Владимир Дубровин

У вас для домена postgres.inf вообще SPF не настроен, вы SPF-запись то опубликуйте.

SPF проверяется по домену envelope-from, это адрес который в полученному письме видно в заголовке Return-Path

Чаще всего делается схема refresh token + access token, т.к. она является легко масштабируемой.
1. Пользователь авторизуется на сервере авторизации по телефону, приложение получает refresh token (постоянно действующий), постоянно хранит этот токен безопасным способом.
2. При старте приложения и с некоторой регулярностью (например раз в 10 минут) или при необходимости обращения к определенному API фронт-сервера, приложением дергается API сервера авторизации с refresh token и получается access token, короткоживущий (например 15 минут). access token может быть некоторой информацией - id пользователя, timestamp, запрошенный тип сервиса и т.п. - подписанной (или зашифрованной) ключом сервера авторизации.
3. Приложение обращается к API front-серверов с access token, фронт-сервер валидирует токен
4. При разлогине (или смене пароля если он будет) инвалидируется refresh token. access token'ы "протухают" самоходом в течении интервала жизни.

Это дает:
1. совместимость с OAuth, можно использовать вход через сторонние сервисы и наоборот предоставлять им возможность что-то делать за пользователя.
2. централизованную авторизацию пользователя и управление сессиями (все токены раздаются сервером авторизации)
3. возможность завершения сессии на стороне сервера (сервер авторизации инвалидирует refresh token)
4. возможность централизовано давать или не давать доступ к отдельным концам API или серверам (через включения типа сервиса в сессионный токен, для каждого API или сервиса можно запрашивать разные токены, которые будут действительны только для них). Так же можно разделить зоны безопасности, например запрашивать отдельный токен для обращения к менее защищенным сервисам, который не даст доступа к более привилегированным сервисам.
5. фронт-серверам не требуется проверять каждый запрос на сервере авторизации, они самостоятельно могут проверить правильность таймстампа/подписи и соответсвтие типа токена запросу.

Использование JWT или других механизмов уже определяется структурой приложения. Лучше использовать стандартный механизм, чтобы избежать "самопальной" криптографии.

P.S.
иногда схема усложняется до refresh_token (постоянный) + session_token (временный) + access_token (на доступ к кокретной ручке или сервису)

Можно ограничить в devel-версии с помощью команды connlim
https://3proxy.ru/doc/man3/3proxy.cfg.3.html

Чтобы использовать для shop.kttsoft.tk отдельную DNS-зону, в зоне kttsoft.tk необходимо добавить DNS-записи

shop.kttsoft.tk. NS  ns1.shop.kttsoft.tk.
ns1.shop.kttsoft.tk. A 159.65.125.18

либо прописывать все записи в самой зоне kttsoft.tk, иначе вашу зону не видно.

P.S. а еще вам надо у хостера прописать PTR для 159.65.125.18.

P.P.S. но даже если вы все сделаете правильно - не факт что ваши письма перестанут попадать в спам. Не стоит под что-то серьезное, тем более магазин, регистрировать домен в бесплатной зоне.

ЗЗПП по этому поводу говорит следующее:

В отношении технически сложного товара потребитель в случае обнаружения в нем недостатков вправе отказаться от исполнения договора купли-продажи и потребовать возврата уплаченной за такой товар суммы либо предъявить требование о его замене на товар этой же марки (модели, артикула) или на такой же товар другой марки (модели, артикула) с соответствующим перерасчетом покупной цены в течение пятнадцати дней со дня передачи потребителю такого товара. По истечении этого срока указанные требования подлежат удовлетворению в одном из следующих случаев:
обнаружение "существенного недостатка" товара;
нарушение установленных настоящим Законом сроков устранения недостатков товара;
невозможность использования товара в течение каждого года гарантийного срока в совокупности более чем тридцать дней вследствие неоднократного устранения его различных недостатков.

При этом из Постановление Пленума Верховного Суда РФ от 28.06.... существенным недостатком в технически сложны товарах в частности считается

д) недостаток, который проявляется вновь после его устранения, - недостаток товара, повторно проявляющийся после проведения мероприятий по его устранению.

т.е. если у вас повторно возникает та же неисправность - вы можете смело требовать замены или возврата денег.

VPN-tor-VPN нужен в двух ситуациях:
1. Для доступа из сети, в которой блокирован tor в сеть, в которой блокирован tor (т.е. так придется делать чтобы иметь стабильный доступ из любого места к любым ресурсам, т.к. тор много где блокируется)
2. Для проброса трафика отличного от TCP

Если речь о *nix, то наличие конфигурационного файла в 3proxy не обязательно, по умолчанию конфигурация ожидается на стандартном вводе и можно запускать, например, через

echo "log
proxy -p3130
end
" | ./3proxy

Можно добавить -static в CMAKE_EXE_LINKER_FLAGS