены. Если ваш интернет-провайдер не может предоставить записи PTR, возможно, вам придется спросить, можете ли вы перенаправлять почту через «Smart Host» вашего интернет-провайдера.

Проверка записей PTR

Как и выше, я собираюсь использовать команду nslookup, хотя на этот раз я просто выполню команду nslookup отдельно, после чего я смогу изменить тип записи, которую она ищет для записей PTR, до того, как я выполню свой запрос.

<р>4. Последний тип записи, который вам МОЖЕТ понадобиться, — это запись SPF (Sender Policy Framework). Они разработаны таким образом, что вы можете перечислить свои почтовые серверы и домены в специальной записи (либо текстовой записи, либо записи опции 99 DNS). Они предназначены для сокращения спама, но, честно говоря, ВАМ НУЖЕН ОДИН, ТОЛЬКО ЕСЛИ у вас есть какой-то внешний объект, который отправляет почту, приходящую с ваших адресов электронной почты (например, ваша CRM-система, размещенная в Интернете).

Как создать запись SPF?

Запись SPF — это просто текст (см. выше). Самый простой способ определить, что вам нужно, — это использовать этот мастер.

Проверка записей PTR

Как и выше, я собираюсь использовать команду nslookup, хотя на этот раз я просто выполню команду nslookup отдельно, после чего я смогу изменить тип записи, которую она ищет для записей TXT, до того, как я выполню свой запрос.

Примечание. Это также отличный инструмент для онлайн-проверки.

Что мне нужно запросить у моего интернет-провайдера / хоста домена?

Вы можете организовать создание следующих записей.

Вы можете организовать создание следующих записей.

Чтобы ваша электронная почта работала и люди могли без проблем отправлять и получать почту, вам необходимо правильно настроить записи DNS-сервера. Кроме того, дополнительные записи DNS, такие как SPF и DKIM, могут повысить репутацию вашего почтового сервера и улучшить обнаружение спама.

Давайте рассмотрим простую настройку DNS для почтового сервера.

Я покажу вам свою настройку DNS. Есть много способов разместить DNS — вы можете сделать это самостоятельно, вы можете сделать это как выделенный сервис, у вашего регистратора домена, у провайдера VPS (если вы используете виртуальную машину VPS у хостинг-провайдера).

Начнем с основ.

Для веб-сайта или сервера электронной почты, доступных в Интернете, требуется совсем немногое.

Купить домен

Получить фиксированный общедоступный IP-адрес

Вам нужен фиксированный общедоступный IP-адрес. Существует множество способов размещения ваших служб в Интернете, но наличие фиксированного общедоступного IP-адреса является наиболее серьезным и надежным способом размещения ваших услуг. Фиксированные общедоступные IPv4-адреса трудно найти, и обычно ваш домашний интернет-сервис и мобильный тарифный план не имеют фиксированного общедоступного IP-адреса.

Как получить общедоступный IP-адрес? Вы получаете подключение к Интернету (обычно оптоволокно) с фиксированным общедоступным IP-адресом (который может быть дорогим, в зависимости от того, где вы живете, или может быть недоступен), или вы выбираете хостинговую компанию и размещаете там свои интернет-услуги (аренда веб-/почтового хостинга, арендовать VPS или договориться о размещении вашей машины у хостинг-провайдера). Аренда VPS — это мой предпочтительный способ, с помощью которого я одновременно получаю фиксированный IP.

Допустим, у нас есть VPS-машина с общедоступным IP-адресом 0.111.222.333 (это не настоящий или действительный общедоступный IP-адрес, но он поможет нам различать понятия в дальнейшем)

Получите компьютер для установки веб-сервисов и подключите к нему свой домен

Вы купили домен, потому что хотите разместить веб-сайт, почтовый сервер или другую веб-службу или облачную службу. Вам нужно где-то установить эти службы. Вы читаете это, потому что, вероятно, хотите узнать больше и сделать что-то самостоятельно. Итак, я не буду говорить здесь о классическом веб-хостинге/хостинге электронной почты. Как я уже упоминал, мне нравится размещать свои веб-сервисы через VPS.

