Почтовый сервер + почтовый шлюз. Какую PTR запись указать?

Домашка?

В тестовой среде при проверке mail-tester.com: X-Spam-Last-External-HELO: relaysrv01.local

Шутите, или точно домашка.

Не совсем понятен вопрос. ptr должен указывать на тот адрес, который указан как mx в днс. Никакого отношения ни к pve, ни к relay это не имеет же.

«ptr должен указывать на тот адрес, который указан как mx в днс» Спасибо. Сколько гуглил, ничего не находил по этому поводу. В тестовой среде (дома) прописать ptr-запись у провайдера проблемно, а в продакшене не хочется. Купил домен, прописал mx a, но меня смущает, что при проверке внешними почтовыми инструментами в helo прописывается локальное имя хоста почтового шлюза. Теории работы почты не много, а практики так совсем. Яндекс почта закручивает гайки, переходим на локальный сервер(

В продакшене точнее не хочется обосраться))

ptr должен указывать на тот адрес, который указан как mx в днс. Никакого отношения ни к pve, ни к relay это не имеет же.

PTR никакого отношения к MX как раз не имеет. А вот к релею - вполне.

В тестовой среде (дома) прописать ptr-запись у провайдера проблемно

а в продакшене не хочется.

Ну «нехотите» дальше. Только зачем тему создали ?

К чему ты PTR собрался указывать?

Должно быть так: у тебя есть некоторый внешний айпи-адрес (допустим 1.2.3.4), с которого происходят исходящие коннекты к другим почтовым серверам (чтобы слать им письма). Так вот, у этого айпи-адреса должна быть PTR-запись: 1.2.3.4 -> some.domain.tld. При этом у домена some.domain.tld должна быть A-запись, указывающая на 1.2.3.4. Это обязательно, иначе мало какой почтовик посчитает тебя нормальным.

Желательно (но вроде в целом не обязательно), чтобы сервер при отправке в HELO писал то же some.domain.tld.

То, какие у тебя сервера и релеи есть внутри твоей организации - не важно, важно только то как от тебя наружу письма уходят.

Я не закончил предложение - в продакшене не хочется тестировать. Лучше подготовиться)

Все верно кроме HELO

Ну готовьтесь… хотя не понятно почему это в проде не подготовить.

Например я сейчас могу отправить почту на yandex.ru, но mail.ru отфутболивает из-за отсутствия PTR-записи. Если я правильно понимаю, то сервер получающий почту (в данном случае mail.ru) проверяет PTR-запись у почтового сервера, а PTR соответственно не может существовать без A-записи.

интересно если указать PTR у провайдера, но не указать на внешнем DNS-сервере A-запись, ошибка останется? И еще вопрос, имеет ли разница уровень домена (если почта будет alias@domain.tld), например указать PTR и A в домене 4 уровня: mail.domain.domain.tld 1.2.3.4, буду ли я проходить проверку на спам с адресом почты второго уровня?

Должно быть:

MX -> mail.domian.com
A mail.domain.com -> 1.2.3.4
PTR 1.2.3.4 -> mail.domain.com

Это для начала, чтобы просто работало. Дальше - хуже, добейся сначала этого.

Дальше - хуже

Хуже, если этого не будет, сложно представить :)

Яндекс почта закручивает гайки

это как? в чем проявляется?

Бро, про MTA-STS почитай. Я не удивлюсь, если и над этим еще один этаж говен навернут.

А вот это, пока не обязательно.

Хватит распространять дезинфу. MX это вообще для другое, он для приёма почты. На отправку не влияет вообще никак. Более того, у крупных почтовиков отправка и приём вполне часто на разных адресах.

Не важно какого уровня домен. И не важно что там за домен вообще. Важно только что есть соответствующие друг другу PTR и A записи для того айпи-адреса, с которого идут исходящие соединения. Адрес почтовых ящиков тут ни при чём тоже.

Если почта шлётся с айпи-адреса 1.2.3.4 то должно быть

A xyz.d1.d2.tld -> 1.2.3.4

PTR 1.2.3.4 -> xyz.d1.d2.tld

При этом почтовый ящик может быть хоть user@d3.xxx

А это вообще ложь.

И в чем ложь?

Ну в том, что в лучшем случае это уйдет в спам.

А вы разверните мысль. Потому что я тоже не понял в чем проблема.

MX с отправителем у самого гугла не совпадает. И у яндекса не совпадает. И ещё у кучи разных крупных сервисов. Ну и я видел как прекрасно всё отправляется с других мест. Разумеется, с настроенными SPF итд. Но MX - это именно адрес приёма, слать почту можно и с других. SPF можно (если хочешь) настроить так, что разрёшенным адресом для отправки будет то что прописано в MX, но это опция а не требование.

Совершенно верно, только это работает в одну сторону. И к «стандартам», «rfc» не имеет отношения - смотрите скоринг с разных мест. Не тот MX - беда.

А лучше перечитайте, что выше. 99% пользуют провайдеров, а там свои интересы. С каких пор, например, blah@123.123.123.123 перестал быть?

Я ничего не писал про стандарты, я писал про реальное положение дел. Соответствие MX с PTR ни в каком виде никто не проверяет. Потому как это бред. Даже если в SPF настроено что отправить должен быть MX, это приводит только к тому, что айпи-адрес отправителя должен быть адресом, на который ссылается MX почтового адреса 'from' письма. В PTR опять же может быть что угодно, главное чтобы оно через A назад показывало на тот же адрес. Если б было не так - было бы невозможно держать по несколько почтовых доменов на одно хосте, а это очевидно можно и сплошь и рядом встречается.

Соответствие MX с PTR ни в каком виде никто не проверяет.

Ну да... конечно... badptr, badmx это завезли просто так.

По поводу badmx противоречивая информация, выяснять где правда лень, но ни одна из версий не говорил о том, что это сравнение MX с PTR.

По поводу badmx противоречивая информация

Хоспади, какое противоречие?

Описания вот тут https://www.oreilly.com/library/view/sendmail-4th-edition/9780596510299/ch07s...

For example, if the host www.example.com were to connect to your server, the connecting host’s IP address would be 192.0.34.166. That address is reverse looked up to find the hostname www.example.com. This FEATURE(badmx) strips the host part from the hostname (the www) and performs an MX lookup on the result (the example.com part)

и в changelog sendmail 8.14.0

        CONFIG: New FEATURE(`badmx') to reject envelope sender addresses
                (MAIL) whose domain part resolves to a "bad" MX record.
                Based on contribution from William Dell Wisner.

Допустим у тебя два сервера, один на прием и один на отправку. Назовем их соответственно, mailin.example.kz, mailout.example.kz.

Тогда ты должен указать следующие днс-записи:

mailin.example.kz in a 1.1.1.1

mailout.example.kz in a 2.2.2.2

example.kz in mx 10 mailin.example.kz

1.1.1.1 in ptr mailin.example.kz

2.2.2.2 in ptr mailout.example.kz

example.kz in spf «v=spf1 +mx +a ip4:1.1.1.1 ip4:2.2.2.2 ~all» - для случая когда оба принимают и отправляют.

example.kz in spf «v=spf1 +a ip4:2.2.2.2 ~all» - для случая когда только mailout отправляет.

mailin._domainkey.example.kz TXT «v=DKIM1; k=rsa; t=s; p=<публичный ключ>» - для случая если mailin может отправлять письма.

mailout._domainkey.example.kz TXT «v=DKIM1; k=rsa; t=s; p=<публичный ключ>» - для случая если mailout может отправлять письма.

и напоследок настроить еще dmarc.

вот статьи для изучения

https://habr.com/ru/post/322616/

https://habr.com/ru/post/343128/

А потом вы прочитаете «sendmail, 4th Edition...» в переводе на Итальянский и появится третий вариант. КМК если есть сомнения то нужно приближаться к первоисточнику, а не удалятся от него.