Массовая почтовая рассылка через Exim или как не попасть в спам

[5erg]

Весьма актуально для меня, к сожалению. Послужило причиной для переезда на выделенный сервер. Спасибо за статью

[bigsan]

У меня тоже была свистопляска с хостингами. Особенно весело было, когда на том же почтовом серваке, через который я слал почту, появлялся настоящий спамер. Вот тут-то начиналась переписка со службой поддержки хостинга :)

[psman]

Круче, когда Мастерхост забанил сеть региональных новостных сайтов ИА и клиента перестали получать свои новости, за которые еще и заплатили кучу денег.
Мгновенный переезд 24 немаленьких сайтов на другой хостинг — это по круче секса с 24 девушками.

[Malamut]

PTR чаще всего добавляет провайдер, а не вы — это раз. Без PTR вообще почтовый сервер работать не должен — это два. Тут не рассылки, Exim или ещё что-то, а просто основы функционирования DNS.

А три — это вот это:
habrahabr.ru/blogs/linux/101628/

[maxshopen]

Отличная, кстати, статья у вас, спасибо.

[bigsan]

Далеко не всегда PTR добавляет провайдер. Часто ручками его надо добавлять, как, например, в моем случае.
И еще я черным по белому написал, что я не полноценный почтовый сервер настраивал. Нужна только рассылка.
Ваша статья несколько вообще о другом. Основной уклон моей статьи это настройка Exim на совместную работу c DKIM. А PTR и SPF указаны для напоминания.

[smartly]

Если вы его ручками у себя наберёте — об этом кроме вас больше никто не узнает.

[bigsan]

Ручками это делалось через провайдер моего сервера. Через ребут-панель фаствпс. NS сервер тоже позволял ввести PTR, но он извне не определялся. Честно я не особо разбирался в теории PTR — сделал и главное работает. Удивляет правда, что двумя комментами выше статью до конца не читают и пишут, что в ней только основы DNS.

[Malamut]

PTR добавляется на DNS, которые обслуживают обратную зону для блока IP адресов. Очень редко к этому DNS есть доступ у пользователя. А статья моя в первую очередь акцентирует внимание на том, что для того, чтобы не попадать в спам, надо как минимум соответствовать общепринятым требованиям стандартов. В частности, наличие валидной PTR — одно из этих требований. DKIM, на самом деле, абсолютно не нужен для рассылок. Поставьте mailman, настройте почтовик по моей статье — и вы 100% не попадёте в спам, если, конечно, будете делать корректные рассылки. А когда вы начинаете рассылать с помощью непонятного софта кучу писем с сервера, у которого даже PTR не прописан — то результат предсказуем и совершенно ожидаем.

[bigsan]

Я уже понял, что ваша статья гениальна. У меня тоже нет кучи непонятного софта — один Exim. Вполне себе понятная программа. Сгенерировать пару ключей можно и без дополнительных программ.
В моем случае я имел возможность изменять PTR. И по умолчанию она была выключена.
Без DKIM мои письма все равно через одно сыпались в спам. Сейчас все нормально.

[Malamut]

Вот в том-то и проблема — что у вас. Вы пишите не сильно удосуживаясь разобраться в теоретических основах. Настраивать сервера по хавту не понимая, что делает каждая команда и каждая строчка конфига в хавту можно, но результат чаще всего будет именно такой, что каждое второе письмо будет попадать в спам. Поэтому всегда надо в первую очередь акцентировать на теории, а реализовать на практике теорминимум по настройке почтовика сможет любой.

[bigsan]

Уже совсем непонятно, что вы хотите мне доказать. Как-то вы плавно перешли на обвинения, так и не указав, в чем же я не прав. Больше похоже на то, кто умнее. Я отлично понимаю, что делает каждая строчка в конфиге, которую я добавлял. И все письма идут как надо. И эти настройки будут работать нормально на всех серверах. А то, что вас так взволновал PTR, учитывая что статья только вскользь его затрагивает, мне вообще не понятно, опять же учитывая, что с PTR тоже нормально указана.

[Malamut]

Да я ничего не хочу доказать! Я просто хотел обратить внимание, что ваш пост слишком конкретизирован, что возможно не есть хорошо, поскольку те, кто вдруг решат сделать также, как вы, обнаружат, что у них всё по другому.