Что такое VPS — виртуальный частный сервер. Вы выбираете аппаратную конфигурацию (процессор, оперативная память и место на диске), ОС, которую хотите использовать (Windows, Linux), и провайдер устанавливает для вас чистую виртуальную машину в центре обработки данных, с которой вы можете делать то, что хотите, устанавливать то, что хотите (пока это законно).

При использовании VPS вы обычно получаете собственный фиксированный общедоступный IP-адрес, будь то адрес IPv4 или IPv6.

Провайдер VPS, который мне больше всего нравится, это Contabo Опять же, я не связан с ними, я использую их около 10 лет, и (постучим по дереву) они до сих пор были великолепны.

ДНС

Хорошо, мы установили, что купили домен, получили VPS-машину с фиксированным общедоступным IP-адресом, и мы хотим установить веб-сайт и почтовый сервер на эту VPS-машину. Но как мир узнает, что наш веб-сайт/сервер электронной почты размещен на этой конкретной машине VPS где-то в центре обработки данных?

Нам нужен DNS. С помощью DNS мы свяжем наше доменное имя с общедоступным IP-адресом нашего VPS-сервера, чтобы любой человек в мире мог получить доступ к нашему веб-сервису, просто введя наше доменное имя.

Хорошо, но где взять DNS и как его настроить? Вы можете разместить DNS самостоятельно, но эта статья не научит вас этому.

Вы можете разместить DNS через своего регистратора домена или поставщика VPS. Я точно знаю, что и у Namecheap, и у Contabo есть служба DNS.

Для простоты этого руководства мы будем использовать Premium DNS от Namecheap. Таким образом, веб-сайт, на котором я купил домен, также будет размещать мой DNS. Это также можно сделать через панель управления VPS Contabo, но здесь мы собираемся сделать это через Namecheap.

Есть много разных способов выполнить любой из этих шагов, но мы выберем этот способ. Хорошо, давайте начнем с DNS.

Настройка DNS для службы электронной почты

Namecheap настроит сервер имен и основные настройки для вашего домена. Вам просто нужно добавить записи, которые вам нужны.

Для почтового сервера нам нужна запись A, запись MX и запись PTR.

Значения DNS стандартизированы, поэтому все, что я здесь пишу, можно сделать на любом другом DNS-сервере в мире.

Обычно я добавляю почту. для моих почтовых серверов.

Запись

Хорошо, сначала нам нужно создать запись A. Запись будет иметь имя хоста mail и значение общедоступного IP-адреса 0.111.222.333

Хорошо, я изменил IP-адрес со скриншота, чтобы скрыть свой настоящий от производственной системы (хотя его легко найти)

Итак, вот как будет выглядеть эта запись.

MX-запись

Вам также нужно будет указать «вес», чтобы он был равен 10.

Что такое вес. Меньший вес – более высокий приоритет. В серьезных производственных системах у вас более одного почтового сервера.

Хорошо, поэтому мы выберем запись MX и напечатаем следующее

Последняя запись – PTR-запись

PTR-запись

Запись указателя преобразуется из IP-адреса в имя домена. Это обратная запись DNS. Это чрезвычайно важная запись, потому что, если запись PTR не совпадает с именем и IP вашего почтового сервера, у вас могут возникнуть проблемы, и вы попадете в список спамеров.

Для этой записи, если вы подключены к Интернету с фиксированным общедоступным IP-адресом, вам придется попросить своего интернет-провайдера ввести эту запись для вас.

Поскольку у нас есть машина VPS, Contabo достаточно хороша, чтобы организовать ее через панель управления VPS

Таким образом, вам нужно просто перейти к обратному управлению DNS и ввести следующее

Проверьте конфигурацию DNS

Хорошо, значит, Интернет знает, что мы существуем.

Вы также можете выполнить здесь поиск DNS, протестировать сервер электронной почты, как только это будет сделано.

