Ретрансляция Postfix в Office 365 — конфигурация DNS

Question

Ретрансляция Postfix в Office 365 — конфигурация DNS

Я считаю, что чтобы снизить вероятность того, что электронная почта будет помечена как СПАМ, на почтовых серверах следует выполнить следующие действия:

Имя хоста преобразуется в действительный IP-адрес, например mail.example.com в 1.1.1.1.
Обратный DNS существует, например 1.1.1.1 точки mail.example.com
Почтовый сервер выдает команды «HELO» как mail.example.com.
Почтовый сервер имеет запись MX, указывающую на mail.example.com.
Запись SPF для включения 1.1.1.1 в качестве авторизованного сервера отправки
DMARC и DKIM проверяют. Подпись DKIM зашифрована почтовым сервером, а открытый ключ доступен для расшифровки.

Как бы вы настроили DNS, когда сервер Postfix передает данные в Office 365?

Ретрансляция SMTP настроена с использованием опции 3, см. эту статью ). Я считаю, что то, что я перечислил ниже, применимо только при настройке ретрансляции SMTP, а не аутентификации SMTP (я считаю, что обмен HELO будет выполняться между Office 365 и сервером получателей при использовании аутентификации SMTP, и, следовательно, причина, по которой это неприменимо).

Сервер Postfix должен разрешаться в действительный IP-адрес, например mail.example.com в 1.1.1.1.
Существует обратный DNS, например 1.1.1.1 точки mail.example.com .
- Что произойдет, если с одного IP будет отправляться несколько доменов и серверов? Не будет ли это проблемой, если сервер использует соответствующий домен в качестве имени хоста? Например, mail.abc-domain.com и mail.example.com — это два отдельных сервера, использующих один и тот же общедоступный IP-адрес.
- Можно ли использовать одно и то же имя хоста для обмена HELO на всех серверах независимо от того, для какого домена ретранслирует сервер? В качестве альтернативы мы можем вместо этого иметь два общедоступных IP-адреса для каждого домена.
Сервер Postfix должен выдавать команды «HELO» как mail.example.com.
MX задан как example.mail.protection.outlook.com для example.com , поскольку почта доставляется в Office 365. В этом сценарии сервер Postfix используется только в качестве сервера ретрансляции.
Запись SPF должна включать как 1.1.1.1 , так и spf.protection.outlook.com .
- Кажется, что ретрансляция SMTP в Office 365 включает имя хоста и IP-адрес сервера Postfix в обмене HELO, что означает, что важно включить общедоступный IP-адрес Postfix в запись SPF.
- Office 365 будет отправлять электронные письма от имени example.com для аутентифицированных пользователей (например, пользователей Outlook), поэтому spf.protection.outlook.com также требуется в записи SPF.
- Запись PTR уже существует для сайта example.com, который находится на веб-сервере 2.2.2.2. Веб-серверу не нужна запись PTR, указывающая на него самого, поэтому я думаю, что безопасно изменить PTR на сервер Postfix. Какие еще варианты использования существуют для записи PTR?
DMARC и DKIM проверяют.
- Я считаю, что подпись DKIM должна быть зашифрована в Office 365, поскольку и сервер Postfix, и обычный пользователь (пользователи Outlook) отправляют электронные письма в Office 365. Это правильно?

Как упоминалось ранее, я вижу, что Postfix включил имя хоста и IP в заголовок электронного письма, как показано ниже.

      Hop Delay   From    By  With    Time (UTC)  Blacklist
1   *   userid  mail.example.com        9/8/2023 6:38:37 AM 
2   1 Second    mail.example.com 59.154.1.42    SY4AUS01FT019.mail.protection.outlook.com 10.114.156.121    Microsoft SMTP Server   9/8/2023 6:38:38 AM Not blacklisted
3   1 Second    SY4AUS01FT019.eop-AUS01.prod.protection.outlook.com 2603:10c6:10:1f4:cafe::15   SY5PR01CA0071.outlook.office365.com 2603:10c6:10:1f4::9 Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)    9/8/2023 6:38:39 AM Not blacklisted
4   0 seconds   SY5PR01CA0071.ausprd01.prod.outlook.com 2603:10c6:10:1f4::9 ME3PR01MB7048.ausprd01.prod.outlook.com 2603:10c6:220:16d::8    Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)    9/8/2023 6:38:39 AM

В полученном заголовке электронного письма я вижу, что заголовок электронного письма показывает, что команда HELO запускается на сервере Postfix при ретрансляции электронных писем в Office 365.

      Received-SPF: Pass (protection.outlook.com: domain of example.com designates
 1.1.1.1 as permitted sender) receiver=protection.outlook.com;
 client-ip=1.1.1.1; helo=mail.example.com; pr=C
Received: from mail.example.com (1.1.1.1) by
 SY4AUS01FT019.mail.protection.outlook.com (10.114.156.121) with Microsoft
 SMTP Server id 15.20.6768.30 via Frontend Transport; Fri, 8 Sep 2023 06:38:38
 +0000

Напротив, при отправке через Office 365 через Outlook HELO начинается с Office 365.

