Domain-Name-System

使用 SSL 證書修復郵件伺服器的無效 DNS 記錄

  • July 8, 2015

好的,所以問題名稱有點奇怪,但我不太確定如何措辭。我有一台主機名foo.example.com和域的 SSL 證書的機器mail.example.com。我也有以下 DNS 記錄example.com

A     foo.example.com  12.34.56.78
CNAME mail.example.com foo.example.com
MX    mail.example.com

現在我最近了解到RFC 2181(第 10.3 節)規定 MX 記錄的值“不能是別名”。

我解決此問題的第一次嘗試是將 MX 記錄的值更改為foo.example.com,但這會導致問題,因為證書上的名稱是mail.example.com,我目前無法負擔購買新證書的費用。

我的第二次嘗試是添加一個mail.example.com指向的 A 記錄,12.34.56.78但這裡的問題是 SMTP 伺服器(Postfix)提供的主機名與 MX 記錄中的域不匹配,這可能會導致某些郵件客戶端出現問題。此外,反向 DNS 記錄將不匹配。

不幸的是,將機器本身的主機名更改mail.example.com為不是一個選項,因為它用於使用其他主機名的其他事情。

還有其他我沒有想到的解決方案嗎?奇怪的是,它似乎在過去一年左右工作得很好,但由於我的配置實際上是無效的,我想糾正它,以防它在某處引起問題。

是的,MX 不應指向 CNAME。在這種情況下,只需為 mail.example.com 創建另一個 A 記錄:

A     foo.example.com  12.34.56.78
A     mail.example.com 12.34.56.78
MX    mail.example.com

由於證書用於 mail.example.com,因此它與用於連接的名稱匹配,因此可以成功驗證證書。PTR 記錄應指向 以mail.example.com與垃圾郵件過濾器配合使用。

引用自:https://serverfault.com/questions/704286