А где ты его прописал? На скриншоте он у тебя закомментирован. И OpenDKIM после этого надо рестартовать.
SignatureTTL 1 слишком маленький, ты будешь получать ошибки при проверке DKIM. Ставь TTL исходя из того, сколько у тебя максимально может занять доставка письма, например если у тебя таймаут отправки сутки - ставь сутки (86400).
Если по-каким-то причинам не получится использовать прокси (например игра не поддерживает прокси, а проксифицировать не получается т.к. она как-то хитро работает с UDP) - то можно развернуть OpenVPN, но накладные расходы на него выше.
Николай Бараненко, судя по
ENV HTTPS_PROXY "ourproxy:1001"
и ошибке потерялись логин и пароль.
Если это фатально, поставьте локальный прокси который не будет требовать пароля и будет редиректить в родительский. Например в 3proxy это
auth iponly
allow *
parent 1000 http адрес порт логин пароль
proxy -i127.0.0.1 -p1234
На эту запись требуется 1 запрос на запись, по одному запросу на каждую из трех 'a' , 1 запрос на получение списка mx и по одному запросу на каждое имя в mx записи, итого 5 запросов + количество mx (например у b2bmails.ru 2 MX записи). Итого получается 7 запросов. Если другие домены будут делать редирект - то для них будет 8 запросов. Это укладывается в лимит, но если кто-то будет включать эту политику в свою, то может получить проблемы. Т.е. если вы планируете что ваши клиенты будут включать ваш сервис и при этом пользоваться еще чем-то - то такая политика недопустима, т.к. у клиентов почти наверняка возникнут проблемы с превышением лимита на запросы.
Двойные кавычки в ответе это нормально, TXT запись пришла в двух текстовых строках, стандарт это допускает.
DNS сам по себе не падает, просто он работает поверх негарантированного транспорта (UDP) и чувствителен к потере пакетов, а некторая потеря пакетов между двумя хостами в сети есть всегда, где-то больше, где-то меньше, и где-то может достигать нескольких процентов.
макроподстановки описаны в https://tools.ietf.org/html/rfc7208#section-7
там ничего сложного нет. Например, в случае
v=spf1 exists:%{ir}._spf.dnsdomain.ru ~all
ir означает IP адрес (i) в обратной нотации (r)
если SMTP клиент приходит с IP 1.2.3.4 будет запрошена запись
4.3.2.1._spf.dnsdomain.ru, если такая запись существует - то SPF будет считаться pass.
Имеется ввиду клиент инициируется TLS соединение. Кто и как при этом устанавливал соединение на транспортном уровне не важно, вы можете назначать в паре клиента и сервер исходя из любых соображений, лишь бы они об этом знали.
А что вы имеете ввиду под C2C? У вас все равно есть кто-то, кто инициирует соединение, с точки зрения TLS он является клиентом, если необходима взаимная авторизация - используйте TLS с клиентским и серверным сертифкатом, заранее обменявшись их фингерпринтами.
Этот совет во-первых неправильный, т.к. указывать надо "a" запись из другого домена, а во-вторых вредный, т.к. много всего инклюдить и использовать конструкцию mx не стоит из-за ограничений на число разрешний имен. Подробно расписано здесь:
SignatureTTL 1 слишком маленький, ты будешь получать ошибки при проверке DKIM. Ставь TTL исходя из того, сколько у тебя максимально может занять доставка письма, например если у тебя таймаут отправки сутки - ставь сутки (86400).