Как правильно spf и dkim для своего домена/ов?

Question

[moi_gospodinushka]

Есть свой почтовый сервер на Postfix и несколько доменов, которые он обслуживает. Всё работает. Только spf и dkim ещё не настроены. Я почитал про них, но не совсем понял.

Будем считать, что у меня есть:

postfix_domain1.com

и 3 домена, которые его используют:

email_domain{1, 2, 3}.com

Объсните по простому и на этом конкретном пример как эти записи настроить?

Answer 1

[Виктор Таран]

1. spf - нет такого вида записей на ДНС сервере, поскольку при создание RFC небыло еще спама, так что это костыль и пишется он в TXT запись.
Просто пропиши соответствующую запись в редакторе ДНС зоны
что товроде такого:

v=spf1 ip4:136.243.82.21 ip4:136.243.82.22 include=_spf.yandex.ru ~all

Указав ВСЕ! айпи с которых может уходить почта, особенно если это почтовые сервисы типа яндекс почты, поскольку почта может уходить как с яндекса так и с твоего сервера.
С DKIM и DMARC посложнее
https://habr.com/post/343128/
Тебе нужно будет сгенерировать ссл сертификат на сервере притом именно средствами демона opendkim
ну и внести публичный ключь в ту же TXT запись но уже со своим синтаксисом
ДМАРК просто запись, но только при рабочем дким.
Тут можно проверить
https://mxtoolbox.com/spf.aspx
https://mxtoolbox.com/dkim.aspx
https://mxtoolbox.com/DMARC.aspx
Не забудь что после применениыя записей на днс сервере нужно скинуь кешь или дождаться его обновления.
Увидить прошли ли обновления можно утилитой
host -a test.ru ( в деб ветке доступен по умолчанию)

Comments

[moi_gospodinushka]

Просто пропиши соответствующую запись в редакторе ДНС зоны --> я же не зря попросил написать на моём конкретном примере. ДНС зоны какого сервера? Нахрена какой-то яндекс? Нахрена какие-то ip?

[Виктор Таран]

moi_gospodinushka,
Простите конечно но я не знаю что у вас отправляет почту, какой айпи у вашего сервера. Есть ли у вас доступ до консоли и возможность установить ПО а так же какая ос при этом, может у вас веб панель и все делается галочками, может уже сделано.
Если вам нужна запись под ваш домен то давайте.
1. ваш домен
2. какая панель управления
3 какой тариф
4 есть ли root или chroot ssh
5. Куда ведет НС записи и есть ли доступ до редактирования ДНС.
Вполоть до количества айпи и соответственно насроойки postfix

[Максим Гришин]

SyavaSyava, ну и ещё после отладки лучше таки заменить ~all на -all, во избежание.

[moi_gospodinushka]

именно средствами демона opendkim

а если letsecnrypt?

[moi_gospodinushka]

Виктор Таран, я даже не знаю что вам ещё написать, если всё в вопросе уже написано! и что непонятного в моём комментарии -- я тоже не понимаю!

Простите конечно но я не знаю что у вас отправляет почту, какой айпи у вашего сервера.

что может отправлять? наверное postfix который и упомянут в моём вопросе вместе с доменом!

[moi_gospodinushka]

Просто пропиши соответствующую запись в редакторе ДНС зоны
что товроде такого:

---> у меня в вопросе 4 домена.

[Виктор Таран]

SyavaSyava,

Хмм, SPF пишется в TXT и это костыль, а для DKIM

Естественно, и это тем более.

И кстати для SPF в TXT-записи можно указывать как IP-адреса, так и доменные имена, например:
v=spf1 mx ptr mx:mail.mydomain.tld ~all

Ага вот толко указывать нужно именно то, что отправляет почту.
А в TXT попадает всякоя влудерастена типа верификаций, ну и то что не вошло в RFC поскольку оно писалось ООООчень давно, да и в добавок не полностью соблюдается даже регистраторами.

[Виктор Таран]

SyavaSyava, ну и ещё после отладки лучше таки заменить ~all на -all, во избежание.

В свое вермя я тоже так делал, но на хабре написано что это полная хрень