Levelezés saját szerveren

Linux-haladó

Sziasztok!

El tudná nekem valaki magyarázni, hogyan tudom magamhoz venni a korrekt módon egy domain levelezését? (első körben legalább a levelek kiküldését)

Helyzet:
Adott egy domain, egy regisztrátornál korrekt módon regisztrálva. (Adnak kis tárhelyet, webmailt... Működik.)
Adott egy iroda egy fix IP-vel. A regisztrátorhoz megérkeznek a levelek, fetchmail-el leszedem az irodai szerverre, az irodában mindenki olvasgatja a fiókját. Szeretném az irodai szerverről küldeni a leveleket, amiket a felhasználók írnak.

A regisztrátornál beállítottam CNAME rekordot a fix IP FQDN-jére. Van rajta SPF, DMARC és CAA bejegyzés. A postfix szerintem korrekt módon működik. Kézbesíti helyben amit kell, és küldésnél szépen felveszi a kapcsolatot a fogadóval a 25-ös porton és áttolja amit kell.

Vannak azonban mail szerverek amelyek 554 "pour reputation" üzenettel visszadobják.
Olyan szempontból talán van igazsága a túloldalnak, hogy az iroda fix IP-jére nem tudok SPF-et jegyezni. A fix IP FQDN-je pedig nem egyezik meg azzal a domain névvel (gép nevével), aminek a levelét ki akarom küldeni. (Megjegyzem, a google befogadja a leveleimet.)

Az lenne a kérdésem, hogy mit rontok el? Hogyan kellene ezt korrekt módon kivitelezni?
(Nem szeretném relay-nek használni a regisztrátort, mert vannak korlátozások.)

Ha esetleg valakinek több infóra lenne szüksége a véleménye kialakításához, akkor szívesen kiegészítem a fentieket, de gondoltam, inkább a jó megoldás legyen itt (ha létezik) mint az én bénázásom.

  • 1078 megtekintés

( slinky v | 2019. 09. 03., k – 20:23 )

miert ne tudnal SPF tenni a fix ipre? ip4:1.2.3.4 - de javaslom a kimeno cuccokat egy erre szakosodott barmin attolni, peldaul mailjet.. nem hinnem h 5-6e mailnal tobb kimenod lenne havonta.

( ntomasz | 2019. 09. 03., k – 21:12 )

https://www.mail-tester.com/

Ha itt sikerül 8 pont fölé menned, kb. mindenhova elmegy majd a levél.
Kiírja a hibákat is, szóval innen megtudhatod mit rontasz el.

--

nTOMasz
"The hardest thing in this world is to live in it!"

( _Franko_ v | 2019. 09. 03., k – 21:47 )

Akkor éri meg szerintem szopni ilyesmivel, ha akkora tömegben mennek ki levelek, hogy nem fedi le egy GSuite account, aminek a kvótája 2000-2500 levél naponta.

Ha nem értesz hozzá, akkor szerintem húzz fel egy VPS-t, ahonnan engedik a levelek küldését (általában tiltják, külön kell szólni, hogy fogsz levelet küldeni), vegyél egy pár dolláros domain-t és azon gyakorolj, mert egy balfasz beállítás jó időre lerontja az adott domain és IP reputációját és akkor szopni fogsz heteket az éles környezetedben.

Vannak jó leírások, a kulcsszó a "SPF" a "DKIM" és az általad választott MTA neve, egyszerűen kövesd végig egy eldobható rendszeren és ha minden oké, akkor csináld meg éles üzemben.

--
https://iotguru.live

Köszönöm a hozzászólásaitokat, a mail teszter különösen hasznos volt!

Már csak abból is gondolom, tudok levelező szervert konfigurálni, hogy 9/10-et kapott a levelem a teszten (Egy darab -1 pontom van a DKIM miatt, de azt meg nem állítottam még be.)
Az iroda ISP-je nehéz eset... :-( Próbáltam idáig nélküle megoldani. (ne is részletezzük...) :-(

Kicsit konkrétabban akkor a probléma.
A fogadó oldali logban ez látszik:
Received: from kulodgep.domainem.hu (iroda.isp.ip-je.hu [1.2.3.4]) by a fogado.oldal.hu

Az 1.2.3.4 reverse DNS feloldására az iroda.isp.ip-je.hu válasz érkezik. Ami korrekt, mert az iroda fix IP címe be van jegyezve. De! Nem egyezik, nem egyezhet meg a kuldogep.domainem.hu névvel, mert az meg ugye csak egy CNAME a domainem regisztrátoránál (Akinek egy egész más IP és név tartománya van).
Ezért kapom az 554 hibaüzenetet néhány helytől. (Gondolom...)

Úgy érzékelem, a hiba abból adódik, hogy a reverse DNS kérés a fogadó oldalon a fix IP szolgáltató által beállított nevet adja vissza. Kérhetem én az ISP-tól, hogy válaszolja az én küldő gépem nevét? (Nem érzem helyes kérésnek, mert a fix IP szolgáltatójának, más a név tartománya...)

..és itt jött el a pillanat, amikor feltettem a kérdést a fórumon, hogy "korrektül beállítani". Mert nem látom a megoldást amit meg látok azt nem tartom helyesnek... De akkor mi a korrekt?

