Comments 41
Весьма актуально для меня, к сожалению. Послужило причиной для переезда на выделенный сервер. Спасибо за статью
У меня тоже была свистопляска с хостингами. Особенно весело было, когда на том же почтовом серваке, через который я слал почту, появлялся настоящий спамер. Вот тут-то начиналась переписка со службой поддержки хостинга :)
PTR чаще всего добавляет провайдер, а не вы — это раз. Без PTR вообще почтовый сервер работать не должен — это два. Тут не рассылки, Exim или ещё что-то, а просто основы функционирования DNS.
А три — это вот это:
habrahabr.ru/blogs/linux/101628/
А три — это вот это:
habrahabr.ru/blogs/linux/101628/
Отличная, кстати, статья у вас, спасибо.
Далеко не всегда PTR добавляет провайдер. Часто ручками его надо добавлять, как, например, в моем случае.
И еще я черным по белому написал, что я не полноценный почтовый сервер настраивал. Нужна только рассылка.
Ваша статья несколько вообще о другом. Основной уклон моей статьи это настройка Exim на совместную работу c DKIM. А PTR и SPF указаны для напоминания.
И еще я черным по белому написал, что я не полноценный почтовый сервер настраивал. Нужна только рассылка.
Ваша статья несколько вообще о другом. Основной уклон моей статьи это настройка Exim на совместную работу c DKIM. А PTR и SPF указаны для напоминания.
Если вы его ручками у себя наберёте — об этом кроме вас больше никто не узнает.
Ручками это делалось через провайдер моего сервера. Через ребут-панель фаствпс. NS сервер тоже позволял ввести PTR, но он извне не определялся. Честно я не особо разбирался в теории PTR — сделал и главное работает. Удивляет правда, что двумя комментами выше статью до конца не читают и пишут, что в ней только основы DNS.
PTR добавляется на DNS, которые обслуживают обратную зону для блока IP адресов. Очень редко к этому DNS есть доступ у пользователя. А статья моя в первую очередь акцентирует внимание на том, что для того, чтобы не попадать в спам, надо как минимум соответствовать общепринятым требованиям стандартов. В частности, наличие валидной PTR — одно из этих требований. DKIM, на самом деле, абсолютно не нужен для рассылок. Поставьте mailman, настройте почтовик по моей статье — и вы 100% не попадёте в спам, если, конечно, будете делать корректные рассылки. А когда вы начинаете рассылать с помощью непонятного софта кучу писем с сервера, у которого даже PTR не прописан — то результат предсказуем и совершенно ожидаем.
Я уже понял, что ваша статья гениальна. У меня тоже нет кучи непонятного софта — один Exim. Вполне себе понятная программа. Сгенерировать пару ключей можно и без дополнительных программ.
В моем случае я имел возможность изменять PTR. И по умолчанию она была выключена.
Без DKIM мои письма все равно через одно сыпались в спам. Сейчас все нормально.
В моем случае я имел возможность изменять PTR. И по умолчанию она была выключена.
Без DKIM мои письма все равно через одно сыпались в спам. Сейчас все нормально.
Вот в том-то и проблема — что у вас. Вы пишите не сильно удосуживаясь разобраться в теоретических основах. Настраивать сервера по хавту не понимая, что делает каждая команда и каждая строчка конфига в хавту можно, но результат чаще всего будет именно такой, что каждое второе письмо будет попадать в спам. Поэтому всегда надо в первую очередь акцентировать на теории, а реализовать на практике теорминимум по настройке почтовика сможет любой.
Уже совсем непонятно, что вы хотите мне доказать. Как-то вы плавно перешли на обвинения, так и не указав, в чем же я не прав. Больше похоже на то, кто умнее. Я отлично понимаю, что делает каждая строчка в конфиге, которую я добавлял. И все письма идут как надо. И эти настройки будут работать нормально на всех серверах. А то, что вас так взволновал PTR, учитывая что статья только вскользь его затрагивает, мне вообще не понятно, опять же учитывая, что с PTR тоже нормально указана.
Да я ничего не хочу доказать! Я просто хотел обратить внимание, что ваш пост слишком конкретизирован, что возможно не есть хорошо, поскольку те, кто вдруг решат сделать также, как вы, обнаружат, что у них всё по другому.
