На связи в WhatsApp
8 (800) 707-26-48
Бесплатный звонок из регионов

Как правильно настроить DNS для почтового сервера

Главная / Статьи / Как правильно настроить DNS для почтового сервера

Многие современные методы борьбы со спамом активно используют службу DNS для выявления нежелательных сообщений электронной почты. Поэтому правильная настройка DNS-зоны для собственного сервера корпоративной почты позволит администратору избежать множества проблем с приёмом электронной почты от удалённых хостов и с отправкой электронной почты со своего сервера.

Рассмотрим настройку DNS-зоны на примере наиболее распространённого ПО BIND для правильной работы хостинга корпоративной почты. Итак, в доменной зоне должны в обязательном порядке быть указаны следующие строки:

Запись типа NS— Name Server, сервер имён

В записях типа NS указываются имена DNS, которые будут поддерживать доменную зону. По требованиям регистраторов доменных имён в целях доступности и отказоустойчивости их должно быть не менее двух и они должны быть расположены в различных подсетях класса C. Имя должно заканчиваться точкой иначе DNS-сервер интерпретирует имя как поддомен текущей зоны.

NS ns1.tendence.ru.
NS ns2.tendence.ru.
NS ns3.tendence.ru.

Запись типа MX — Mail eXcanger, сервер обмена электронной почтой

Основная запись в доменной зоне, указывающая на имена почтовых хостов этого домена, без которой невозможны приём и отправка (косвенно) почты. Невозможность отправки почты указана как косвенная потому, что подавляющее большинство почтовых серверов перед приёмом сообщения в целях защиты от спама обязательно проверит наличие в DNS-зоне MX-записей и их соответствие IP-адресу отправителя. Если такой записи нет или она не соответствует указанной, удалённый почтовый сервер с высокой вероятностью откажет в приёме электронной почты. Указание MX-записи отличается от синтаксиса рассмотренной ранее A-записи тем, что MX поддерживает приоритеты. Приоритет MX — целое число от нуля включительно, указывающее несколько возможных почтовых серверов для этого домена, и определяющее порядок их перебора отправителем в случаях недоступности некоторых из них. Обратите внимание, адресом почтового сервера в MX не может быть IP, только доменное имя.

MX 0 mx1.tendence.ru.
MX 5 mx2.tendence.ru.
MX 10 mx3.tendence.ru.
MX 100 mx4.tendence.ru.

В примере выше наибольшим приоритетом (0) в приёме почты обладает хост mx1.tendence.ru Именно к нему в первую очередь будут обращаться для отправки сообщений на ваш корпоративный почтовый сервер все отправители. Если по каким-то причинам в соединении с этим хостом будет отказано, отправитель перейдёт к попытке отправки на почтовый сервер со следующим приоритетом — 5, mx2.tendence.ru и так далее. Таким образом, MX-записи дают возможность гибкой настройки балансировки нагрузки (можно указать несколько записей с один и тем же приоритетом) и отказоустойчивости хостинга почты.

Запись типа A - Address, IP-адрес, соответствующий доменному имени

Необходима для преобразования доменного имени непосредственно в IP-адрес. Должна соответствовать внешнему статическому маршрутизируемому IP-адресу, выделенному провайдером.

mail A 192.168.0.1

Запись типа PTR — PoinTeR, указатель в обратной зоне DNS

Исключительно важная запись, значение rDNS-записи в работе хостинга почты невозможно переоценить! Удалённые почтовые серверы проверяют наличие и содержимое этой записи при попытке отправить им почту и их системы антиспама придают очень весомое значение результатам проверки. Рекомендуется давать им осмысленное имя, которое соответствует имени, данному почтовому серверу в MX и A-записях. Почтовые серверы Mail.ru, например, вообще не принимают электронную почту от почтовых серверов с неправильными с их точки зрения PRT/rDNS-записями. Так, почта от хоста 4-3-2-1.dsl-pool.prodiver.ru будет отклонена из-за исчезающей вероятности наличия у серьёзного корпоративного почтового сервера такого имени. Как правило запись в эту зону вносится вашим хостером или провайдером, если вы не владеете собственной автономной системой (AS).

1 PTR mx1.tendence.ru.


Также желательно указать следующие необязательные записи. Их наличие позволит серверам-получателям, принимающим вашу электронную почту, однозначно идентифицировать ваш домен и не путать сообщения, с него поступающие, со спамом.

