Для правильной работы почтового сервера после настройки самого сервера необходимо настроить DNS. В частности, важно настроить сервер таким образом, чтобы электронные письма, отправляемые с него, не попадали в спам и злоумышленники не могли отправлять фишинговые электронные письма от вашего имени. Такие настройки выполняются через DNS.
Перед тем как перейти к шагам по настройке DNS-записей почтового сервера, создайте и настройке DNS зону.
Шаг 1. Настройте A-запись
A-запись связывает доменное имя с IP-адресом.
Пример A-записи для IP-адреса почтового сервера 1.2.3.4:
mail.example.ru. IN A 1.2.3.4
Читать подробнее про добавление А-записи.
Шаг 2. Настройте MX-запись
MX-запись привязывает домен к созданному почтовому серверу. Без MX-записи входящая почта работать не будет. Рекомендуется иметь более одного почтового сервера на случай сбоя в работе первого сервера.
Пример MX-записи, для почтового домена mail.example.ru:
example.ru. IN MX 10 mail.example.ru.
Читать подробнее про добавление MX-записи.
Шаг 3. Настройте PTR-запись
PTR-запись, или обратная DNS-запись, связывает IP-адрес с доменным именем. Она необходима для проверки подлинности вашего сервера.
PTR-записи обычно настраиваются хостинг-провайдером или владельцем IP-адреса. Свяжитесь с поставщиком услуг, чтобы настроить обратную DNS-зону (RDNS) и добавить в неё PTR-запись.
Как проверить PTR-запись?
Проверить PTR-запись можно с помощью следующих команд:
1. nslookup
nslookup -type=PTR 1.1.1.1
2. dig
dig -x 1.1.1.1
Команды запускаются в командной строке; вместо 1.1.1.1 подставьте ваш IP-адрес. Если PTR-запись настроена правильно, вы увидите в ответе доменное имя, связанное с указанным IP-адресом. Если PTR-запись отсутствует или настроена неправильно, вы получите сообщение об ошибке или пустой ответ.
Шаг 4. Настройте SPF (TXT-запись)
SPF (Sender Policy Framework) определяет, какие серверы могут отправлять почту с определенного домена. Настройка SPF позволяет снизить вероятность рассылки спама злоумышленниками от вашего имени. SPF настраивается через добавление TXT-записи.
Пример SPF-записи для домена example.ru:
example.ru. IN TXT v=spf1 mx -all
Запись обозначает, что только IP-адреса для MX-записей домена example.com могут отправлять почту от имени домена; -all означает, что весь остальной трафик следует считать спамом.
Для корректной работы почты рекомендуется иметь только одну SPF-запись для домена. Если TXT-запись с параметрами SPF уже создана в зоне, нужно отредактировать существующую запись.
Читать подробнее о добавлении SPF-записи.
Шаг 5. Настройте DKIM (TXT-запись)
DKIM (DomainKeys Identified Mail) — технология проверки подлинности отправителя и целостности сообщения электронной почты с помощью цифровой подписи. С помощью этой технологии получатель может убедиться, что электронное письмо действительно было отправлено от имени указанного в заголовке отправителя и оно не было изменено в процессе передачи. DKIM — эффективный метод борьбы с фишинговыми письмами.
После настройки все электронные письма, отправляемые от домена, в заголовке DKIM будут содержать цифровую подпись, a DNS-записи домена будут содержать DKIM-запись с открытым ключом для расшифровки цифровой подписи. Сервер-получатель может проверить DKIM DNS-запись, получить из нее открытый ключ и использовать открытый ключ для проверки цифровой подписи из заголовка. Если подпись действительна и соответствует сообщению, то получатель может быть уверен в том, что письмо отправлено от указанного отправителя и не было изменено в процессе передачи.
DKIM-запись добавляется через TXT-запись.
Пример DKIM-записи:
mailing-company._domainkey.example.ru IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGS"
mailing-company — специальное значение, выдаваемое поставщиком услуг электронной почты.
_domainkey — неизменяемая часть имени.
v — версия DKIM, всегда принимает значение DKIM1.
k — тип ключа, всегда принимает значение k=rsa.
p — открытая часть ключа.
Если вы используете сервисы электронной почты, запросите открытый ключ у поставщика услуг и добавьте соответствующую запись в настройках DNS.
Если вы используете собственный сервис электронной почты, вам необходимо настроить генерацию открытого и закрытого ключа самостоятельно, после чего добавить запись с открытым колючем в настройках DNS.
Подробнее о DKIM читайте в RFC 6376.
Шаг 6. Настройте DMARC-запись (TXT-запись)
DMARC-запись (Domain-based Message Authentication, Reporting and Conformance) используется для определения способа обработки электронных писем, которые не прошли SPF и DKIM-проверки. Если хотя бы одна проверки завершаются неудачей, письмо обрабатывается согласно DMARC-записи.
DMARC-запись добавляется через TXT-запись.
Пример DMARC-записи:
_dmarc.example.ru. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@sample.ru; ruf=mailto:dmarc-forensics@sample.com;"
_dmarc – неизменяемый префикс
v — версия протокола; всегда принимает значение DMARC1. Обязательный тег.
p — политика домена. Возможные варианты: none (не предпринимать действия), quarantine (пометить как спам или поместить в отдельную папку), reject (заблокировать электронное письмо). Обязательный тег.
rua — URI для агрегированных отчетов об отправленных письмах и серверах-отправителях. Можно указать несколько через запятую.
ruf — URI для отправки детальных отчетов. Можно указать несколько через запятую.
Другие распространённые варианты указания политик:
v=DMARC1;p=none
v=DMARC1;p=none;rua=mailto:postmaster@yourdomain.com
v=DMARC1;p=reject;pct=25;rua=mailto:postmaster@yourdomain.com
Подробнее о DMARC читайте в RFC 7489.
Готово! Вы выполнили необходимые шаги по настройке DNS для почтового сервера.