Я знаю, что когда почтовый сервер получает электронное письмо, он выполняет «трехстороннюю проверку DNS» (я думаю, это также иногда называют FCrDNS) как простой тест против спамеров. Как я понимаю, это работает следующим образом:
Начиная с IP-адреса источника входящей почты (взятого из фактического IP-пакета):
Иногда проводится дополнительная проверка SMTP Helo Banner, который имеет формат доменного имени. Выполните прямой поиск доменного имени, в результате чего будет получен IP-адрес. Затем выполните обратный поиск PTR IP-адреса, и он должен вернуться к тому же доменному имени в указанных выше записях SMTP DNS.
Но что, если у вас есть 30 почтовых серверов, все из которых имеют 3 разных IP-адреса. Как настроить SMTP Banner, A Records и PTR записи, чтобы они прошли все тесты, указанные выше? Предположим, что 30 почтовых серверов не могут узнать, какой IP-адрес они получают извне. Теоретически каждое новое TCP-соединение может поступать с другого общедоступного IP-адреса.
Я предполагаю, что вам нужно будет настроить это:
mailer.eddie.com IN A 1.1.1.1
mailer.eddie.com IN A 1.1.1.2
mailer.eddie.com IN A 1.1.1.3
3.1.1.1.in-addr.arpa. IN PTR mailer.eddie.com
2.1.1.1.in-addr.arpa. IN PTR mailer.eddie.com
1.1.1.1.in-addr.arpa. IN PTR mailer.eddie.com
SMTP Banner for each server: mailer.eddie.com
Но вызовет ли это какие-либо другие проблемы с 30 почтовыми серверами, использующими один и тот же баннер SMTP? И как это повлияет на Прямой поиск (шаг 2 из 3 выше), если поиск домена возвращает 3 разных IP-адреса?
Подводя итог, это действительно вопрос, с которым нужно поговорить с тремя основными арендаторами:
(1) Подтвердите работу трехсторонней проверки DNS / SMTP.
(2) Подтвердите функциональность решения для нескольких серверов за одним общедоступным IP-адресом.
(3) Подтвердите и проработайте функциональность нескольких серверов за несколькими нестатическими общедоступными IP-адресами.
Ваш сценарий NAT «Предположим, что у 30 почтовых серверов нет возможности узнать, какой IP-адрес они получают снаружи» не работает в контексте надежной доставки SMTP.
Все очень просто. Обратная запись DNS может надежно сопоставить только одно имя хоста. Т.е. 2.1.168.192.in-addr.arpa.
будет отображаться только на smtp1.example.com
.
То же самое и с A-рекордом: smtp1.example.com.
должен указывать только на один IP-адрес 192.168.1.2
в противном случае вы получите циклический DNS, при котором один поиск покажет IP-адрес, отличный от второго.
(Получатель получает входящее соединение от 192.168.1.3, идентифицированного как smtp1.example.com, и выполняет поиск в DNS, который возвращает A-запись 192.168.1.2 -> Mismatch и, следовательно, дополнительную оценку за спам.)
Отсюда простое правило: почтовый сервер должен использовать только один IP-адрес в качестве основного.