Александр Фалалеев

remote_smtp:
		driver = smtp
		helo_data = ${lookup dnsdb{ptr=$sending_ip_address}{$value}{$primary_hostname}}

Единственное нормальное решение - оставаться на Яндекс. Если для Вас дорого по 250 руб за домен х 10 доменов, то может быть стоит пойти работать на завод ?

Настройка собственного почтового сервера потребует использование услуг приглашённого постмастера (так как сами Вы не справитесь) и это будет всяко намного дороже чем плата в Яндексе.

Как вариант:

Настройте MTA-STS - его Гугл очень любит.

Забудьте про первый вариант. Для коммерческих рассылок большого объёма без нахождения в штате вашей организации грамотного postmaster-a ничего не получится. Нет, по мануалам в интернете поднять postfix/exim+dovecot+sieve+spamassassin+clamav выйдет. Но рассылки будут улетать в спам, а IP будет в блоке Спамхауса и прочих листов вечно сидеть.

Так что - второй вариант. Сервисов рассылок полно. Рекоммендовать какой-то не буду - сами посмотрите. И да - хотя эти сервисы платные - но всё равно выйдет скорее всего не дороже чем оклад нормального postmaster-a.

1. docker и fail2ban тут каким боком ? Это совершенно другой вопрос.

2. exim+dovecot+roundcube+spamassassin+sieve+clamav

Но судя по вопросу Вам нужны либо услуги грамотного postmaster-a либо платная почта для домена от Яндекса или Gmail.

Msmtp transmits mails unaltered to the SMTP server, with the following exceptions:

The Bcc header(s) will be removed. This behavior can be changed with the remove_bcc_headers command and --remove-bcc-headers option.
A From header will be added if the mail does not have one. This can be changed with the set_from_header command and --set-from-header option. The header will use the envelope from address and optionally a full name set with the -F option.
A Date header will be added if the mail does not have one. This can be changed with the set_date_header command and --set-date-header option.
When undisclosed_recipients is set, the original To, Cc, and Bcc headers are removed and replaced with "To: undisclosed-recipients:;".

The email address in the From must match the smtp email address you used in your msmtprc for the email provider. The email address in the To can be anything, but if you don’t have the line in the text file, you will receive the email with Undisclosed recipients:; on the received email.

Вопроса в вашем "вопросе" не увидел.

Наверое у Вас есть какая-то проблема с вашим почтовым сервисом, Вы её почему-то не озвучиваете, а решили начать с самых азов (что такое МХ запись).

Искренне советую обратиться с нормально сформулированным вопросом на фриланс и Вам (небесплатно конечно) помогут.

То что Вы настроили dkim, spf, dmarc и ptr это прекрасно (кстати это далеко не всё - крайне желательно ещё и mta-sts и неплохо-бы tlsa dane озаботиться) - но какое это отношение имеет к тому что со всей этой верификацией делает почтовый сервис ПРИНИМАЮЩЕЙ стороны ?

Если у вашего клиента за которых Вы беспокоитесь настроен почтовый сервис на "принимать всё" то и все фишинговые письма якобы от Вас он получит. Ну значит он ССЗБ. Вы то сделали что могли.

В вашей ситуации так и было - ваш почтовый сервис на приём почты был настроен не строго (и это кстати правильно - ибо не получить почту важную и нужную вообще неприемлимо - защитные гайки потихоньку закручивать надо).

P.S.

То что Вы написали в dmarc "карантин" это рекомендация сервису принимающей стороны - он может её исполнить а может и подтереться ибо он не обязан ваши хотелки учитывать !

Вот Вам мой пример ( у меня в dmarc вообще p=reject прописано). Как-то раз при обновлении сервера dkim слетел напрочь, а заранее запланированная рассылка ушла. И что ? В gmail письма успешно попали у всех клиентов во "Входящие", хотя в отчёте dmarc что gmail прислал указано что dkim отсутствует. Просто gmail решает что с письмом делать исходя из собственных правил и мой p=reject ему до лампочки :)

https://laravel.com/docs/8.x/validation#rule-email

и дополнительно:

https://stackoverflow.com/questions/58725526/larav...

Судя по тегу Вы отправляете письма через Gmail.

Зайдите в полноценную версию Gmail, затем в папку "Отправленные", затем в любое письмо там, нажмите в правом верхнем углу три вертикальные точки и выберите там строку "Показать оригинал".

Убедитесь что IP клиента (что Spark, что Canary) там НЕТ !

Вывод:

У Вас паранойя :) !

1.

Тестируем на https://www.checktls.com/

a)

Сначала тестируем:

TestFrom:

TLS:Successful
From:info@babai.ru
Via:185.248.101.86
Date:2021-05-26 15:30:33
TLSv1_3
SSLCipher:TLS_AES_256_GCM_SHA384
SPF_mfrom.Record:v=spf1 ip4:185.248.101.86 -all
SPF_mfrom:pass: local="babai.ru: 185.248.101.86 is authorized"
SPF_helo.Record:v=spf1 ip4:185.248.101.86 -all
SPF_helo:pass: local="mail.babai.ru: 185.248.101.86 is authorized"
DKIM:pass: signature="@babai.ru" result="pass"
DKIM_policy.sender:"o=-", location="babai.ru", result="accept"
DKIM_policy.author:"o=-", location="babai.ru", result="accept"
DKIM_policy.ADSP:"dkim=discardable", location="babai.ru", result="accept"
DMARC_result:pass
DMARC_dkim:pass
DMARC_dkim_align:strict
DMARC_spf:pass
DMARC_spf_align:strict
DMARC_published.v:DMARC1
DMARC_published.p:reject
DMARC_published.sp:reject
DMARC_published.adkim:s
DMARC_published.aspf:s
DMARC_published.rua:mailto:info@babai.ru
DMARC_published.ruf:mailto:postmaster@babai.ru

б)

Затем тестируем там же:

TestTo:



3.

Сертификат почтового сервера должен быть настроен на А+ и со всеми "зелененькими" квадратиками (соответствие стандартам).

https://www.immuniweb.com/ssl/mail.babai.ru/WxGZsI4I/

4.

Ну а затем надо будет настроить собственно сам postfix, spamassassin, dovecot, clamav и разумеется fail2ban для отсева взломщиков и т.д. и т.п.

Поэтому как уже писали Вам в комментариях и я и другие отвечающие - обратитесь к грамотному postmaster-у ! По мануалам у Вас ничего путного не получится - ip вашего почтового сервера попадёт в блэклисты и хостер Вас выгонит !

Если использовать популярные платные dns-хостинги с anycast-серверами по всему миру и даже оставлять TTL по умолчанию (для MX как правило 30 минут) то и время обновления записи практически везде в полчаса и уложится.

Так как:

1. Нет собственного опыта по интеграции почтового сервиса в структуру

2. Нужно связать с active directory

То:

Exchange ваш выбор !

Два варианта:

1. Раз у Вас сложились хорошие отношения с zoho и они Вам помогают то тупо спросите у них с каким вариантом почтового сервиса их cms гарантировано работает (может яндекс.коннект, может Gmail для бизнеса, может (ещё куча вариантов) - уверен что Вам подскажут. Вот туда и переезжайте.

2. Нанять в штат postmaster-a поднимет он Вам exim/postfix + всё что надо и никакие письма из исходящих/отправленных пропадать не будут :)

Если таки международная компания то советую вернуться к п.3 и искать нормального postmater-a.

Всё остальное - компромисс :)