Добавьте приведенную ниже запись txt в конфигурацию dns для домена
Думаю, многим будет интересно наконец-то узнать, как работает почта. В нескольких статьях я попытаюсь максимально простым языком расписать все основные вопросы, связанные с работой электронной почты вообще и нужными настройками — в частности.
Для простоты и сокращения количества букв мы рассмотрим простейшую (и наиболее распространенную) ситуацию:
Касательно почты, в DNS нас интересует четыре типа записей.
A-запись
mail IN A 127.127.127.127
Где:
mail — домен.
IN A — тип записи.
127.127.127.127 — IP нашего почтового сервера.
MX-записи.
MX (Mail eXchange) — основная DNS-запись для электопочты. Она указывает, какими серверами обрабатывается почта для нашего домена.
MX-запись должна указывать именно на A-запись почтового сервера. Ставить MX указателем на IP или CNAME — не правильно.
Приоритет MX-записи нужен тогда, когда существует больше одного почтового сервера для одного домена (например у Google Mail их шесть). Он указывает, к какому серверу идет обращение в первую очередь, во вторую и так далее (если первый (второй, десятый) сервер недоступен или перегружен или по другим причинам не может принять письмо). Логика простая — приоритетнее тот, цифра которого меньше. Порядок цифр — не ограничен, хоть 10-20-30, хоть 1000-2000-3000.
Если у домена нет ни одной MX-записи, либо ни один из MX-серверов не доступен, сервер отправителя попытается доставить почту на IP, указанный в A-записи домена. Это назвается А-доставкой, но в принципе не кошерно и не используется многими серверами — нужно указывать MX, даже если он всего один.
PTR-запись.
PTR (PoinTeR) — так называемая «обратная запись». Она позволяет обратное разрешение (reverse resolving) IP-адреса в FQDN-хост.
Наш IP в виде reverse будет выглядеть так: 127.127.127.127.in-addr.arpa. В данном примере видно плохо, но адрес инвертируется в обратной зоне. Т.е. IP 192.168.0.1 будет выглядеть как 1.0.168.192.in-addr.arpa.
Для корректного распознования хоста, запись IP-адреса, с которого отправляется должна соответсовать hostname почтового сервера, отправляемому в HELO\EHLO.
PTR-запись в нашем случае, соответственно:
Прописать эту запись может владелец блока IP-адресов (Читайте мою статью про распределение адресного пространства). Если вы таковым не являетесь и получили адреса от провайдера — обращайтесь к вашему провайдеру или дата-центру, чтобы запись установил он.
TXT-запись и SPF.
TXT (TeXT) — текстовая запись DNS. Нам она интересна только тем, что может (и в современном мире — должна) содержать в себе SPF.
SPF (Sender Policy Framework) — запись, позволяющая вам указать, какие сервера имеют право отправлять почту от имени вашего домена (представившись вашим сервером, либо с обратным адресом в вашем домене).
SPF-запись выглядит так:
v=spf1 ip4:1.1.1.1 +a +mx -all (пример).
v=spf1 — версия протокола.
(+\-)a — разрешение или запрет отправки почты с IP, соответствующего A-записи домена.
(+\-)mx — разрешение или запрет отправки почты с IP, соответствующего MX-записи домена.
ip4:IP — явное указание IP, с которого можно принимать почту от имени домена.
(~\-all) — отвергать или принимать почту от IP, не перечисленных в списке и не указанных явно.
В нашем случае TXT SPF запись будет такой:
example.com. IN TXT "v=spf1 +mx +a -all"
Таким образом, мы разрешили прием почты от имени домена с IP, соотвествующих A или MX записям и запретили прием от других адресов — никто не сможет наспамить прикинувшись нами или обмануть наших пользователей, отправив фишинговую ссылку от имени тех. поддержки.
Буду рад комментариям, готов ответить на вопросы.
В следующих статьях я напишу об SMTP, Greylisting-е и RBL.
А еще вы можете вступить в блог и тоже о чем-то рассказать.