Прямо сейчас мы также проверим сервер электронной почты, чтобы убедиться, что мы правильно получили запись PTR. Хорошо, несоответствие обратного DNS SMTP в порядке.

Таким образом, базовые тесты прошли нормально, но при первом тесте мы получили ошибку DMARC.

Хорошо, давайте установим записи SPF, DKIM, чтобы сделать наш почтовый сервер более авторитетным.

Запись SPF

SPF — это запись (структура политики отправителей), которая указывает, какие хосты или IP-адреса могут отправлять электронную почту от имени домена. Естественно, в этой записи должны быть указаны только ваши серверы.

Хорошо, давайте создадим его. Мы сделаем простой. Мы создадим новую запись TXT и введем следующую

v=spf1 — версия spf 1

mx — все серверы, перечисленные в записях MX для домена, имеют право отправлять электронную почту.

~all указывает, что электронные письма из вашего домена должны приходить только с хостов, указанных в вашем spf.

Давайте проверим статус spf для нашего домена на mxtoolbox. Хорошо, записи SPF нет, давайте создадим ее

Итак, для типа мы ввели запись TXT, хост @ и значение v=spf1 mx ~all

Некоторые провайдеры DNS могут потребовать двойные кавычки для значения spf, поэтому оно будет выглядеть так: «v=spf1 mx ~all»

Хорошо, я ввел свой spf

И еще раз проверим mxtoolbox

Мы отмечены зеленым цветом и действительны

Это руководство также является частью моего почтового сервера в серии Ubuntu, поэтому мы также будем настраивать Postfix в Ubuntu для работы с spf.

Настроить агент политики SPF

Мы рекомендуем нашему Postfix искать записи spf входящих писем. Это может помочь в обнаружении входящих поддельных писем.

Затем, конечно, небольшое редактирование файла

Сначала отредактируем master.cf

В конец файла добавить следующее

Теперь отредактируем main.cf

Добавить следующее в файл

Сохраните и закройте файл.

Настройка DKIM

Опять же, эта часть идет с моим руководством по настройке электронной почты и должна быть выполнена в Ubuntu.

DKIM использует закрытый ключ для добавления подписи к сообщениям электронной почты из вашего домена. Принимающий почтовый сервер может проверить их, просмотрев открытый ключ, опубликованный в вашем DNS.

Мы установим OpenDKIM

Теперь мы добавим пользователя postfix в группу dkim

Мы отредактируем opendkim.conf

Раскомментируйте следующие строки и добавьте в канонизацию "расслабленный/простой"

В разделе «Номер субдомена» добавьте следующее в opendkim.conf

И добавьте следующее в конец файла. Идентификатор пользователя opendkim уже добавлен в Ubuntu 20.04.

Сохранить и закрыть файл.

Создать таблицу подписи, таблицу ключей, файл доверенных хостов.

Сначала мы создадим каталоги для OpenDKIM

Мы также создадим таблицу для подписи

Сохранить и закрыть файл.

Теперь создадим таблицу ключей

Сохранить и закрыть файл.

Теперь нам нужно создать файл доверенных хостов.

Сохранить файл и выйти.

Создать пару закрытый/открытый ключ

Хорошо, нам нужен закрытый ключ для подписи исходящих писем, а публичная часть будет опубликована в нашем DNS, чтобы получатели могли подтвердить нас.

-d указывает домен

-D указывает каталог

Закрытый ключ будет записан в default.private, а открытый — в default.txt

Теперь нам просто нужно сделать opendkim владельцем закрытого ключа

Опубликовать открытый ключ в DNS

Создать DNS-запись DKIM

Теперь в DNS-записи нам нужна новая TXT-запись, а под именем нам нужно ввести default._domainkey в поле имени. Затем из терминала скопируйте все в круглых скобках. Убедитесь, что в поле значения нет двойных кавычек или пробелов.Если вы не скопируете значения должным образом, ваш тест DKIM завершится ошибкой.

Так цените это

Необходимо изменить на это

Удалить пробелы/пробелы и двойные кавычки.

