2024年6月22日

HYEOS

随事而为

iredmail域名解析及DKIM设置

2 min read

A记录服务器主机名
什么是 A记录

A记录将 FQDN(完全限定域名)映射到 IP 地址。 这是 通常是任何 DNS 系统中最常用的记录类型。 这是DNS 如果要将域名指向 Web 服务器,则应添加记录。
如何设置 A记录

Name:这将是您域的主机,实际上是一台计算机 在您的域内。 您的域名会自动附加到您的姓名后。 如果你想为系统做记录 www.mydomain.com. 然后所有 您在文本框中输入的名称值为 www.

注意 :如果您将名称字段留空,它将默认为记录 为您的基本域 mydomain.com. 您的基本域的记录是 称为根记录或顶点记录。

IP:您的 FQDN 的 IP 地址。 IP地址可以被认为是 电话号码到您的计算机。 这就是一台计算机知道如何做的方式 到达另一台计算机。 类似于国家代码、区号和电话 用来呼叫某人的号码。

TTL:TTL(生存时间)是您的记录将保留的时间 在请求您的记录的系统缓存中(解析名称服务器、浏览器、 ETC。)。 TTL 以秒为单位设置,所以 60 是一分钟,1800 是 30 分钟,等等。

具有静态 IP 的系统通常应具有 1800 或更高的 TTL。 具有动态 IP 的系统通常应具有 1800 或更少的 TTL。

TTL 越低,客户端查询名称服务器的频率就越高 对于您主机的(记录的)IP 地址,这将导致更高的查询流量 为您的域名。 非常高的 TTL 会导致停机 需要快速切换 IP。

样本记录:

NAME TTL TYPE DATA

www.mydomain.com. 1800 A 192.168.1.2
mail.mydomain.com. 1800 A 192.168.1.5

这个记录的最终结果是 www.mydomain.com指着 192.168.1.2, 和 mail.mydomain.com指着 192.168.1.5.
服务器 IP 地址的反向 PTR 记录
什么是反向 PTR 记录

PTR 记录或更恰当的反向 PTR 记录是一个解决问题的过程 关联主机名的 IP 地址。 这与 将主机名解析为 IP 地址的过程( A记录)。 例如,当您 ping a 姓名 mail.mydomain.com它将使用 DNS 解析为 IP 地址 到类似的东西 192.168.1.5. 反向 PTR 记录则相反; 它看起来 为给定的 IP 地址设置主机名。 在上面的示例中,PTR 记录 IP地址 192.168.1.5会得到解决 mail.mydomain.com.
为什么需要反向 PTR 记录

查找 PTR 记录的最常见用途是通过垃圾邮件过滤器完成的。 这个想法背后的概念是夜间发送电子邮件的垃圾邮件发送者飞行 使用假域名通常不会有适当的反向 PTR 设置 在 ISP DNS 区域。 垃圾邮件过滤器使用此标准来检测垃圾邮件。 如果 您的域没有适当的反向 PTR 记录设置然后机会 是电子邮件垃圾邮件过滤软件 ,可能会阻止 来自您的邮件服务器的电子邮件。
如何设置反向 PTR 记录

您很可能需要联系您的 ISP 并请求创建一个 您的邮件服务器 IP 地址的反向 PTR 记录。 例如,如果您的邮件 服务器主机名是 mail.mydomain.com然后请您的 ISP 设置反向 PTR记录 192.168.1.5(您的互联网公共 IP 地址)在他们的反向 DNS 中 区。 反向 DNS 区域由您的 ISP 处理,即使您可能拥有 您管理的自己的正向查找 DNS 区域。
邮件域名的MX记录
什么是 MX 记录

邮件交换器记录或更常见的 MX 记录是 您所在域的 DNS 服务器,它告诉其他邮件服务器您的邮件服务器在哪里 位于。 当有人向您邮件中存在的用户发送电子邮件时 来自互联网的服务器,MX 提供发送的位置或 IP 地址 那封电子邮件。 MX 记录是您拥有的邮件服务器的位置 通过 DNS 提供给外界。

大多数邮件服务器通常有多个 MX 记录,这意味着您可以 有多个邮件服务器设置来接收电子邮件。 每个 MX 记录都有一个 在 DNS 中分配给它的优先级编号。 的 MX 记录 编号最小 具有最高优先级 且被视为您的主要 MX 记录或 您的主要邮件服务器。 下一个最低的 mx 编号具有下一个最高的主要 等等。 您通常有多个邮件服务器,其中一个是主要的 其他的作为备份,邮件服务器只有一个MX也可以。
如何设置MX记录

如果您的 ISP 或域名注册商提供 DNS 服务,您可以 要求他们为您设置一个。 如果您管理自己的 DNS 服务器,那么 您需要自己在 DNS 区域中创建 MX 记录。

示例 MX 记录:

NAME PRIORITY TYPE DATA

mydomain.com. 10 mx mail.mydomain.com.