Важно! Информация в этой статье актуальна для вас, если вы настраиваете новый домен для работы с Google Workspace. Если вы используете свой домен с Google Workspace более трех дней, он уже подтвержден.
А-запись
Запись A (address) — одна из ключевых ресурсных записей Интернета. Она нужна, чтобы связать домен с IP-адресом сервера. Пока не прописана А-запись, сайт не будет работать. Когда вы вводите название сайта в адресную строку браузера, по А-записи DNS определяет, с какого сервера нужно открывать ваш сайт.
Настройка DKIM записи в DNS
Почта, идентифицированная ключами домена (DKIM) — это протокол безопасности электронной почты, который прикрепляет зашифрованную цифровую подпись к электронному письму. Принимающий сервер проверяет его с помощью открытого ключа, чтобы убедиться, что электронное письмо не было подделано.
Понадобятся приватный и открытый ключи. Их можно создать с помощью онлайн-инструментов, например Power DMARC Toolbox - DKIM Record Generator, или с помощью команд OpenSSL (приведен пример для Windows):
Создать приватный ключ
openssl.exe genrsa -out private.key 2048
Создать публичный ключ из приватного
openssl.exe rsa -in private.key -pubout -outform der 2>nul | openssl base64 -A > public.key.txt
И запись DNS будет выглядеть так:
Type
Host
Value
TTL
selector._domainkey
v=DKIM1; k=rsa; p=public_key
selector - самостоятельно выбранный идентификатор (например, mysrv), который будет использоваться в приложении почтового сервера (смотрите ниже).
public_key - открытый ключ, закодированный алгоритмом base64 (содержимое public.key.txt).
TTL (время жизни) имеет то же значение, что и в предыдущем разделе.
Выбор и запуск приложения почтового сервера
Конечно, хостинг должен позволять устанавливать программное обеспечение. Можно использовать любое подходящее приложение для почтового сервера. Например, есть бесплатный hMailServer для Windows, который предоставляет все необходимые функции с минимальным использованием ресурсов. Для систем на базе UNIX существует множество бесплатных почтовых серверов, таких как Exim Internet Mailer или iRedMail.
Если вы знаете ещё хорошие программы, то поделитесь ими в комментариях. Подробный обзор выбора такого программного обеспечения, конечно, заслуживает отдельной статьи.
Как добавить ресурсные записи для домена
Перед добавлением ресурсных записей определитесь, какие DNS-серверы прописаны для вашего домена.
2. Ваши серверы указаны в блоке «DNS-серверы»:
Обратите внимание: если для домена прописаны сторонние DNS-серверы, добавление и управление DNS записями происходит на стороне провайдера, который предоставил вам DNS-серверы.
2. На открывшейся странице нажмите стрелочку в блоке «Управление зоной DNS».
3. Во всплывающей шторке кликните Добавить ещё одну запись:
4. Выберите тип записи, которую вы хотите добавить:
Как добавлять записи
5. Затем нажмите на иконку Карандаш:
6. Добавьте в DNS домена нужную ресурсную запись. Для этого следуйте соответствующей инструкции ниже.
Протоколы электронной почты
Нужно настроить три протокола электронной почты, которые необходимы для её отправки и получения.
25 порт
Этот порт необходим для управления входящими подключениями от других почтовых серверов. Метод безопасности следует установить в STARTTLS.
587 порт
Он нужен для почтовых клиентов собственного почтового сервера. Метод безопасности следует установить в STARTTLS.
465 порт
Он не является официальным и может потребоваться для старых почтовых клиентов. И метод безопасности следует установить в SSL/TLS.
POP3, IMAP
Порт 993 следует использовать для защищенных соединений IMAP, а порт 995 - для POP3. Для обеспечения совместимости с большинством клиентов метод безопасности следует установить в SSL/TLS (не STARTTLS).
Также можно настроить порты 143 для IMAP и 110 для POP3, но они не шифруются и сейчас их уже мало кто использует.