Возможно вы правы на счет конкретизации, т.к. пост писался на основе свежего опыта, которым я и решил поделиться. Только при написании я старался учитывать тот факт, что это должно быть универсальным решением для сервера с Exim. Если говорить о DKIM и SFP, то здесь все нормально. С PTR возможны подводные камни.
chmod 755 /etc/exim4/mydomain.ru.key
Приватный ключик 755? Шарман, шарман =)
Что здесь такого? Если владелец root, то это нормально. Для текстового файла лучше конечно 744. Если пользователь не root, то 444. Exim нужно как-то иметь доступ к этому ключику. Или chown exim:exim и тогда права вообще можно поставить 400 или 600. Последний вариант конечно более предпочтителен для безопасности.
Поправьте меня, если я не прав.
Поправьте меня, если я не прав.
Последний вариант не более предпочтителен, а единственно возможен.
Если вы даёте на чтение приватный ключ любому пользователю системы, то ваша криптография оборачивается против вас. Как только я получаю ваш ключ, я смогу слать имперсонифицированный спам как бы от вашего сервера. И потом не отмажетесь — вот же вашим ключом подписано!
К.О.: верно для любых приватных ключей.
Если вы даёте на чтение приватный ключ любому пользователю системы, то ваша криптография оборачивается против вас. Как только я получаю ваш ключ, я смогу слать имперсонифицированный спам как бы от вашего сервера. И потом не отмажетесь — вот же вашим ключом подписано!
К.О.: верно для любых приватных ключей.
>> Без PTR вообще почтовый сервер работать не должен — это два.
Как-то с удивлением обнаружил, что контора под названием Microsoft игнорирует это правило. :)
Не знаю как сейчас, но еще полгода назад добавлял их в белый список, после того как мне пожаловались, что их письма reject'ятся.
Как-то с удивлением обнаружил, что контора под названием Microsoft игнорирует это правило. :)
Не знаю как сейчас, но еще полгода назад добавлял их в белый список, после того как мне пожаловались, что их письма reject'ятся.
Спасибо. Как раз вовремя, PTR и SPF я настроил изначально. Вот только для поддержки DKIM видимо надо обновлять exim, в версиях меньше 4.70 было как-то по-другому как я понял. Или это как раз для них?
В моем случае еще одна фишка была: локальный hostname должен соответствовать адресу, с которого идет почта, а иначе, насколько я помню, часть серверов из «серого списка» сообщения отказывалась выводить, т.к. exim hostname для чего-то там использовал и слал его в ответ.
Выше написал неправильно, hostname exim использует для формирования заголовка HELO, похоже.
Короче, деталей там миллион, поэтому если на почту завязано что-то важное, то может иметь смысл почтовую рассылку отдать на сторону в MainChimp какой-нибудь. Но и там не все в порядке (хотя должно бы быть) — MainChimp, например, был в mail.ru забанен недавно (не знаю, как сейчас, решили ли вопрос).
Короче, деталей там миллион, поэтому если на почту завязано что-то важное, то может иметь смысл почтовую рассылку отдать на сторону в MainChimp какой-нибудь. Но и там не все в порядке (хотя должно бы быть) — MainChimp, например, был в mail.ru забанен недавно (не знаю, как сейчас, решили ли вопрос).
коллеги, а как создать SPF запись, если основная почта бегает через yandex почту (корп.версия) и существует дополнительный сервер для рассылок?
SPF запись добавляется в ДНС. Видимо туда нужно добавить яндекс и дополнительный сервер для рассылок.
У вас в NS сервере mx почтового сервера же yandex прописаны. Создаете SPF на NS сервере также как написано в статье. Все там очень просто.
Поддерживаю вопрос только для google apps. Что из этого комплекта — SPF, DKIM, PTR необходимо по-минимуму и по-максимуму?
Сколько ни было на хабре статей про гугль аппс из серии — а никто об этом даже не обмолвился.
Сколько ни было на хабре статей про гугль аппс из серии — а никто об этом даже не обмолвился.
Ставьте на всякий случай все. На производительность сервера это никак не влияет. Кроме того, все уважающие себя операторы почты свои письма подписывают и используют SPF. Про PTR в комметах написали, что он обязателен всегда. Была у меня где-то ссылка ненужная, как раз помощь по google apps. А вот она: Help
Там рядышком найдете и все остальное, что вам нужно.