Итак, вот как должен выглядеть ваш DNS

Хорошо, давайте проверим с помощью Mxtoolbox. Все в зелени, вот как мы это любим. :)

Если вы получили «ключ в порядке», значит, все в порядке. Незащищенный ключ не должен вас пугать, мы получили это сообщение, потому что у нас нет DNSSEC.

Подключить Postfix к OpenDKIM

Нам нужно создать следующий каталог и изменить для него разрешения.

Тогда нам нужно отредактировать файл конфигурации OpenDKIM

Найти следующую строку (Ubuntu 20.04)

И замените его на

Сохранить и закрыть файл.

Следующий файл, который мы отредактируем,

Попробуйте найти следующую строку

Сохранить и закрыть файл.

Давайте просто отредактируем еще один файл Postfix

Добавить следующее в конец файла

Сохранить и закрыть файл

Перезапустите OpenDKIM и Postfix

После того, как вы получили электронное письмо в gmail, откройте полученное сообщение и в правом верхнем углу сообщения выберите меню и нажмите «Показать оригинал».

SPF и DKIM имеют статус PASS

Это хорошо, мы все сделали правильно.

Этот тест является отличным тестом для вашей электронной почты, если вы планируете отправлять информационные бюллетени, рекламные акции... Не забудьте включить полное электронное сообщение, которое вы планируете отправить.

Настройка DMARC

Хорошо, после того как мы закончим с настройкой SPF и DKIM, мы хотим настроить DMARC. DMARC (проверка подлинности, отчетность и соответствие на основе домена) сигнализирует о том, что почта из домена защищена с помощью SPF и DKIM. DMARC может помочь вам найти законные источники электронной почты.

DMARC должен помочь вам улучшить репутацию домена и помочь в обнаружении мошенничества (поле поддельного отправителя).

DMARC важен для любого бизнеса, особенно если вы полагаетесь на маркетинг по электронной почте.

Кроме того, предупреждаю: будьте осторожны с DMARC и протестируйте его с постепенным изменением настроек, начните с самых простых настроек, а затем настройте их в соответствии со своими потребностями.

Объяснение записи DMARC

Запись DMARC — это запись TXT в DNS. Вам не нужно ничего делать при установке, вам просто нужно добавить DMARC к вашему DNS.

Если мы посмотрим на экран веб-сайта, который я разместил выше, он выглядит так

Существует три типа политик:

none – сообщает принимающему почтовому серверу, что он ничего не делает, если электронная почта не проходит проверку DMARC.

карантин — электронное письмо будет помещено в карантин, если оно не пройдет проверку DMARC.

отклонить — электронное письмо будет отклонено, если проверка DMARC не пройдена.

Ни один из них не является хорошим началом, позже вы можете перейти в карантин, а затем отказаться, когда вы действительно узнаете, как работает ваша система.

Не спешите сразу отклонять или помещать в карантин, подождите сначала некоторые данные.

Адрес для предоставления сводных данных и адрес для предоставления экспертных данных:

Объясняется даже в футере веб-сайта — адреса электронной почты, по которым вы хотите получать отчеты. Криминалистические данные могут требовать больших объемов данных.

Сводные данные – это ежедневные отчеты в формате XML, а данные Forensic – отчеты в режиме реального времени. В большинстве случаев вы хотели бы получать только сводные данные.

Параметры отчетов об ошибках:

0 — генерирует отчет, если ВСЕ базовые механизмы не проходят проверку DMARC.

1 — генерировать отчеты, если ЛЮБОЙ механизм не работает.

d — создает отчет, если подпись DKIM не удалась

s — генерировать отчет в случае сбоя SPF.

Выравнивание идентификаторов DKIM/SPF:

Расслабленный режим хорош для начала, позже вы можете изменить его на строгий, если сочтете нужным.

Применить политику к этому проценту:

Проще говоря, процент электронных писем, к которым применяется DMARC. Для начала 100 % — это хорошо.

Вы должны подождать достаточное количество времени, чтобы получить достаточно отчетов DMARC, чтобы справиться с этим процентом.