      Received-SPF: Pass (protection.outlook.com: domain of example.com
 designates 40.107.108.68 as permitted sender)
 receiver=protection.outlook.com; client-ip=40.107.108.68;
 helo=AUS01-ME3-obe.outbound.protection.outlook.com; pr=C
Received: from AUS01-ME3-obe.outbound.protection.outlook.com (40.107.108.68)
 by ME3AUS01FT015.mail.protection.outlook.com (10.114.155.141) with Microsoft
 SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
 15.20.6792.19 via Frontend Transport; Wed, 13 Sep 2023 04:01:55 +0000
ARC-Seal: i=1; a=rsa-sha256; s=arcselector9901; d=microsoft.com; cv=none;

0

postfix smtp office365 e-mailrelay

Источник

supmethods 13 сен '23 в 12:15

2 ответа

Другие вопросы по тегам postfix smtp office365 e-mailrelay

Barry Evans 16 окт '23 в 15:55 2023-10-16 15:55 · Answer 1 · 2023-10-16 15:55

Начните с подтверждения того, что имя хоста вашего сервера Postfix правильно преобразуется в действительный IP-адрес, например «mail.example.com» в «1.1.1.1». Кроме того, убедитесь, что существует обратная запись DNS, связывающая «1.1.1.1» с «mail.example.com». Эти базовые настройки DNS играют решающую роль в установлении доверия и доставке электронных писем без пометки как спам.

В сценариях, когда несколько доменов используют один сервер с общим общедоступным IP-адресом, рассмотрите возможность использования согласованного имени хоста, например «mail.example.com», для обмена HELO. Это упрощает настройку и управление и требует только одной записи SPF. Однако будьте осторожны: попадание одного из ваших доменов в черный список может повлиять на доставляемость электронной почты во всех ваших доменах. Альтернативно вы можете назначить каждому домену отдельные общедоступные IP-адреса. Хотя это обеспечивает улучшенную изоляцию и устойчивость, это более сложная установка для настройки и управления.

Крайне важно включить общедоступный IP-адрес вашего сервера Postfix («1.1.1.1») и запись SPF Office 365 («spf.protection.outlook.com») в вашу DNS-запись SPF. Этот шаг очень важен, поскольку Office 365 может отправлять электронные письма от имени вашего домена, особенно для прошедших проверку подлинности пользователей, таких как пользователи Outlook. Пример записи SPF может выглядеть следующим образом: 'v=spf1 a:1.1.1.1 include:spf.protection.outlook.com ~all.'

В тех случаях, когда существует запись PTR для «example.com», указывающая на IP-адрес вашего веб-сервера («2.2.2.2»), изменение ее так, чтобы она указывала на сервер Postfix, не должно отрицательно влиять на веб-сервер. Записи PTR играют важную роль в проверке подлинности сервера и должны точно отражать функции сервера. В этом контексте обновление записи PTR для «1.1.1.1», чтобы она указывала на «mail.example.com», соответствует его роли сервера электронной почты.

Убедитесь, что подписи DKIM правильно зашифрованы в Office 365. Это очень важно, поскольку и сервер Postfix, и пользователи Outlook отправляют электронные письма в Office 365, а правильное шифрование DKIM имеет важное значение для аутентификации и надежности электронной почты. Стоит отметить, что Office 365 автоматически подписывает все исходящие электронные письма с помощью DKIM, поэтому никакой дополнительной настройки с вашей стороны не требуется.

Следуя этим рекомендациям по настройке DNS и электронной почты, вы можете повысить надежность ретрансляции электронной почты с помощью Office 365. Это, в свою очередь, повышает доставляемость электронной почты и снижает вероятность того, что электронные письма будут помечены как спам. Зашифруйте соединения электронной почты между вашим сервером Postfix и Office 365, чтобы повысить безопасность и конфиденциальность. Настройте Postfix для аутентификации в Office 365 с использованием SMTP AUTH для безопасной ретрансляции электронной почты.

Регулярно проверяйте заголовки электронных писем, чтобы убедиться, что команды HELO соответствуют имени хоста вашего сервера, что обеспечивает успешную доставку электронной почты.

symcbean 13 сен '23 в 14:03 2023-09-13 14:03 · Answer 2 · 2023-09-13 14:03

Ретрансляция сильно отличается от отправки электронной почты. Описанные вами меры относятся к отправке электронной почты. Все они не должны иметь отношения к ретрансляции электронной почты.

Я считаю, что подпись DKIM должна быть зашифрована в Office 365, поскольку и сервер Postfix, и обычный пользователь (пользователи Outlook) отправляют электронные письма в Office 365. Это правильно?

Нет. Это не имеет никакого смысла. DKIM подписывает электронные письма. Получатель проверяет подпись. Он не сможет этого сделать, если не сможет прочитать подпись.