Там рядышком найдете и все остальное, что вам нужно.
По поводу SPF для Google Apps в гугловой справке тоже есть инфструкции: www.google.com/support/a/bin/answer.py?answer=178723
Мы где-то год юзали аналогичное решение на постфиксе, но к сожалению это настолько неудобно менеджмить (отслеживать отлупы, прогнозировать нагрузку, очереди и т.д.), что долго зрела мысль как-то это все решить. В итоге купили умный MTA, который все делает за нас — название говорить не буду, но реально мощных продуктов на рынке всего два, но и стоят они как самолет.
Когда было на постфиксе, руководствовался этими документами для настройки:
Anti Spam Technical Alliance Technology And Policy Proposal
MAAWG Sender Best Communications Practices
Когда было на постфиксе, руководствовался этими документами для настройки:
Anti Spam Technical Alliance Technology And Policy Proposal
MAAWG Sender Best Communications Practices
UFO just landed and posted this here
Спасибо за статью, про DKIM не знал, буду гуглить…
В своё время у меня очень проглючил dkim-filter. Из-за чего переехал с него на opendkim.
Да, кстате ещё в довес к DKIM подписям использую DomainKeys (dk-filter) — очень похожая штука от Яху.
P.S.: Есть ещё SenderID записи (SPF2, как я понял — ноги у неё ростут от МелкоМягких).
Зона ДНС у меня смотрится примерно так:
Про всевозможные значения для DKIM/Domainkeys читаем на буржуйском тут: www.zytrax.com/books/dns/ch9/dkim.html
Да, кстате ещё в довес к DKIM подписям использую DomainKeys (dk-filter) — очень похожая штука от Яху.
P.S.: Есть ещё SenderID записи (SPF2, как я понял — ноги у неё ростут от МелкоМягких).
Зона ДНС у меня смотрится примерно так:
$ORIGIN .
$TTL 3600 ; 1 hour
example.com IN SOA ns03.domaincontrol.com. dns.jomax.net. (
2011030301 ; Serial
28800 ; Refresh
7200 ; Retry (2 hours)
604800 ; Expire
86400 ; minimum (1 day)
)
NS ns03.domaincontrol.com.
NS ns04.domaincontrol.com.
$TTL 600 ; 10 minutes
A 173.12.78.10
$TTL 1800 ; 30 minutes
;;; SPF and ServerID Records ;;;
TXT "v=spf1 a mx include:_spf.example.com ~all"
TXT "spf2.0/pra a mx include:_sid.example.com ~all"
;;; MX Records ;;;
MX 0 mail.example.com.
;;; Domain Records go here ;;;
$ORIGIN example.com.
$TTL 3600 ; 1 hour
;;; DKIM/Domainkeys Signatures and Settings ;;;
_domainkey TXT "o=-;"
_adsp._domainkey TXT "dkim=all"
mail._domainkey TXT "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDHZXohph2LWJu605ONfejTXhRYAhyNfIM7YE2ypnRLRlYuDgLShqysAz2QwCWxwM1CmhA7XcrVTNjjc88qwBZ9lzjyPcZBGxRsN0hcISSvtQwkdERFVNghKD+uRPJG+bPh5o7ujLF6rHW969UX6PHPR9igGALsHZR7xrdVekP/iwIDAQAB"
;;; SPF and SenderID includes ;;;
_spf TXT "v=spf1 ip4:21.3.19.46 ip4:173.12.78.82"
_sid TXT "spf2.0/pra ip4:21.3.19.46 ip4:173.12.78.82"
;;; Servers and services
localhost A 127.0.0.1
mail A 28.6.70.6
m1 A 173.12.78.82
m2 A 173.12.78.83
m3 A 21.3.19.46
www CNAME example.com.
;;; Other records go here
Про всевозможные значения для DKIM/Domainkeys читаем на буржуйском тут: www.zytrax.com/books/dns/ch9/dkim.html
Ох уж эти рассылки. За пост спасибо, поставил плюсик.
Sign up to leave a comment.
Массовая почтовая рассылка через Exim или как не попасть в спам