该记录的最终结果是,电子邮件发送至 [user]@mydomain.com将要 传送到服务器 mail.mydomain.com.
自动发现您的域
什么是自动配置/自动发现记录

autoconfig/autodiscover.company.com 记录允许邮件客户端自动获取邮件 邮箱的客户端配置。 如果要配置的邮箱是 user@company.com 那么 它将自动检查 autodiscover.company.com 以获取正确的配置。

更多信息请点击这里: 为 autoconfig 和 autodiscover 设置 DNS 记录 。
如何设置自动配置/自动发现记录

如果您的 ISP 或域名注册商提供 DNS 服务,您可以 要求他们为您设置一个。 如果您管理自己的 DNS 服务器,那么 您需要自己在 DNS 区域中创建自动配置/自动发现记录。

示例自动配置/自动发现记录:

NAME PRIORITY TYPE DATA

autodiscover.mydomain.com. 10 mx mail.mydomain.com.
autoconfig.mydomain.com. 10 mx mail.mydomain.com.

邮件域名的SPF记录
什么是 SPF 记录

SPF 是一种垃圾邮件和网络钓鱼诈骗的打击方法,它使用 DNS SPF 记录来 定义允许哪些主机为域发送电子邮件。 有关详细信息 SPF,请查看 维基百科 。

这通过为指定的电子邮件域名定义 DNS SPF 记录来实现 允许哪些主机(电子邮件服务器)从该域名发送电子邮件。

其他电子邮件服务器在收到来自此的电子邮件时可以查找此记录 验证发送电子邮件服务器是否从允许的域名连接的域名 IP地址。
如何设置 SPF 记录

SPF 是一个 TXT 类型的 DNS 记录,您可以在其中列出 IP 地址或 MX 域。 例如:

mydomain.com. 3600 IN TXT "v=spf1 mx -all"

此 SPF 记录表示从 MX 记录中定义的所有服务器发送的电子邮件 mydomain.com被允许发送为 someone@mydomain.com.

-all表示禁止从所有其他服务器发送的电子邮件。 如果太严格 对你来说,你可以使用 ~all相反,这意味着软失败(不确定)。

您也可以直接指定 IP 地址:

mydomain.com. 3600 IN TXT "v=spf1 ip4:111.111.111.111 ip4:111.111.111.222 -all"

当然,您可以在同一条记录中同时拥有它们或更多:

mydomain.com. 3600 IN TXT "v=spf1 mx ip4:111.111.111.222 -all"

还有更多可用的有效机制,请查看 维基百科 了解更多详情。
邮件域名的 DKIM 记录
什么是 DKIM 记录

DKIM 允许组织以某种方式对消息负责 可以由收件人验证。 该组织可以直接处理 消息,例如作者的消息、原始发送站点的消息或 中介沿着运输路径。 但是,它也可以是间接的 处理程序,例如为 直接处理程序。 DKIM 定义了域级别的数字签名认证 通过使用公钥加密和使用电子邮件的框架 域名服务作为其关键的服务器技术 ( RFC4871 )。 它允许 验证消息的签名者及其完整性 内容。 DKIM 还将提供一种机制,允许潜在的电子邮件 签名者发布有关其电子邮件签名实践的信息; 这会 允许电子邮件收件人对未签名的邮件进行额外评估。 DKIM 对电子邮件身份的认证可以协助全局控制 “垃圾邮件”和“网络钓鱼”。

一个人或一个组织有一个“身份”——即一个星座 使他们区别于任何其他身份的特征。 联系 这种抽象可以是用作参考的标签,或“标识符”。 这就是事物与事物名称的区别。 DKIM 使用 作为标识符的域名,指代负责人的身份 个人或组织。 在 DKIM 中,此标识符称为签名域 标识符 (SDID) 并包含在 DKIM 签名标头字段中 d=标签。 请注意,同一身份可以有多个标识符。
如何设置 DKIM 记录

在终端中运行命令以显示您的 DKIM 密钥:
    在某些 Linux/BSD 发行版上,您应该使用命令 amavisd-new 代替 amavisd.
    在 CentOS 上,如果它抱怨 /etc/amavisd.conf not found, 请 使用其配置文件的路径运行命令。 例如:

amavisd -c /etc/amavisd/amavisd.conf showkeys

amavisd showkeys

dkim._domainkey.mydomain.com. 3600 TXT (
"v=DKIM1; p="
"MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugByf7LhaK"
"txFUt0ec5+1dWmcDv0WH0qZLFK711sibNN5LutvnaiuH+w3Kr8Ylbw8gq2j0UBok"
"FcMycUvOBd7nsYn/TUrOua3Nns+qKSJBy88IWSh2zHaGbjRYujyWSTjlPELJ0H+5"
"EV711qseo/omquskkwIDAQAB")

将上面命令的输出复制到如下一行中,删除所有引号,但是 保持 ;. 我们只需要里面的字符串 ()块 ,它的价值 DKIM DNS 记录。

v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugBy...

注 :BIND( 最广泛使用的名称服务器软件 ) 可以处理这种多行格式,所以你可以将它粘贴到你的域中 直接区域文件。

添加 TXT输入域名的 DNS 记录 dkim._domainkey.mydomain.com, 将值设置为您在上面复制的行: v=DKIM1; p=....

    警告:一个常见的错误是将此 DKIM 记录添加到域名 mydomain.com,这是错误的。 请确保您添加到域名 dkim._domainkey.mydomain.com.

在 DNS 中添加后,使用 dig或者 nslookup:

$ dig -t txt dkim._domainkey.mydomain.com

$ nslookup -type=txt dkim._domainkey.foodmall.com

示例输出:

dkim._domainkey.mydomain.com. 600 IN TXT "v=DKIM1\;p=..."

并用 Amavisd 验证它:

amavisd testkeys

TESTING: dkim._domainkey.mydomain.com => pass

如果显示 pass, 有用。

注意 :如果您使用 ISP 提供的 DNS 服务,新的 DNS 记录可能需要 几个小时可用。

如果您想重新生成 DKIM 密钥,或者需要为新邮件生成一个 域,请查看我们的另一个教程: 在新邮件域的外发电子邮件上签署 DKIM 签名 。
邮件域名的 DMARC 记录
什么是 DMARC,它如何打击网络钓鱼?

引自 dmarc.org 网站上的常见问题解答页面 (这是 强烈建议阅读完整的常见问题解答页面):

DMARC 是一种让电子邮件发件人和收件人更容易确定 给定的消息是否合法地来自发件人,以及如何 如果不是,就做。 这使得识别垃圾邮件和网络钓鱼邮件变得更加容易, 并让他们远离人们的收件箱。

DMARC 是一项提议的标准,允许电子邮件发件人和收件人 合作共享有关他们发送给彼此的电子邮件的信息。 此信息可帮助发件人改进邮件身份验证基础结构 这样他们所有的邮件都可以通过身份验证。 它还提供了合法的 互联网域的所有者一种请求非法消息的方法 – 欺骗性垃圾邮件、网络钓鱼 - 直接放入垃圾邮件文件夹或拒绝 彻头彻尾。

的一些有用文档 来自https://dmarc.org :

DMARC 常见问题解答
    为什么 DMARC 很重要?
DMARC 如何运作?
规格

如何设置 DMARC 记录

DMARC 严重依赖 SPF 和 DKIM 记录,请确保您有 已发布正确且最新的 SPF 和 DKIM 记录。

DMARC 记录是一个 TXT 类型的 DNS 记录。

简化的记录如下所示:

v=DMARC1; p=none; rua=mailto:dmarc@mydomain.com

详细的示例记录如下所示:

v=DMARC1; p=reject; sp=none; adkim=s; aspf=s; rua=mailto:dmarc@mydomain.com; ruf=mailto:dmarc@mydomain.com

v=DMARC1标识 DMARC 协议版本,目前仅 DMARC1是 可用,和 v=DMARC1必须首先出现在 DMARC 记录中。
adkim指定 DKIM 的对齐模式。 有 2 个选项可用:
    r: 放松模式 ( adkim=r)
    s: 严格模式 ( adkim=s)
aspf指定 SPF 的对齐模式。 有 2 个选项可用:
    r: 放松模式 ( aspf=r)
    s: 严格模式 ( aspf=s)

p指定组织域的策略。 它告诉收件人 如果收到的电子邮件未通过 DMARC 机制检查,服务器将如何处理。 3个选项 可用:
    none ( p=none): 域所有者请求不采取任何具体行动 传递消息。
    quarantine ( p=quarantine): 域所有者希望拥有未通过 DMARC 的电子邮件 机制检查被邮件接收者视为可疑。 根据 邮件接收器的功能,这可能意味着“放入垃圾邮件 文件夹”、“标记为可疑”或“在某处隔离脚趾电子邮件”,也许更多。
    reject ( p=reject): 域所有者希望邮件接收者拒绝 在 SMTP 事务期间未通过 DMARC 机制检查的电子邮件。
    如果您确定所有电子邮件都是由 SPF 中列出的服务器发送的 记录,或签署正确的 DKIM 签名, p=reject很强烈 受到推崇的。
    根据 RFC 7489 , “v”和“p”标签必须存在并且必须按该顺序出现。 所以请始终将“p”标签紧跟在“v”标签之后。 例如 v=DMARC1; p=reject; aspf=s; ...可以,但不行 v=DMARC1; aspf=s; p=reject; ....

sp指定所有子域的策略。 这是可选的。 可用选项 与 p.
rua指定传输聚合反馈的传输机制。 现在 仅有的 mailto:被支持。 这是可选的。
ruf指定一种传输机制,其中消息特定的失败 信息是要报告的。 目前仅 mailto:被支持。 

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注