Сначала не используйте политику "Нет" со 100 %, а затем через некоторое время вы сможете переключиться на политику карантина, когда будете знакомы с отчетами.

Но когда вы переходите на карантин, вы должны идти постепенно и увеличивать процент.

Конечно, вы можете изменить проценты на значения, которые считаете правильными, но вы поняли идею.

То же самое следует повторить после того, как вы, наконец, решите использовать политику отклонения.

Интервал между отчетами

Выберите временной интервал, который считаете нужным.

Создание записи DMARC

Не все эти записи DMARC являются обязательными, поэтому вам не нужно указывать, например, интервал отчетности или адрес электронной почты для судебной экспертизы, если вы не планируете их использовать.

Итак, вот что сгенерировал для меня приведенный выше веб-сайт:

Это пример, но я буду использовать DMARC:

Итак, вы видите, что я пропустил некоторые команды с веб-сайта. Моя запись DMARC будет работать, потому что в ней все еще есть все необходимые ингредиенты.

Давайте проверим нашу настройку DMARC с помощью MXToolbox DMARC Lookup

Хорошо, все в порядке, есть один восклицательный знак, утверждающий, что «Политика DMARC не включена». Как я уже сказал, мы ничего не используем до тех пор, пока не соберем информацию, и со временем мы сможем медленно установить политику карантина или отклонения.

Включение их по умолчанию может быть опасным для нашего потока электронной почты. Делайте это только в том случае, если вы на 100% уверены в том, что делаете, и у вас есть знания.

Мы также повторим тест Gmail (просто отправьте электронное письмо с вашего домена на учетную запись Gmail). У нас есть пропуск SPF, DKIM и DMARC.

Интерпретация отчетов DMARC

Как я уже упоминал, и мы также указали в нашей DNS-записи DMARC, что мы будем получать сводные отчеты на нашу учетную запись электронной почты.

Необработанные данные DMARC не очень легко понять. Postmark (спасибо) может обрабатывать эти отчеты для вас даже бесплатно и делать их более понятными.

Вам просто нужно будет ввести свои данные в Postmark, а затем вы можете немного изменить свою DNS-запись DMARC.

Вы можете указать несколько адресов электронной почты для получения отчетов или оставить только один, предоставленный Postmark, на ваше усмотрение.

Если вам интересно, что делают отчеты судебной экспертизы. Криминалистические отчеты будут содержать целые копии электронных писем, которые не прошли проверку DMARC — заголовки, темы, текст… Некоторые почтовые серверы не отправляют криминалистические отчеты из соображений конфиденциальности и конфиденциальности данных.

Заключение

Хорошо, на этом все. Я постарался дать вам как можно больше информации и знаний о настройке DNS для почтового сервера. Со всеми этими записями и с этой настройкой вы сможете иметь работающий почтовый сервер.

Я управляю своими почтовыми серверами уже почти 15 лет, и с точки зрения DNS это то, что мне подходит.

Для правильной настройки общедоступного почтового сервера для правильной отправки и получения почты необходимо настроить общедоступную систему доменных имен DNS. Она позволяет преобразовывать имена хостов в IP-адреса и предоставляет другую информацию, связанную с доменом. записи, чтобы другие почтовые серверы могли найти вас для отправки почты вашим пользователям, и чтобы другие почтовые серверы доверяли вам получать почту. Существуют также записи DNS, предназначенные для защиты вас от спама и для того, чтобы помочь другим серверам поверить в то, что ваш сервер не является хостом для спама. В этой статье мы попытаемся объединить все аспекты DNS в один документ для вашего ознакомления.