Как подтвердить право собственности на домен для сервиса Google
Право собственности на доменное имя можно подтвердить через регистратора домена (как правило, это компания, у которой вы приобрели домен). У регистратора хранятся специальные настройки – записи DNS, которые направляют интернет-трафик на ваше доменное имя. Подробнее о том, как определить регистратора домена…
Google предоставит вам проверочную запись TXT, которую нужно добавить в записи DNS регистратора домена. Наличие этой записи подтверждает, что домен действительно принадлежит вам. Проверочная запись не влияет на работу электронной почты или сайта.
CNAME-запись
Важно: для одного и того же поддомена нельзя одновременно добавить CNAME-запись и A-запись.
Обеспечение внешнего статического IP-адреса, публичного домена и записи PTR
Это основные требования для запуска собственного почтового сервера.
Публичный статический IP-адрес
IP-адрес почтового сервера должен быть общедоступным и постоянным во времени. Убедиться в этом можно у хостинг или Интернет-провайдера.
Доменное имя указывает на IP
DNS-запись публичного доменного имени почтового сервера должна указывать на этот IP-адрес. Им можно управлять в настройках DNS провайдера доменного имени.
IP указывает на доменное имя
Самое главное, обратная DNS-запись (именуемая PTR) должна указывать на доменное имя почтового сервера по IP-адресу. Можно попросить своего хостинг-провайдера или поставщика интернет-услуг настроить его. Его можно легко проверить по IP-адресу онлайн (например, тут), или с помощью команды ‘nslookup’ в Windows и команды ‘host’ в системах на основе UNIX.
Запись A
Записи A (или адресные записи, также называемые записями хостов) связывают домен с физическим IP-адресом сервера, на котором размещены сервисы домена. При работе с сервисами Google Cloud вы можете добавить запись A, чтобы включить базовый адрес домена.
В этой статье объясняется, как добавить и изменить записи A для домена.
Проверка
Итак, когда все настроено, нужно протестировать почтовый сервер, отправив письмо кому-нибудь из списка пользователей. Кроме того, в некоторых почтовых приложениях есть функция самодиагностики (см. ниже пример от hMailServer).
Теперь пора проверить отправку на внешний адрес.
Если есть «подписано: домен», подпись DKIM настроена правильно. Если есть «отправлено по почте: домен», SPF в порядке.
Также, можно убедиться в оригинальных заголовках, что статус проверки пройден.
Специальные онлайн-сервисы
Существует множество онлайн-сервисов, которые могут проверять отправку электронной почты. Ниже приведены некоторые из них.
AppMailDev
Этот сервис позволяет тестировать конфигурацию почтового сервера, такую как DKIM и SPF, отправляя электронное письмо на указанный сгенерированный почтовый адрес. Нужно просто следовать инструкциям на экране и результаты теста будут отображены там же.
DKIMValidator
Предоставляет те же функции, что и предыдущая служба. Результаты тестирования будут отправлены на адрес отправителя.
PowerDMARC
Этот сервис предоставляет только облегченную проверку всех атрибутов, но у него есть удобные инструменты, указанные в ссылках выше.
Итак, если всё настроено правильно, но сервер присутствует в чёрных списках спама, нужно внести его в белый список.
Унифицированный указатель ресурса (URL)
Добавление почтового сервера в белые списки
Как добавить А-запись
Выполните шаги 1-6 инструкции выше.
Затем в поле Субдомен укажите имя поддомена или значок @ (если хотите выбрать ваш основной домен);
В поле Значение — IP-адрес сервера сайта, который будет открываться по имени домена. Узнать IP-адрес можно по инструкции: Как узнать и изменить IP-адрес сайта?
Нажмите Сохранить:
Готово, ресурсная запись успешно добавлена в зону домена.
Изменения вступят в силу в течение часа.
Внесение в белый список в публичных источниках
Затем нужно последовательно просмотреть каждый элемент в результатах и прочитать рекомендации о том, как внести IP-адрес в белый список в конкретном источнике черного списка. Но не все из них могут позволить это сделать бесплатно, например, немецкий UCEPROTECT®-Network.