Revers-forward-ot nem foogod megúszni, azt illik jól beállítani.
ISP-vel kell sajnos egyeztetned, hogy a PTR rekord egyezzen a küldő domaineddel.
Ugyanígy, az IP-re mutasson és ne a CNAME-re.

Az ISP-k végponti IP tartományai azonban nagyon rossz reputációval rendelkeznek.
Jobban jársz egy Sendgrid, Jetmail stb szolgáltatásssal vagy egy havi néhány ezer forintos VPS-el amin keresztül relay-elsz.

( peterson v | 2019. 09. 04., sze – 09:09 )

"Vannak azonban mail szerverek amelyek 554 "pour reputation" üzenettel visszadobják. "

Ezt gyakran ezért mondják, mert MX rekord nem mutathat CNAME-re.
Section 10.3 of RFC 2181

---
"A megoldásra kell koncentrálni nem a problémára."

Ez egy nagyon hasznos info! (A legnagyobb tiszteletem mindenkinek, aki az RFC-ket ilyen mélységig ismeri!!)

Sajnos a problémám megoldását továbbra se látom... :-( Es felmerült egy újabb kérdésem! Hátha mond erre is valamit egy RFC...

Előbb a kérdés:
Az MX nem csak a fogadáshoz kell? Vagy másként kérdezve: csak olyan gép küldhet ki emailt amelyiknek van MX bejegyzése? (Esetemben nekem elegendő lenne a küldés, mert a regisztrátornál fogadom, onnan pedig lehúzogatom a leveleket...)

Nézzük az eredeti problémámat: Most akkor azt mondod, hogy A rekordra vegyem fel az iroda fix IP címét a regisztrátornál?
Szabad olyat megtennem, hogy regisztrátor DNS-ében van bejegyzés mondjuk a webszerverre (ami ott van nála, az ő tárhelyén, az ő IP tartományában), alatta meg egy A record az iroda fix IP címével egy egészen más IP tartományból?

Olyan IP-t veszel fel az általad kezelt DNS-be amilyet akarsz. A gond nem ezzel van. Kérned kell az ISP-t, hogy a kiosztott fix IP-hez a visszaoldás is rendben legyen. Azaz ha a mail.ceg.hu visszaad egy IP-t akkor azt az IP-t feloldva is mail.ceg.hu-t kapj. Ezt az ISP simán bejegyzi, nem függ névtartományától.

"A legnagyobb tiszteletem mindenkinek, aki az RFC-ket ilyen mélységig ismeri!!"
Sajnos a legnagyobb tiszteleted nem engem illet, mert én is úgy kaptam ezt az infot olyantól, aki olvas sok-sok RFC-t. :)

"csak olyan gép küldhet ki emailt amelyiknek van MX bejegyzése?"
Ez ebben a formában nem igaz, bámilyen gép küldhet levelet amin fut MTA, és a szolgáltatója kiengedi 25-ös port felé.
Más kérdés, hogy fogad-e manapság bárki levelet olyan domain-ről, aminek nincs megfelelő MX rekordja. ;)

"Most akkor azt mondod, hogy A rekordra vegyem fel az iroda fix IP címét a regisztrátornál?"
Az lenne a praktikus, igen, mondjuk így:
mail.iroda.xx A x.x.x.x
iroda.xx MX mail.iroda.xx

Fenti két rekorddal megválaszoltam a következő kérdésedet is.

Viszont még bukhatsz pár helyen:
- az iroda ISP-je kienged 25-ös port felé a saját mail serverén kívül bármerre?
- megfelelő SPF-rekord hiányában is spam-ben landolsz manapság a legtöbb helyen.

---
"A megoldásra kell koncentrálni nem a problémára."

Továbbra is respect mindenkinek aki RFC-t olvas!

A folyamatot elindítottam.
A PTR record bejegyzését már meg is kértem (az iroda szolgáltatójától).
A regisztrátornál átírom, A recordra veszem fel a levélküldő nevét, és a többi odamutatót teszem CNAME-re.
Felveszem valami jó magas MX-re is (biztos ami tuti... Képes fogadni, csak egyéb megfontolások alapján jutottunk arra, hogy a regisztrátorhoz érkezzenek meg először a levelek.)
Az SPF-em szerintem rendben van, mert a regisztrátornál ezt már korábban megtettem, (és igaz, egy tök idegen IP-t vittem bele.)

Korábban, egy helyen, azt az "utasítást" kaptam, hogy idegen névszervereken be ne rögzítsem az IP címet! Csak CNAME-el hivatkozzak az általuk az adott fix címhez rendelt névre... (Biztos megvan ennek is az oka...)

Maradt még egy kis dilemmám...
Az SPF record.
Ugy gondolom, hogy az a regisztrátor DNS-ébe kell bejegyeznem (ahogy most is van). Tonképpen a google most is azt mondja, hogy "SPF pass", tehát elfogadja.
Van annak értelme, hogy fix IP szolgáltatójának DNS-ébe is beimádkozzam az SPF DMARC DKIM CAA recordjaimat?