Поставщик DNS-хостинга

Практически все провайдеры хостинга DNS предоставляют интерфейс управления на основе веб-браузера, используемый для изменения ваших записей DNS, и должны предоставить необходимую техническую поддержку, если вы застрянете при попытке изменить какую-либо из записей DNS, обсуждаемых в этой статье. Некоторые распространенные провайдеры DNS-хостинга состоят из таких компаний, как GoDaddy, Network Solutions и DynDNS, и это только три. Возможно, их сотни, так что поищите, если еще не нашли. Многие компании, в том числе ваш собственный интернет-провайдер Интернет-провайдер - организация, которая может предоставлять услуги Интернета.могут предложить DNS-хостинг от вашего имени, но убедитесь, что они предлагают веб-интерфейс, который позволяет вам иметь некоторый контроль над своими записями DNS, и убедитесь, что они предлагают хорошую техническую поддержку. Все их интерфейсы разные, но они выполняют одну и ту же основную задачу; они позволяют публиковать в Интернете ваши имена хостов и важные записи DNS, такие как упомянутые в этой статье.

Размещение собственного DNS

На портале веб-хостинга DNS можно настроить его так, чтобы он не размещал ваш DNS, а вместо этого указывал ваши записи NS в другом месте. Вы можете указать свои записи NS на другого провайдера DNS-хостинга или на свой собственный DNS-сервер со своим статическим IP-адресом. Идентификатор, назначаемый устройствам, подключенным к сети TCP/IP. . В этой статье не обсуждается, как это сделать, но если вы указываете его на свои собственные DNS-серверы, находящиеся под вашим непосредственным контролем, вы должны хорошо знать DNS-серверы, которыми вы управляете, или должны иметь доступ к документации, необходимой для создания DNS. записывает себя. Эта статья все еще может оказаться полезной, чтобы вы знали, какие записи вам нужны. Вам по-прежнему могут понадобиться дополнительные ссылки, чтобы узнать, как их создать, если вы не являетесь экспертом по DNS-серверу, которым управляете. Тем не менее, эта статья предназначена в первую очередь для читателей, которые будут использовать веб-службу хостинга DNS с собственной технической поддержкой, чтобы помочь им, если им понадобится помощь с их DNS.

Статический или динамический IP-адрес

Сделайте все возможное, чтобы иметь статический IP-адрес. Очень сложно вести бизнес с динамичным тарифным планом для домашнего пользователя. Если нет альтернативы, можно использовать что-то вроде DynDNS для динамического хостинга DNS, но есть недостатки, которые не рассматриваются в этой статье. В этой статье предполагается, что у вас есть хотя бы один статический IP-адрес. Однако в большинстве случаев веб-интерфейс будет таким же, как и у хостинг-провайдера с динамическим DNS.

Запись «А»

Запись "A" сопоставляет имя с адресом. Сначала вам понадобится запись A для вашего почтового сервера. Ваш статический IP-адрес от вашего интернет-провайдера, конечно же, был первым шагом. Например, вы можете войти на веб-портал для домена example.com и создать запись «A» для «mail» для адреса 192.0.2.21. Это создаст mail.example.com, опубликованный в Интернете. Однако почтовые серверы все равно не узнают, куда отправлять почту. Для этого и нужны записи MX.

Запись "MX"

Запись "PTR"

Запись PTR — это обратный поиск, который сопоставляет IP-адрес с именем.

Очень часто на ум приходит почтовый сервер craigslist. AOL также славится этой проверкой, и они время от времени передумали и сняли эту галочку, но невозможно предсказать, когда они снова установят проверку, потому что они уже несколько раз в прошлом и до сих пор делать иногда.

Если вам необходимо создать собственную запись PTR, вам нужно будет сделать это в веб-интерфейсе собственной службы хостинга DNS. Возможно, вам придется позвонить им для поддержки. Если вы размещаете собственный DNS, вам потребуется создать обратную зону, которая не рассматривается в этой статье.

Запись "SPF"

Структура политик отправителей SPF — это аналог Caller ID с открытым исходным кодом. дает другим почтовым серверам способ проверить, что почта, якобы отправленная из вашего домена, отправлена ​​с одного из ваших IP-адресов. Они делают это, проверяя специальную запись TXT, которую вы помещаете в свои записи DNS. Это интересный способ предотвратить спуфинг почты.