[bigsan]

Возможно вы правы на счет конкретизации, т.к. пост писался на основе свежего опыта, которым я и решил поделиться. Только при написании я старался учитывать тот факт, что это должно быть универсальным решением для сервера с Exim. Если говорить о DKIM и SFP, то здесь все нормально. С PTR возможны подводные камни.

[bubuq]

chmod 755 /etc/exim4/mydomain.ru.key

Приватный ключик 755? Шарман, шарман =)

[bigsan]

Что здесь такого? Если владелец root, то это нормально. Для текстового файла лучше конечно 744. Если пользователь не root, то 444. Exim нужно как-то иметь доступ к этому ключику. Или chown exim:exim и тогда права вообще можно поставить 400 или 600. Последний вариант конечно более предпочтителен для безопасности.
Поправьте меня, если я не прав.

[bubuq]

Последний вариант не более предпочтителен, а единственно возможен.

Если вы даёте на чтение приватный ключ любому пользователю системы, то ваша криптография оборачивается против вас. Как только я получаю ваш ключ, я смогу слать имперсонифицированный спам как бы от вашего сервера. И потом не отмажетесь — вот же вашим ключом подписано!

К.О.: верно для любых приватных ключей.

[bigsan]

Спасибо, что обратили на это внимание. В процессе написания статьи упустил этот момент. Хотя настраивал именно по последнему варианту.

[Nastradamus]

>> Без PTR вообще почтовый сервер работать не должен — это два.

Как-то с удивлением обнаружил, что контора под названием Microsoft игнорирует это правило. :)
Не знаю как сейчас, но еще полгода назад добавлял их в белый список, после того как мне пожаловались, что их письма reject'ятся.

[SeriousDron]

Спасибо. Как раз вовремя, PTR и SPF я настроил изначально. Вот только для поддержки DKIM видимо надо обновлять exim, в версиях меньше 4.70 было как-то по-другому как я понял. Или это как раз для них?

[bigsan]

У меня Exim 4.72. В более ранних версиях для добавления DKIM сам Exim надо было пересобирать. Статей про такую сборку довольно много в интернете. Самый простой выход — обновить Exim из репозитория. В моем случае я добавил реп Squeeze в дебиан.

[kmike]

В моем случае еще одна фишка была: локальный hostname должен соответствовать адресу, с которого идет почта, а иначе, насколько я помню, часть серверов из «серого списка» сообщения отказывалась выводить, т.к. exim hostname для чего-то там использовал и слал его в ответ.

[kmike]

Выше написал неправильно, hostname exim использует для формирования заголовка HELO, похоже.
Короче, деталей там миллион, поэтому если на почту завязано что-то важное, то может иметь смысл почтовую рассылку отдать на сторону в MainChimp какой-нибудь. Но и там не все в порядке (хотя должно бы быть) — MainChimp, например, был в mail.ru забанен недавно (не знаю, как сейчас, решили ли вопрос).

[pr0tect0r]

коллеги, а как создать SPF запись, если основная почта бегает через yandex почту (корп.версия) и существует дополнительный сервер для рассылок?

[smartly]

SPF запись добавляется в ДНС. Видимо туда нужно добавить яндекс и дополнительный сервер для рассылок.

[bigsan]

У вас в NS сервере mx почтового сервера же yandex прописаны. Создаете SPF на NS сервере также как написано в статье. Все там очень просто.

[pr0tect0r]

Коллеги, вы невнимательны.
Я написал о том, что помимо SMTP серверов Yandex-a используется собственный сервер, исключительно для рассылок.

Вариант «v=spf1 redirect=_spf.yandex.ru» не подходит, т.к. учитывает только сервера яндекса.

Как правильно создать запись?

[smartly]

так?
v=spf1 redirect=_spf.yandex.ru +a:server.dlya.rassilok

[pr0tect0r]

немного не так:
v=spf1 include:_spf.yandex.ru +a:server.dlya.rassylok ~all

[questor]

Поддерживаю вопрос только для google apps. Что из этого комплекта — SPF, DKIM, PTR необходимо по-минимуму и по-максимуму?
Сколько ни было на хабре статей про гугль аппс из серии — а никто об этом даже не обмолвился.

