Debian邮件服务器DNS记录设置

Debian 邮件服务器 DNS 记录设置

一、核心记录清单与作用

• 必备记录：
  • A 记录：将邮件主机名解析为服务器公网 IPv4（如：mail.example.com → 203.0.113.10）。
  • MX 记录：指定域名的邮件交换服务器及优先级（如：example.com → 10 mail.example.com）。
• 强烈建议：
  • SPF 记录：声明允许发送该域邮件的服务器，减少被判垃圾的概率（如：v=spf1 mx -all 或包含你的出站 IP/第三方服务）。
  • DKIM 记录：对发信内容进行签名，提升可信度（TXT 类型，选择器._domainkey.example.com）。
  • DMARC 记录：告知接收方如何处置未通过 SPF/DKIM 的邮件（TXT 类型，_dmarc.example.com）。
• 可选但常见：
  • PTR 反向解析：由你的 IP 所属网络运营商设置，PTR 应与发信域名（如 mail.example.com）一致，有助于通过反垃圾检查。
  • CNAME 别名：如 autodiscover.example.com → mail.example.com，便于客户端自动发现。
  • MTA-STS 与 TLS-RPT（进阶）：提升传输加密与合规报告能力（分别为 _mta-sts.example.com 与 _smtp._tls.example.com 的 TXT 记录）。

二、示例 DNS 记录

• 假设：域名 example.com，邮件主机名 mail.example.com，IPv4 203.0.113.10，DKIM 选择器 default。
• 区域文件示例（@ 表示根域，优先级数值越小优先级越高）：

; 基本解析
example.com.        IN  A      203.0.113.10
mail.example.com.   IN  A      203.0.113.10

; 邮件交换
example.com.        IN  MX  10  mail.example.com.

; SPF（示例：只允许本域 MX 主机发送）
example.com.        IN  TXT    "v=spf1 mx -all"

; DKIM（由 opendkim 生成，示例值，需替换为你的公钥）
default._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."

; DMARC（示例：监控策略，逐步收紧）
_dmarc.example.com. IN  TXT    "v=DMARC1; p=none; rua=mailto:postmaster@example.com"

; 可选：自动发现
autodiscover.example.com. IN CNAME mail.example.com.

• 说明：
  • SPF 可使用 include 机制纳入第三方发信服务（如 include:_spf.google.com）。
  • DKIM 的公钥由 DKIM 组件（如 opendkim）生成并发布，私钥保存在服务器用于签名。
  • DMARC 策略可从 p=none（仅监控）逐步过渡到 p=quarantine 再到 p=reject。

三、发布与验证步骤

• 发布记录：
  • 在域名注册商或 DNS 托管商控制台添加/更新上述记录；变更传播通常需数分钟到数小时。
• 本地验证命令：
  • 查询 A/MX：
    • dig +short example.com A
    • dig +short example.com MX
  • 查询 SPF/DKIM/DMARC：
    • dig +short example.com TXT
    • dig +short default._domainkey.example.com TXT
    • dig +short _dmarc.example.com TXT
  • 测试 SMTP 与加密：
    • 连接与握手：openssl s_client -connect mail.example.com:25 -starttls smtp
    • 基础投递测试：telnet mail.example.com 25（HELO/EHLO、MAIL FROM、RCPT TO、DATA、QUIT）
• 连通性要求：
  • 确保云厂商/机房安全组与防火墙放行 TCP 25/587/465（SMTP 提交与 SMTPS）、以及 143/993（IMAP/IMAPS）、110/995（POP3/POP3S）。

四、安全与送达率优化要点

• 正确配置 SPF、DKIM、DMARC，并保持发信 IP 信誉良好，避免被列入黑名单；定期检查日志与投递效果。
• 启用 TLS/SSL：为 Postfix 与 Dovecot 配置有效证书（如 Let’s Encrypt），强制加密传输，降低明文与降级攻击风险。
• 反向解析一致性：确保 PTR 指向你的 mail.example.com，与 HELO/EHLO 标识一致。
• 发送策略与限流：限制并发连接/速率、启用灰名单与反垃圾组件，减少被滥用与被判垃圾的概率。