Запись «АОН»

CallerID был ранним способом сделать то, что сегодня делает SPF. Как и в случае с SPF, Caller-ID дает другим почтовым серверам возможность проверить, что почта, якобы отправленная из вашего домена, отправлена ​​с одного из ваших IP-адресов. Они делают это, проверяя специальную запись TXT, которую вы помещаете в свои записи DNS. Это интересный способ предотвратить спуфинг почты. Идентификатор вызывающего абонента не так популярен, как SPF, но защищает вас немного иначе, чем SPF. Из-за этого не все считают, что CallerID не имеет значения. Дополнительные сведения см. в разделе Создание SPF.

Рекомендуемое чтение

Маршрутизация почты обсуждается в RFC 5321 и 2821.

SPF задокументирован в RFC 4408. Этот RFC на самом деле легко читается, если говорить о RFC.

Серверы доменных имен, как правило, сбивают с толку многих людей. Если вы один из них, не расстраивайтесь.

Я слышал, как штатные ИТ-специалисты говорили мне, что электронная почта не может находиться на сервере, отличном от вашего веб-сайта, и это, очевидно, не так. В этом весь смысл записей обмена почтой (MX), типа записи DNS.

Не все понимают все тонкости.

Как настроить DNS для электронной почты

В этой статье мы рассмотрим:

  • Распространенные типы записей DNS.
  • Как обмениваются сообщениями электронной почты между серверами.
  • Настройка DNS-записей для электронной почты.

Что такое DNS?

DNS означает систему доменных имен или сервер доменных имен.Они отвечают за подключение доменных имен к веб-серверам. Каждый раз, когда вы подключаетесь к Интернету и идете куда угодно, вы используете их.

Вот как это работает:

Что такое записи CNAME и A?

Записи CNAME и A – это самые простые и распространенные записи. Вероятно, их проще всего объяснить.

Нужна дополнительная информация? Посмотрите эти ссылки:

Вы также можете найти много информации о различных записях DNS (также известных как записи файла зоны) и о том, как ими управлять, в этой справочной статье GoDaddy.

Что такое записи почтового обмена (MX)?

Записи MX на DNS-сервере позволяют указать, куда должна доставляться электронная почта. В справочной статье GoDaddy о записях MX говорится, что «записи MX определяют серверы входящей почты, которые получают сообщения электронной почты, отправленные на ваше доменное имя, и определяют их приоритет».

Добавить записи MX — это самая простая часть. Если вы используете такой сервис, как G Suite, ваши записи MX должны выглядеть примерно так:

Как осуществляется отправка и получение электронной почты?

Электронная почта стала популярной — поймите, верно? Чем больше электронной почты рассылалось по всему миру, тем больше спама поступало.

Вот пример отправки и получения электронной почты:

Вот как сейчас идет разговор, и вот почему электронная почта, отправленная вами или вашим веб-сайтом, может не попасть в чей-то почтовый ящик:

Что касается вашего веб-сайта, отправка электронной почты с веб-сервера раньше была простой задачей. Вы бы создали очень простую форму и указали, на какой адрес электронной почты она должна идти, и — бум! Письмо отображается на почтовом сервере, указанном в записи MX принимающего домена.

Проблема в том, что спам стал популярен, и начали появляться спам-фильтры, чтобы остановить его.

Почему вас это должно волновать?

Если записей DNS нет, вероятность того, что электронные письма из вашей контактной формы попадут на адрес электронной почты вашей компании, гораздо меньше.

Это также относится к общей доставке электронной почты, например электронной почте от человека к человеку. Почтовые серверы будут проверять, разрешено ли вам отправлять и получать на основе записей DNS. Если записей нет, вероятность того, что электронные письма дойдут до адресата, гораздо меньше.

Что мешает доставке почты?

Спам-фильтры предназначены для обнаружения незаконной электронной почты и используют следующие технологии для фильтрации спама:

  1. SPF: основа политики отправителей
  2. Почта, идентифицированная с помощью DKIM DomainKeys
  3. DMARC: аутентификация сообщений на основе домена, отчетность и соответствие

Все они имеют соответствующие записи DNS, которые необходимо настроить.