АААА-запись
АААА (IPv6 address record) ― запись, которая используется так же, как и А-запись, но для адресов формата IPv6.
Запись МХ
Обход черных списков
Если какой-то официальный черный список не разрешает добавление в исключения или когда-нибудь почта перестает отправляться на определенный домен - можно использовать внешние службы ретрансляции SMTP. Они позволяют использовать их в качестве шлюзов (или прокси) при отправке почты.
MailerSend
Один из самых дешевых - позволяет бесплатно отправлять 20 тысяч писем в месяц и имеет низкую стоимость дополнительной отправки. Но есть особенность: поля CC и BCC пока не поддерживаются.
SendInBlue
Это еще один хороший сервис, который позволяет бесплатно отправлять 9 тысяч писем в месяц с лимитом 200 в день. Но есть нюансы: встроенное отслеживание электронной почты нельзя отключить и высоковатая цена сверх бесплатного лимита.
В каждой службе нужно зарегистрироваться и получить подтверждение почтового домена. После подтверждения, каждый из них дает указания на то, что должно быть настроено для DNS (DKIM, SPF и DMARK) и почтового приложения (адрес сервера ретрансляции SMTP, порт и учетные данные).
Заключение
Итак, теперь можно использовать все преимущества выделенного почтового сервера. Надеюсь, что этот материал поможет наиболее эффективно достичь поставленной цели. Если есть какие-либо вопросы или предложения по этой теме, буду рад обсудить в комментариях.
В статье мы расскажем, как прописать DNS-записи A, АААА, CNAME, MX-запись, TXT и SRV для домена и для чего это нужно.
Ресурсные записи «передают» серверам интернета информацию о домене. Чаще всего их настраивают, чтобы: связать IP-адрес сайта с доменом (запись А), привязать поддомен к сервису (запись CNAME), настроить почту (запись MX), активировать SSL-сертификат, подтвердить право собственности на домен, настроить безопасную почту (запись TXT) и т.д.
Запись NS
Записи сервера имен (NS) определяют, какие серверы должны передавать DNS-записи домена. Как правило, у каждого домена есть первичная и вторичная записи NS. При работе с сервисами Google Cloud записи NS можно настроить таким образом, чтобы DNS-запросы направлялись на серверы Google.
Запись CNAME
В этой статье объясняется, как добавить и изменить записи CNAME.
Инициализация
Когда программное обеспечение выбрано и установлено, самое время его настроить.
Домен и пользователи
Нужно добавить домен и начальный набор пользователей почтового сервера.
Безопасность
Чтобы обеспечить соответствующий уровень безопасности, мы должны добавить сертификат SSL для домена. Конфигурацию SSL можно проверить здесь.
Зачем нужно подтверждение
Подтверждение необходимо, чтобы никто, кроме вас, не мог использовать ваш домен для регистрации в Google Workspace. Показав, что именно вы являетесь собственником домена, вы повысите свою безопасность.
Примечание. Если вы приобрели домен при создании аккаунта Google Workspace, вам не нужно подтверждать право собственности. При использовании пробной версии Google Workspace право собственности на домен необходимо подтвердить в течение первых 9 дней пробного периода.
Внесение в белый список определенных почтовых серверов
Некоторые серверы, такие как Outlook, имеют свои собственные черные списки. Проверка проста - приложение почтового сервера уведомит о неудачной доставке в почтовом клиенте. Большинство почтовых серверов предоставляют в ответе URL-адреса разблокировки. Таким образом, нужно открыть такой URL и следовать инструкциям, например, как этот.
Настройка MX записи в DNS
Type
Host
Value
Priority
TTL
Priority (приоритет) используется, когда в домене более одного почтового сервера.
TTL (время жизни) можно установить любое предпочтительное значение, а наименьшее значение используется для применения конфигурации DNS как можно скорее при отладке настроек.
Дальнейшие действия (только Google Workspace)
После подтверждения права собственности на домен настройте Gmail в аккаунте Google Workspace. Откройте в браузере консоль администратора и сайт своего регистратора домена. В новой вкладке или окне браузера откройте статью о настройке Gmail для определенных регистраторов.