Запись типа TXT/SPF — TeXT, текстовый указатель/Sender Policy Framework, структура политики отправителя

Замечательное средство защиты от подделки адреса отправителя, принятое в качестве стандарта RFC с 2006 года. Является эффективным, быстрым и использующим крайне мало ресурсов как со стороны отправителя, так и получателя средством. Остаётся только сожалеть, что за прошедшие годы не все владельцы доменов внедрили у себя SPF-записи. Если бы это произошло, спама в электронной почте стало бы на порядок меньше. SPF заметно уменьшает вероятность ложного определения сообщения с вашего email-сервера как спам. Заключается в явном указании списка IP-адресов/хостов, которые имеют право на отправку электронной почты от имени домена.

TXT «v=spf1 +mx -all»

Строка такого вида указывает используемую версию SPF — 1 (а другой пока и нет, сделано для совместимости с будущими версиями протокола), разрешает приём почты домена со всех адресов, указанных в MX и запрещает приём почты со всех других хостов. Такой настройки будет достаточно в большинстве случаев для предотвращения подделки адресов корпоративной почты и снижения шансов маркировки ваших сообщений как спама.

Запись типа TXT/DKIM — TeXT, текстовый указатель/Domain Keys Identified Mail, электронная почта, идентифицированная доменными ключами

Криптографическая технология, принятая в качестве стандарта с 2007 года. Как и SPF призвана предотвратить подделку адресов отправителя, уникальным образом идентифицировать его, а также подтвердить, что при доставке сообщение электронной почты не было изменено. Требует наличия программного обеспечения для подписания каждого сообщения доменным ключом. Для проверки используется открытый ключ, указанный в зоне DNS:

selector._domainkey TXT "v=DKIM1; p=MIGfMA1CSqGSIb1DQEBAQUAA4GNADCBiQKBgQCnmGN26HP/0oxTdlKSaivGvO0y38tY6RbBbJXHerIE1aHkCk/PTJhnD3hAIEhLobIqWazInJFZMO1W/jqUP2MxH16lU/jzuZvvUH3l8/kq4egAxYiwcya6ksVe0OzTtkF2XHFzhvGxQ/SJD/26PugcDS2NwVIG9PrWL9POXwIDAQAB"
_domainkey TXT «o=-»

Имя selector означает конкретный ключ (их может быть несколько), используемый для подписания сообщения, параметр v — версия DKIM, p — собственно ключ. Политика o=- указывает, что неподписанные/неправильно подписанные сообщения должны отклоняться. Именно такой режим рекомендуется для применения, ведь повсеместное внедрение этой технологии позволило бы навсегда решить проблему спама. Подключение DKIM к корпоративной почте позволит сообщениям сотрудников не быть ложно опознанными как спам у получателей. Более подробную информацию по подключению DKIM к вашему почтовому серверу ищите в документации к нему.

Затрудняетесь с самостоятельной настройкой почтового сервера? Поручите все заботы профессионалам — хостинг корпоративной почты с технической поддержкой 24/7.

Частые вопросы

Запись или записи, указывающие на имена почтовых серверов, обслуживающих почту домена, называются MX-записями. MX это аббревиатура от Mail eXchanger (англ. — обмен почтой). На записанные в них имена хостов будет направляться входящая электронная почта, предназначенная для этого доменного имени. Без хотя бы одной MX-записи функционирование email на домене невозможно.

Наиболее простая и полезная для владельца домена SPF-запись будет выглядеть так:

TXT "v=spf1 +mx -all"

Это инструкция почтовым серверам-получателям принимать сообщения с домена только с хостов, указанных как MX-записи домена, и отвергать со всех остальных. Далее можно ещё надёжнее защитить свою почту от подделок и спама, подключить DKIM и DMARC-записи.

Для сервера почты следует указать осмысленный PTR (от англ. PoinTeR – указатель). Электронная почта с сервера без PTR или с автоматически сгенерированным значением будет скорее всего помещена в спам или вовсе отвергнута получателями.

Для большинства случаев лучшим выбором будет PTR вида mail.domain.ru или mx.domain.ru. Такое имя явно говорит об использовании хоста как сервера почты, оно пройдёт проверку обратным DNS на стороне получателя. Не забудьте сменить domain.ru на наименование своего домена.



При перепубликации статьи установка активной индексируемой гиперссылки на источник — сайт обязательна!

Корпоративная почта Tendence.ru

Тестировать бесплатно
Заказать хостинг почты
Тестовый период
Домен


Начать тестирование


104976 просмотров