[bigsan]

Ставьте на всякий случай все. На производительность сервера это никак не влияет. Кроме того, все уважающие себя операторы почты свои письма подписывают и используют SPF. Про PTR в комметах написали, что он обязателен всегда. Была у меня где-то ссылка ненужная, как раз помощь по google apps. А вот она: Help
Там рядышком найдете и все остальное, что вам нужно.

[doz]

По поводу SPF для Google Apps в гугловой справке тоже есть инфструкции: www.google.com/support/a/bin/answer.py?answer=178723

[CLaiN]

Мы где-то год юзали аналогичное решение на постфиксе, но к сожалению это настолько неудобно менеджмить (отслеживать отлупы, прогнозировать нагрузку, очереди и т.д.), что долго зрела мысль как-то это все решить. В итоге купили умный MTA, который все делает за нас — название говорить не буду, но реально мощных продуктов на рынке всего два, но и стоят они как самолет.

Когда было на постфиксе, руководствовался этими документами для настройки:
Anti Spam Technical Alliance Technology And Policy Proposal
MAAWG Sender Best Communications Practices

[Andrey_Zentavr]

Могли бы PMнуть что за хвалёный почтовик вы купили?
Актуален этот вопрос сейчас.

[bigsan]

5.0.6 — это настолько важно? Можно и без выражений кг/am

[bigsan]

Я ставил эту версию из репозитория Squeeze. В Lenny были слишком старые программы.

[smarteq]

Спасибо за статью, про DKIM не знал, буду гуглить…

[Andrey_Zentavr]

В своё время у меня очень проглючил dkim-filter. Из-за чего переехал с него на opendkim.
Да, кстате ещё в довес к DKIM подписям использую DomainKeys (dk-filter) — очень похожая штука от Яху.

P.S.: Есть ещё SenderID записи (SPF2, как я понял — ноги у неё ростут от МелкоМягких).
Зона ДНС у меня смотрится примерно так:

$ORIGIN .
$TTL 3600        ; 1 hour
example.com                IN        SOA        ns03.domaincontrol.com. dns.jomax.net. (
                               2011030301        ; Serial
                               28800                ; Refresh
                               7200                ; Retry (2 hours)
                               604800                ; Expire
                               86400                ; minimum (1 day)
                               )
                               NS ns03.domaincontrol.com.
                               NS ns04.domaincontrol.com.
$TTL 600        ; 10 minutes
                               A        173.12.78.10
$TTL 1800        ; 30 minutes
                               ;;; SPF and ServerID Records ;;;
                               TXT "v=spf1 a mx include:_spf.example.com ~all"
                               TXT "spf2.0/pra a mx include:_sid.example.com ~all"
                               ;;; MX Records ;;;
                               MX 0 mail.example.com.


;;; Domain Records go here ;;;

$ORIGIN example.com.
$TTL 3600                ; 1 hour

;;; DKIM/Domainkeys Signatures and Settings ;;;
_domainkey                      TXT "o=-;"
_adsp._domainkey                TXT "dkim=all"
mail._domainkey                TXT "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDHZXohph2LWJu605ONfejTXhRYAhyNfIM7YE2ypnRLRlYuDgLShqysAz2QwCWxwM1CmhA7XcrVTNjjc88qwBZ9lzjyPcZBGxRsN0hcISSvtQwkdERFVNghKD+uRPJG+bPh5o7ujLF6rHW969UX6PHPR9igGALsHZR7xrdVekP/iwIDAQAB"


;;; SPF and SenderID includes ;;;
_spf                            TXT     "v=spf1 ip4:21.3.19.46 ip4:173.12.78.82"
_sid                            TXT     "spf2.0/pra ip4:21.3.19.46 ip4:173.12.78.82"

;;; Servers and services
localhost                        A        127.0.0.1
mail                                A       28.6.70.6
m1                                A        173.12.78.82
m2                                A        173.12.78.83                                
m3                                A        21.3.19.46

www                                CNAME        example.com.

;;; Other records go here

Про всевозможные значения для DKIM/Domainkeys читаем на буржуйском тут: www.zytrax.com/books/dns/ch9/dkim.html

[fatalist]

Ох уж эти рассылки. За пост спасибо, поставил плюсик.