При использовании сервисов Google Cloud вам может время от времени требоваться изменить настройки DNS вашего домена. Ниже вы найдете определения некоторых терминов и информацию о том, как эти понятия связаны с сервисами Google. Вы также можете ознакомиться с основными сведениями о доменных именах.
Как добавить АAАА-запись
Выполните шаги 1-6 инструкции выше. Затем в полях ввода укажите:
Субдомен — имя поддомена или значок @ (если хотите выбрать ваш основной домен);
Значение — необходимый IPv6-адрес.
Нажмите Сохранить:
Готово, обновление зоны домена прошло успешно.
Изменения вступят в силу в течение часа.
Как добавить проверочную запись TXT (общие инструкции для разных регистраторов доменов)
Примечание. Процедуру подтверждения должен выполнить тот администратор, который получил проверочную запись. Эти записи являются уникальными, поэтому другой администратор не сможет завершить процедуру, которую инициировал не он.
Нажмите Продолжить, чтобы подтвердить домен с помощью записи TXT.
Найдите код подтверждения в инструменте настройки и нажмите Копировать.
- В новом окне или вкладке войдите в свой аккаунт на сайте регистратора домена. Подробнее о том, как определить регистратора домена…
- Откройте записи DNS своего домена. Соответствующая страница может называться DNS Management (Управление DNS), NameServer Management (Управление серверами доменных имен), Control Panel (Панель управления) или Advanced Settings (Расширенные настройки).
- Выберите вариант добавления новой записи.
Примечание. Если появится предупреждение об изменении настроек DNS, игнорируйте его. Добавление записи TXT не повлияет ни на ваш сайт, ни на настройки DNS.
Нажмите Продолжить.
Прокрутите страницу вниз и нажмите Подтвердить домен.
MX-запись
Как добавить TXT-запись
Выполните шаги 1-6 инструкции выше.
Затем в полях ввода укажите:
Субдомен — поддомен или @ (если хотите выбрать ваш основной домен);
Значение — значение записи TXT. Как правило, значение ТХТ отправляется на e-mail (например, для активации SSL-сертификата) или предоставляется компанией, услугу которой вы настраиваете.
Нажмите Сохранить:
Как указывать записи
Готово, ресурсная запись добавлена в зону домена.
Изменения вступят в силу в течение часа.
Обращение в службу поддержки
Если с подтверждением права собственности на домен возникли проблемы, обратитесь в службу поддержки Google Workspace.
TXT-запись
TXT (тext string) — запись, которая содержит любую текстовую информацию о домене. Часто применяется для проверок на право владения доменом при подключении дополнительных сервисов, а также как контейнер для записи SPF и ключа DKIM.
Дополнительные записи DNS
Некоторые поля не обязательны, но желательно иметь.
TLS-RPT
TLS-отчетность (TLS-RPT) дает ежедневные сводные отчеты с информацией о электронных письмах, которые не зашифровываются и не доставляются.
MTA-STS
Строгая транспортная безопасность агента пересылки почты (MTA-STS) - это новый стандарт, направленный на повышение безопасности SMTP, позволяя доменным именам выбирать строгий режим безопасности транспортного уровня, требующий аутентификации и шифрования.
Все эти записи кроме MTA-STS могут быть созданы с помощью Power DMARC Toolbox. Конфигурация MTA-STS похожа на Google, также описывалась на habr, и, наконец, может быть проверена с помощью Hardenize.
Настройка IP и DNS
Как добавить запись CNAME
Выполните шаги 1-6 инструкции выше.
Затем в поле Субдомен укажите поддомен, кроме @ (для вашего основного домена этот тип записи недоступен, вы можете воспользоваться A-записью);
В поле Значение — Canonical name — домен, на который должен ссылаться поддомен из поля «Subdomain».
Нажмите Сохранить:
Готово, ресурсная запись добавлена в зону домена.
Изменения вступят в силу в течение часа.
