Comments 41
Весьма актуально для меня, к сожалению. Послужило причиной для переезда на выделенный сервер. Спасибо за статью
У меня тоже была свистопляска с хостингами. Особенно весело было, когда на том же почтовом серваке, через который я слал почту, появлялся настоящий спамер. Вот тут-то начиналась переписка со службой поддержки хостинга :)
Круче, когда Мастерхост забанил сеть региональных новостных сайтов ИА и клиента перестали получать свои новости, за которые еще и заплатили кучу денег.
Мгновенный переезд 24 немаленьких сайтов на другой хостинг — это по круче секса с 24 девушками.
PTR чаще всего добавляет провайдер, а не вы — это раз. Без PTR вообще почтовый сервер работать не должен — это два. Тут не рассылки, Exim или ещё что-то, а просто основы функционирования DNS.

А три — это вот это:
habrahabr.ru/blogs/linux/101628/
Далеко не всегда PTR добавляет провайдер. Часто ручками его надо добавлять, как, например, в моем случае.
И еще я черным по белому написал, что я не полноценный почтовый сервер настраивал. Нужна только рассылка.
Ваша статья несколько вообще о другом. Основной уклон моей статьи это настройка Exim на совместную работу c DKIM. А PTR и SPF указаны для напоминания.
Если вы его ручками у себя наберёте — об этом кроме вас больше никто не узнает.
Ручками это делалось через провайдер моего сервера. Через ребут-панель фаствпс. NS сервер тоже позволял ввести PTR, но он извне не определялся. Честно я не особо разбирался в теории PTR — сделал и главное работает. Удивляет правда, что двумя комментами выше статью до конца не читают и пишут, что в ней только основы DNS.
PTR добавляется на DNS, которые обслуживают обратную зону для блока IP адресов. Очень редко к этому DNS есть доступ у пользователя. А статья моя в первую очередь акцентирует внимание на том, что для того, чтобы не попадать в спам, надо как минимум соответствовать общепринятым требованиям стандартов. В частности, наличие валидной PTR — одно из этих требований. DKIM, на самом деле, абсолютно не нужен для рассылок. Поставьте mailman, настройте почтовик по моей статье — и вы 100% не попадёте в спам, если, конечно, будете делать корректные рассылки. А когда вы начинаете рассылать с помощью непонятного софта кучу писем с сервера, у которого даже PTR не прописан — то результат предсказуем и совершенно ожидаем.
Я уже понял, что ваша статья гениальна. У меня тоже нет кучи непонятного софта — один Exim. Вполне себе понятная программа. Сгенерировать пару ключей можно и без дополнительных программ.
В моем случае я имел возможность изменять PTR. И по умолчанию она была выключена.
Без DKIM мои письма все равно через одно сыпались в спам. Сейчас все нормально.
Вот в том-то и проблема — что у вас. Вы пишите не сильно удосуживаясь разобраться в теоретических основах. Настраивать сервера по хавту не понимая, что делает каждая команда и каждая строчка конфига в хавту можно, но результат чаще всего будет именно такой, что каждое второе письмо будет попадать в спам. Поэтому всегда надо в первую очередь акцентировать на теории, а реализовать на практике теорминимум по настройке почтовика сможет любой.
Уже совсем непонятно, что вы хотите мне доказать. Как-то вы плавно перешли на обвинения, так и не указав, в чем же я не прав. Больше похоже на то, кто умнее. Я отлично понимаю, что делает каждая строчка в конфиге, которую я добавлял. И все письма идут как надо. И эти настройки будут работать нормально на всех серверах. А то, что вас так взволновал PTR, учитывая что статья только вскользь его затрагивает, мне вообще не понятно, опять же учитывая, что с PTR тоже нормально указана.
Да я ничего не хочу доказать! Я просто хотел обратить внимание, что ваш пост слишком конкретизирован, что возможно не есть хорошо, поскольку те, кто вдруг решат сделать также, как вы, обнаружат, что у них всё по другому.
Возможно вы правы на счет конкретизации, т.к. пост писался на основе свежего опыта, которым я и решил поделиться. Только при написании я старался учитывать тот факт, что это должно быть универсальным решением для сервера с Exim. Если говорить о DKIM и SFP, то здесь все нормально. С PTR возможны подводные камни.
chmod 755 /etc/exim4/mydomain.ru.key

Приватный ключик 755? Шарман, шарман =)
Что здесь такого? Если владелец root, то это нормально. Для текстового файла лучше конечно 744. Если пользователь не root, то 444. Exim нужно как-то иметь доступ к этому ключику. Или chown exim:exim и тогда права вообще можно поставить 400 или 600. Последний вариант конечно более предпочтителен для безопасности.
Поправьте меня, если я не прав.
Последний вариант не более предпочтителен, а единственно возможен.

Если вы даёте на чтение приватный ключ любому пользователю системы, то ваша криптография оборачивается против вас. Как только я получаю ваш ключ, я смогу слать имперсонифицированный спам как бы от вашего сервера. И потом не отмажетесь — вот же вашим ключом подписано!

К.О.: верно для любых приватных ключей.
Спасибо, что обратили на это внимание. В процессе написания статьи упустил этот момент. Хотя настраивал именно по последнему варианту.
>> Без PTR вообще почтовый сервер работать не должен — это два.

Как-то с удивлением обнаружил, что контора под названием Microsoft игнорирует это правило. :)
Не знаю как сейчас, но еще полгода назад добавлял их в белый список, после того как мне пожаловались, что их письма reject'ятся.
Спасибо. Как раз вовремя, PTR и SPF я настроил изначально. Вот только для поддержки DKIM видимо надо обновлять exim, в версиях меньше 4.70 было как-то по-другому как я понял. Или это как раз для них?
У меня Exim 4.72. В более ранних версиях для добавления DKIM сам Exim надо было пересобирать. Статей про такую сборку довольно много в интернете. Самый простой выход — обновить Exim из репозитория. В моем случае я добавил реп Squeeze в дебиан.
В моем случае еще одна фишка была: локальный hostname должен соответствовать адресу, с которого идет почта, а иначе, насколько я помню, часть серверов из «серого списка» сообщения отказывалась выводить, т.к. exim hostname для чего-то там использовал и слал его в ответ.
Выше написал неправильно, hostname exim использует для формирования заголовка HELO, похоже.
Короче, деталей там миллион, поэтому если на почту завязано что-то важное, то может иметь смысл почтовую рассылку отдать на сторону в MainChimp какой-нибудь. Но и там не все в порядке (хотя должно бы быть) — MainChimp, например, был в mail.ru забанен недавно (не знаю, как сейчас, решили ли вопрос).
коллеги, а как создать SPF запись, если основная почта бегает через yandex почту (корп.версия) и существует дополнительный сервер для рассылок?
SPF запись добавляется в ДНС. Видимо туда нужно добавить яндекс и дополнительный сервер для рассылок.
У вас в NS сервере mx почтового сервера же yandex прописаны. Создаете SPF на NS сервере также как написано в статье. Все там очень просто.
Коллеги, вы невнимательны.
Я написал о том, что помимо SMTP серверов Yandex-a используется собственный сервер, исключительно для рассылок.

Вариант «v=spf1 redirect=_spf.yandex.ru» не подходит, т.к. учитывает только сервера яндекса.

Как правильно создать запись?
Поддерживаю вопрос только для google apps. Что из этого комплекта — SPF, DKIM, PTR необходимо по-минимуму и по-максимуму?
Сколько ни было на хабре статей про гугль аппс из серии — а никто об этом даже не обмолвился.
Ставьте на всякий случай все. На производительность сервера это никак не влияет. Кроме того, все уважающие себя операторы почты свои письма подписывают и используют SPF. Про PTR в комметах написали, что он обязателен всегда. Была у меня где-то ссылка ненужная, как раз помощь по google apps. А вот она: Help
Там рядышком найдете и все остальное, что вам нужно.
Мы где-то год юзали аналогичное решение на постфиксе, но к сожалению это настолько неудобно менеджмить (отслеживать отлупы, прогнозировать нагрузку, очереди и т.д.), что долго зрела мысль как-то это все решить. В итоге купили умный MTA, который все делает за нас — название говорить не буду, но реально мощных продуктов на рынке всего два, но и стоят они как самолет.

Когда было на постфиксе, руководствовался этими документами для настройки:
Anti Spam Technical Alliance Technology And Policy Proposal
MAAWG Sender Best Communications Practices
Могли бы PMнуть что за хвалёный почтовик вы купили?
Актуален этот вопрос сейчас.
Э… дошли тут руки протестировать статью в деле, а оказывается exim 4.72 — он совсем не стоковый, а из backports.
Я ставил эту версию из репозитория Squeeze. В Lenny были слишком старые программы.
В своё время у меня очень проглючил dkim-filter. Из-за чего переехал с него на opendkim.
Да, кстате ещё в довес к DKIM подписям использую DomainKeys (dk-filter) — очень похожая штука от Яху.

P.S.: Есть ещё SenderID записи (SPF2, как я понял — ноги у неё ростут от МелкоМягких).
Зона ДНС у меня смотрится примерно так:
$ORIGIN .
$TTL 3600        ; 1 hour
example.com                IN        SOA        ns03.domaincontrol.com. dns.jomax.net. (
                               2011030301        ; Serial
                               28800                ; Refresh
                               7200                ; Retry (2 hours)
                               604800                ; Expire
                               86400                ; minimum (1 day)
                               )
                               NS ns03.domaincontrol.com.
                               NS ns04.domaincontrol.com.
$TTL 600        ; 10 minutes
                               A        173.12.78.10
$TTL 1800        ; 30 minutes
                               ;;; SPF and ServerID Records ;;;
                               TXT "v=spf1 a mx include:_spf.example.com ~all"
                               TXT "spf2.0/pra a mx include:_sid.example.com ~all"
                               ;;; MX Records ;;;
                               MX 0 mail.example.com.


;;; Domain Records go here ;;;

$ORIGIN example.com.
$TTL 3600                ; 1 hour

;;; DKIM/Domainkeys Signatures and Settings ;;;
_domainkey                      TXT "o=-;"
_adsp._domainkey                TXT "dkim=all"
mail._domainkey                TXT "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDHZXohph2LWJu605ONfejTXhRYAhyNfIM7YE2ypnRLRlYuDgLShqysAz2QwCWxwM1CmhA7XcrVTNjjc88qwBZ9lzjyPcZBGxRsN0hcISSvtQwkdERFVNghKD+uRPJG+bPh5o7ujLF6rHW969UX6PHPR9igGALsHZR7xrdVekP/iwIDAQAB"


;;; SPF and SenderID includes ;;;
_spf                            TXT     "v=spf1 ip4:21.3.19.46 ip4:173.12.78.82"
_sid                            TXT     "spf2.0/pra ip4:21.3.19.46 ip4:173.12.78.82"

;;; Servers and services
localhost                        A        127.0.0.1
mail                                A       28.6.70.6
m1                                A        173.12.78.82
m2                                A        173.12.78.83                                
m3                                A        21.3.19.46

www                                CNAME        example.com.

;;; Other records go here


Про всевозможные значения для DKIM/Domainkeys читаем на буржуйском тут: www.zytrax.com/books/dns/ch9/dkim.html

Only those users with full accounts are able to leave comments. Log in, please.