SMTP 橫幅與多個 MX 記錄不匹配
我的直覺說“這不是問題,在邏輯上無法真正解決”。我正在配置一個備用 ISP 連接以用於我們的現場交換郵件伺服器。
這是我設置的:
198.51.100.30 -> primary ISP 203.0.113.40 -> backup ISP以下添加到我們的 example.com 域 DNS:
mail.example.com. A 198.51.100.30 mail2.example.com. A 203.0.113.40 example.com. MX 10 mail.example.com. example.com. MX 20 mail2.example.com.相關 ISP 添加的 PTR:
198.51.100.30 mail.example.com 203.0.113.40 mail2.example.com現在,我們的郵件伺服器總是和
mail.example.com橫幅一樣工作,一切都很好,MXToolBox 很高興。但是,我該如何處理有關故障轉移 MX 的橫幅?顯然,故障轉移 PTRmail2.example.com將在 MXToolBox 中生成“反向 DNS 與 SMTP 橫幅不匹配”。我只是不擔心這個還是我沒有正確設置一些東西?
編輯:安裝在郵件伺服器上的 SSL SAN 證書同時具有
mail.example.com和mail2.example.com.
關於最佳實踐:擁有兩台 MX 伺服器
最好的選擇是擁有兩台伺服器,即配置另一台 Exchange(或基於開源的 SMTP 伺服器,例如 Postfix)作為備份/輔助 MX 伺服器。在大多數情況下,伺服器本身可能會導致比 Internet 連接更多的停機時間。由於橫幅不匹配只是出站郵件的一個問題,因此該伺服器可以完全符合
mail2.example.com您目前的配置。具有兩個 Internet 連接的單個伺服器
出站郵件配置
第二種方法是使用相同的主機名配置兩個連接,因為它實際上是具有不同 IP 地址和路由的同一主機。這可以通過循環 DNS配置 + 匹配 PTR 記錄和 SMTP 橫幅來實現,例如
mail.example.com. A 198.51.100.30 mail.example.com. A 203.0.113.40 40.113.0.203.in-addr.arpa. PTR mail.example.com. 30.100.51.198.in-addr.arpa. PTR mail.example.com.不要忘記添加允許兩個 IP 地址發送郵件的 SPF 記錄,例如
example.com. IN TXT "v=spf1 +ip4:198.51.100.30/32 +ip4:203.0.113.40/32 -all"入站郵件配置
如果您希望在入站郵件中首選第一個 ISP 而不是第二個 ISP(例如,如果它具有更好的頻寬),您可以將您的 MX 配置與此分開,例如通過添加
mx1.example.com. A 198.51.100.30 mx2.example.com. A 203.0.113.40 example.com. MX 10 mx1.example.com. example.com. MX 20 mx2.example.com.橫幅不匹配對於入站郵件來說不是問題,所以這完全沒問題。
證書
為了保持證書對兩種配置都有效,它現在應該為所有 SAN
mail.example.com和. 通常這無關緊要,因為郵件伺服器證書實際上很少經過驗證,並且大多數郵件系統仍然允許回退到未加密的連接。mx1.example.com``mx2.example.com替代基於 CA 的證書驗證,基於 DNS 的命名實體身份驗證(DANE,RFC 6698)是一種建議的替代方案,它也允許驗證自簽名證書。為了向後兼容,不可能將 SMTP 伺服器配置為僅允許加密連接,這為通過 TLS 建立的連接留下了 MitM 攻擊的漏洞。使用 DANE 可以聲明應該使用 TLS 進行連接,並且只允許在 DNS 區域中發布的證書。