Настройка SPF записи в DNS
Инфраструктура политики отправителя (SPF) — это стандарт проверки подлинности электронной почты, который проверяет IP-адрес отправителя по списку авторизованных IP-адресов владельца домена для проверки входящей электронной почты.
Тут запись DNS будет выглядеть так:
Type
Host
Value
TTL
v=spf1 a mx include:relayer_name -all
relayer_name - имя необязательного внешнего почтового сервера-ретранслятора (смотрите ниже). Если не нужно - убирается вместе с "include:".
TTL (время жизни) имеет то же значение, что и в предыдущем разделе.
Можно использовать удобный онлайн-генератор записи SPF.
Время жизни (TTL)
Значение TTL указывает интервал в секундах, после которого внесенные в запись DNS изменения вступят в силу. У каждой DNS-записи в домене – MX, CNAME или любой другой – есть предписанное время жизни, определяющее скорость ее обновления. Например, записи с TTL, равным 86 400 секундам, обновятся только через сутки после их изменения.
Новое значение TTL влияет исключительно на скорость обновления последующих записей. Мы рекомендуем устанавливать значение 3600 секунд, чтобы серверы в Интернете проверяли актуальность записей каждый час. Меньшее значение TTL применяется только по истечении предыдущего интервала времени. Таким образом, когда вы обновите записи в следующий раз, изменения вступят в силу в течение часа. Если нужно сократить время реакции, чтобы, например, быстро отменить изменения, уменьшите TTL до 300 секунд (5 минут). Если записи настроены правильно, рекомендуется увеличить значение TTL до 86 400: в результате серверы в Интернете будут проверять наличие изменений каждые 24 часа.
Запись TXT
Записи TXT содержат произвольный текст, используемый ресурсами за пределами вашего домена. Эта информация может быть предназначена как для людей, так и для компьютеров. При работе с сервисами Google Cloud используйте записи TXT для подтверждения права собственности на домен и защиты электронной почты с помощью таких механизмов, как SPF, DKIM и DMARC.
В этой статье объясняется, как добавить и изменить записи TXT.
SRV-запись
Записи SRV используются для поиска серверов, которые обеспечивают работу определенных служб на данном домене (например, Jabber). Некоторые интернет-протоколы, такие как SIP и XMPP, часто требуют поддержки SRV-записей.
Пример конфигурации DNS
Ниже приведены примеры настроек DNS домена для сервисов Google Cloud.
Название домена, для которого вы настраиваете DNS, в записях не указывается. Вместо этого используется символ "@".
Если есть необходимость освежить в памяти как всё это работает, то есть давняя, но актуальная статья об архитектуе почтовых систем.
Есть три основных шага, чтобы установить и настроить собственный почтовый сервер.
Настройка IP и DNS
Выбор и запуск приложения почтового сервера
Добавление своего почтового сервера в белые списки
Как проверить записи домена
Проверить, корректно ли указаны записи, проще всего с помощью утилиты dig. Для этого введите домен, для которого добавляли ресурсные записи, выберите тип записи «ANY» и кликните Проверить. Так вы увидите все ресурсные записи вашего домена.
Как добавить SRV-запись
Выполните шаги 1-6 инструкции выше.
Затем в полях ввода укажите:
Сервис — название сервиса;
Приоритет — приоритет целевого хоста;
Нагрузка — относительный вес для записей с одинаковым приоритетом (необязательное поле);
Порт — порт TCP или UDP, на котором работает сервис;
Значение — каноническое имя сервиса.
Нажмите Сохранить:
Готово, ресурсная запись добавлена в зону домена.
Изменения вступят в силу в течение часа.
Как добавить MX-запись
Выполните шаги 1-6 инструкции выше.
Затем в полях ввода укажите:
Субдомен — поддомен или @ (если хотите выбрать почту вида логин@ваш_домен);
Значение — адрес сервера, который будет отвечать за работу почты на вашем домене;
Приоритет — приоритет записи (чем меньше цифра, тем выше приоритет записи).
Нажмите Сохранить:
Готово, DNS записи домена обновлены.
Изменения вступят в силу в течение часа.
Читайте также: