Levelezés saját szerveren

 ( jenkara | 2019. szeptember 3., kedd - 20:17 )

Sziasztok!

El tudná nekem valaki magyarázni, hogyan tudom magamhoz venni a korrekt módon egy domain levelezését? (első körben legalább a levelek kiküldését)

Helyzet:
Adott egy domain, egy regisztrátornál korrekt módon regisztrálva. (Adnak kis tárhelyet, webmailt... Működik.)
Adott egy iroda egy fix IP-vel. A regisztrátorhoz megérkeznek a levelek, fetchmail-el leszedem az irodai szerverre, az irodában mindenki olvasgatja a fiókját. Szeretném az irodai szerverről küldeni a leveleket, amiket a felhasználók írnak.

A regisztrátornál beállítottam CNAME rekordot a fix IP FQDN-jére. Van rajta SPF, DMARC és CAA bejegyzés. A postfix szerintem korrekt módon működik. Kézbesíti helyben amit kell, és küldésnél szépen felveszi a kapcsolatot a fogadóval a 25-ös porton és áttolja amit kell.

Vannak azonban mail szerverek amelyek 554 "pour reputation" üzenettel visszadobják.
Olyan szempontból talán van igazsága a túloldalnak, hogy az iroda fix IP-jére nem tudok SPF-et jegyezni. A fix IP FQDN-je pedig nem egyezik meg azzal a domain névvel (gép nevével), aminek a levelét ki akarom küldeni. (Megjegyzem, a google befogadja a leveleimet.)

Az lenne a kérdésem, hogy mit rontok el? Hogyan kellene ezt korrekt módon kivitelezni?
(Nem szeretném relay-nek használni a regisztrátort, mert vannak korlátozások.)

Ha esetleg valakinek több infóra lenne szüksége a véleménye kialakításához, akkor szívesen kiegészítem a fentieket, de gondoltam, inkább a jó megoldás legyen itt (ha létezik) mint az én bénázásom.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

miert ne tudnal SPF tenni a fix ipre? ip4:1.2.3.4 - de javaslom a kimeno cuccokat egy erre szakosodott barmin attolni, peldaul mailjet.. nem hinnem h 5-6e mailnal tobb kimenod lenne havonta.

https://www.mail-tester.com/

Ha itt sikerül 8 pont fölé menned, kb. mindenhova elmegy majd a levél.
Kiírja a hibákat is, szóval innen megtudhatod mit rontasz el.

--

nTOMasz
"The hardest thing in this world is to live in it!"

Akkor éri meg szerintem szopni ilyesmivel, ha akkora tömegben mennek ki levelek, hogy nem fedi le egy GSuite account, aminek a kvótája 2000-2500 levél naponta.

Ha nem értesz hozzá, akkor szerintem húzz fel egy VPS-t, ahonnan engedik a levelek küldését (általában tiltják, külön kell szólni, hogy fogsz levelet küldeni), vegyél egy pár dolláros domain-t és azon gyakorolj, mert egy balfasz beállítás jó időre lerontja az adott domain és IP reputációját és akkor szopni fogsz heteket az éles környezetedben.

Vannak jó leírások, a kulcsszó a "SPF" a "DKIM" és az általad választott MTA neve, egyszerűen kövesd végig egy eldobható rendszeren és ha minden oké, akkor csináld meg éles üzemben.

--
https://iotguru.live

Köszönöm a hozzászólásaitokat, a mail teszter különösen hasznos volt!

Már csak abból is gondolom, tudok levelező szervert konfigurálni, hogy 9/10-et kapott a levelem a teszten (Egy darab -1 pontom van a DKIM miatt, de azt meg nem állítottam még be.)
Az iroda ISP-je nehéz eset... :-( Próbáltam idáig nélküle megoldani. (ne is részletezzük...) :-(

Kicsit konkrétabban akkor a probléma.
A fogadó oldali logban ez látszik:
Received: from kulodgep.domainem.hu (iroda.isp.ip-je.hu [1.2.3.4]) by a fogado.oldal.hu

Az 1.2.3.4 reverse DNS feloldására az iroda.isp.ip-je.hu válasz érkezik. Ami korrekt, mert az iroda fix IP címe be van jegyezve. De! Nem egyezik, nem egyezhet meg a kuldogep.domainem.hu névvel, mert az meg ugye csak egy CNAME a domainem regisztrátoránál (Akinek egy egész más IP és név tartománya van).
Ezért kapom az 554 hibaüzenetet néhány helytől. (Gondolom...)

Úgy érzékelem, a hiba abból adódik, hogy a reverse DNS kérés a fogadó oldalon a fix IP szolgáltató által beállított nevet adja vissza. Kérhetem én az ISP-tól, hogy válaszolja az én küldő gépem nevét? (Nem érzem helyes kérésnek, mert a fix IP szolgáltatójának, más a név tartománya...)

..és itt jött el a pillanat, amikor feltettem a kérdést a fórumon, hogy "korrektül beállítani". Mert nem látom a megoldást amit meg látok azt nem tartom helyesnek... De akkor mi a korrekt?

Revers-forward-ot nem foogod megúszni, azt illik jól beállítani.
ISP-vel kell sajnos egyeztetned, hogy a PTR rekord egyezzen a küldő domaineddel.
Ugyanígy, az IP-re mutasson és ne a CNAME-re.

Az ISP-k végponti IP tartományai azonban nagyon rossz reputációval rendelkeznek.
Jobban jársz egy Sendgrid, Jetmail stb szolgáltatásssal vagy egy havi néhány ezer forintos VPS-el amin keresztül relay-elsz.

"Vannak azonban mail szerverek amelyek 554 "pour reputation" üzenettel visszadobják. "

Ezt gyakran ezért mondják, mert MX rekord nem mutathat CNAME-re.
Section 10.3 of RFC 2181

---
"A megoldásra kell koncentrálni nem a problémára."

Ez egy nagyon hasznos info! (A legnagyobb tiszteletem mindenkinek, aki az RFC-ket ilyen mélységig ismeri!!)

Sajnos a problémám megoldását továbbra se látom... :-( Es felmerült egy újabb kérdésem! Hátha mond erre is valamit egy RFC...

Előbb a kérdés:
Az MX nem csak a fogadáshoz kell? Vagy másként kérdezve: csak olyan gép küldhet ki emailt amelyiknek van MX bejegyzése? (Esetemben nekem elegendő lenne a küldés, mert a regisztrátornál fogadom, onnan pedig lehúzogatom a leveleket...)

Nézzük az eredeti problémámat: Most akkor azt mondod, hogy A rekordra vegyem fel az iroda fix IP címét a regisztrátornál?
Szabad olyat megtennem, hogy regisztrátor DNS-ében van bejegyzés mondjuk a webszerverre (ami ott van nála, az ő tárhelyén, az ő IP tartományában), alatta meg egy A record az iroda fix IP címével egy egészen más IP tartományból?

miert ne lenne szabad? de az SPFhez meg DNS rekord sem kell, tudsz IPre hivatkozni

Olyan IP-t veszel fel az általad kezelt DNS-be amilyet akarsz. A gond nem ezzel van. Kérned kell az ISP-t, hogy a kiosztott fix IP-hez a visszaoldás is rendben legyen. Azaz ha a mail.ceg.hu visszaad egy IP-t akkor azt az IP-t feloldva is mail.ceg.hu-t kapj. Ezt az ISP simán bejegyzi, nem függ névtartományától.

"A legnagyobb tiszteletem mindenkinek, aki az RFC-ket ilyen mélységig ismeri!!"
Sajnos a legnagyobb tiszteleted nem engem illet, mert én is úgy kaptam ezt az infot olyantól, aki olvas sok-sok RFC-t. :)

"csak olyan gép küldhet ki emailt amelyiknek van MX bejegyzése?"
Ez ebben a formában nem igaz, bámilyen gép küldhet levelet amin fut MTA, és a szolgáltatója kiengedi 25-ös port felé.
Más kérdés, hogy fogad-e manapság bárki levelet olyan domain-ről, aminek nincs megfelelő MX rekordja. ;)

"Most akkor azt mondod, hogy A rekordra vegyem fel az iroda fix IP címét a regisztrátornál?"
Az lenne a praktikus, igen, mondjuk így:
mail.iroda.xx A x.x.x.x
iroda.xx MX mail.iroda.xx

Fenti két rekorddal megválaszoltam a következő kérdésedet is.

Viszont még bukhatsz pár helyen:
- az iroda ISP-je kienged 25-ös port felé a saját mail serverén kívül bármerre?
- megfelelő SPF-rekord hiányában is spam-ben landolsz manapság a legtöbb helyen.

---
"A megoldásra kell koncentrálni nem a problémára."

Továbbra is respect mindenkinek aki RFC-t olvas!

A folyamatot elindítottam.
A PTR record bejegyzését már meg is kértem (az iroda szolgáltatójától).
A regisztrátornál átírom, A recordra veszem fel a levélküldő nevét, és a többi odamutatót teszem CNAME-re.
Felveszem valami jó magas MX-re is (biztos ami tuti... Képes fogadni, csak egyéb megfontolások alapján jutottunk arra, hogy a regisztrátorhoz érkezzenek meg először a levelek.)
Az SPF-em szerintem rendben van, mert a regisztrátornál ezt már korábban megtettem, (és igaz, egy tök idegen IP-t vittem bele.)

Korábban, egy helyen, azt az "utasítást" kaptam, hogy idegen névszervereken be ne rögzítsem az IP címet! Csak CNAME-el hivatkozzak az általuk az adott fix címhez rendelt névre... (Biztos megvan ennek is az oka...)

Maradt még egy kis dilemmám...
Az SPF record.
Ugy gondolom, hogy az a regisztrátor DNS-ébe kell bejegyeznem (ahogy most is van). Tonképpen a google most is azt mondja, hogy "SPF pass", tehát elfogadja.
Van annak értelme, hogy fix IP szolgáltatójának DNS-ébe is beimádkozzam az SPF DMARC DKIM CAA recordjaimat?

>Van annak értelme, hogy fix IP szolgáltatójának DNS-ébe is beimádkozzam az SPF DMARC DKIM CAA recordjaimat?

He? ezek a te domainedhez tartoznak...