Я собираюсь в определенной степени упростить свое объяснение, но вот что задает каждый из них:

SPF спрашивает: "Разрешено ли этому IP-адресу отправлять почту от имени your_company?"

Есть три ответа: Принять, Отклонить и Принять, но отправить в спам.

DKIM спрашивает: «Могу ли я проверить вашу цифровую подпись? Мне нужно проверить подпись на отправляющем сервере».

DMARC спрашивает: "Прошли ли тесты SPF и DKIM? Давайте пробежимся по нашим правилам, которые говорят нам, что делать, если электронное письмо принято или отклонено».

Собираем все вместе

Разобравшись с этими основами, давайте рассмотрим настройку DNS для электронной почты.

Настройка записей MX

Каждый почтовый провайдер может предоставить эти настройки, но вот несколько популярных:

Вам просто нужно следовать инструкциям и сделать записи похожими на мой пример, упомянутый ранее. Мои примеры включают G Suite, потому что это то, что использует моя компания.

Если вы используете что-то другое, убедитесь, что вы получаете правильную информацию от правильного поставщика.

Как сделать спам-фильтры счастливыми

В отличие от записей A и MX, DKIM и SPF не имеют собственного префикса или типа записи. Они используют записи TXT. При их добавлении вы выберете TXT, а затем в значении укажете, какой тип. У GoDaddy есть статья о добавлении записи SPF.

Добавление записей SPF

Для моего домена обычная запись SPF выглядит следующим образом:

«v=spf1 mx -all» разрешает домену отправлять почту из указанных записей MX только для домена, запрещает все остальные. Например, если ваша почтовая служба — G Suite, то это позволит отправлять электронную почту с серверов Google, но никакие другие серверы не смогут этого сделать.

Если мне нужно отправить электронное письмо с помощью нашего программного обеспечения для управления проектами (Teamwork), мне нужно, чтобы в записях DNS было указано, что у него есть на это разрешение:

Если вам также необходимо отправлять почту через CRM, AWS SES, SendGrid или другую используемую вами службу, вам придется добавить эти записи. Ваша запись SPF может выглядеть следующим образом:

Добавление записей DKIM

Теперь, когда у вас есть записи SPF, вам может понадобиться добавить запись DKIM. Это должно быть довольно просто; найдите службу, и вы захотите скопировать и вставить свою запись DKIM из службы.

DKIM сервисов MailChimp (Mandrill) выглядит следующим образом:

Примечание. Запись DKIM содержит колоссальные 216 символов (отсюда многоточие на снимке экрана). У вас должна быть возможность иметь отдельный DKIM для каждой службы (в отличие от записей SPF, объединяющих домены).

Что делать, если письмо с вашего веб-сайта не приходит?

Ситуация связана с несколькими факторами. Возможно, ваш домен занесен в черный список. Вы можете проверить, перейдя в MX Toolbox. Если это не так, я рекомендую использовать службу транзакционной электронной почты, такую ​​​​как SendGrid. Мы устанавливаем SendGrid на большинство веб-сайтов, с которыми работаем, потому что знаем, как важно обеспечить доставку почты.

DNS может быть сложным. Надеюсь, это поможет вам начать работу.

Если вы думаете стать экспертом по DNS, я рекомендую прочитать DNS and Bind (5-е издание). Это был отличный ресурс, когда я изучал все тонкости DNS.

Есть несколько минут? (Возможно, нет.)

В поисках учетных данных для входа, бесконечных обновлениях, объяснениях по поводу покупки продуктов… Нет, спасибо. Мы создали The Hub на базе GoDaddy Pro, чтобы вы экономили в среднем три часа в месяц на каждом клиентском сайте, который вы обслуживаете.

Аарон Рейманн

Аарон — дизайнер, ставший разработчиком и операционным менеджером. Он занимается созданием сайтов с 1996 года. В настоящее время он является совладельцем Sideways8, цифрового агентства в Атланте, и активно участвует в местных веб-встречах, регулярно выступая на них.

Читайте также: