Настройка SPF и DKIM записей поддомена

Как и в ответе BillThor, вам, вероятно, НУЖНО настроить SPF и DKIM для example.com то есть имя хоста, используемое в адресах электронной почты user@example.com, где mail.example.com это всего лишь MX для домена. Но, чтобы ответить на точный вопрос ...

В отличие от заявленного в другом ответе, можно настроить как SPF, так и DKIM на каждом уровне. После всего, example.com. является субдоменом com. это также поддомен ., не говоря уже о доменах, которые уже являются субдоменами следующего уровня, например co.uk.

• Записи SPF определены (RFC 7208, 3) быть размещается в дереве DNS под именем владельца, к которому он относится, а не в поддомене под именем владельца. Первая строка предназначена для писем, отправленных из user@example.com а второй для user@mail.example.com.

  example.com.       IN   TXT   "v=spf1 a mx -all"
  mail.example.com.  IN   TXT   "v=spf1 a mx -all"
  

  SPF не наследуется, т.е. не защищает поддомены. Кроме того, для каждого поддомена с A запись, которая не предназначена для отправки электронной почты, вы должны добавить:

  sub.example.com.   IN   TXT   "v=spf1 -all"
  

• Рекоды DKIM определяются по-другому: Пространство имен DKIM (RFC 6376, 3.6.2.1) является субдоменом:

  Все ключи DKIM хранятся в субдомене с именем _domainkey. Учитывая DKIM-Signature поле с d= тег example.com и s= тег foo.bar, запрос DNS будет для
  foo.bar._domainkey.example.com.

  в DKIM-Signature заголовок электронной почты, который вы можете иметь d=example.com или d=mail.example.com, с соответствующими i=user@example.com / i=user@mail.example.com. Эквивалентные записи DNS:

  selector._domainkey.example.com.        IN   TXT   "v=DKIM1; k=rsa; p=...
  selector._domainkey.mail.example.com.   IN   TXT   "v=DKIM1; k=rsa; p=...
  

• После того, как вы внедрили (и протестировали) SPF и DKIM, подумайте о защите From заголовок путем реализации политики DMARC (RFC 7489). Политика DMARC наследуется всеми субдоменами "если политика субдомена не описана явно с помощью sp тег" (раздел 6.3). Например.

  _dmarc.example.com.  IN   TXT   "v=DMARC1; p=reject; aspf=s; adkim=s;"
  

Вам следует настроить DKIM и SPF для домена, для которого вы отправляете почту. Учитывая поддомен mail.example.com. он, вероятно, отправляет трафик для example.com домен и имеет адреса электронной почты, например user@example.com.

В этом случае вам необходимо настроить записи DKIM под example.com а не под mail.example.com. Рекорд SPF для example.com может быть так просто, как v=spf1 a mx -all.

Нет причин, по которым почтовый сервер не может отправлять почту в другой домен, например example.net и / или example.org. Для каждого домена настройте DKIM относительно этого домена и запись SPF для этого домена.

Полезно определить запись SPF для домена почтового сервера, например v=spf1 a -all. Это позволяет SPF-проверку адреса хоста.

Вам также следует подумать о настройке записей DMARC. Они определяются относительно домена в адресе электронной почты отправителя, а не домена, который отправляет электронное письмо.

Я разместил на Защита репутации электронной почты с помощью SPF, Реализация DKIM с Exim и другие предметы. Детали DNS для DKIM применимы ко всем почтовым серверам.

Вы не можете использовать DKIM в поддоменах. вы можете сделать это с "доменами"

Вы не используете «субдомен mail.domain.com», вы используете корневой домен: domain.com вы устанавливаете его для домена, а не для субдомена. например:

SPF-TXT 
hostname @ and value v=spf1 ipv4:x.x.x.x ~all


DKIM - TXT
host: s2048._domainkey.domain.com
value: v=DKIM1; k=rsa; p=LONG STRING with 2048 char" 

Не забудьте вставить в открытый ключ разрывы строк.