Domain-Name-System

SMTP 橫幅與多個 MX 記錄不匹配

  • May 6, 2021

我的直覺說“這不是問題,在邏輯上無法真正解決”。我正在配置一個備用 ISP 連接以用於我們的現場交換郵件伺服器。

這是我設置的:

198.51.100.30 -> primary ISP
203.0.113.40 -> backup ISP

以下添加到我們的 example.com 域 DNS:

mail.example.com. A 198.51.100.30
mail2.example.com. A 203.0.113.40
example.com. MX 10 mail.example.com.
example.com. MX 20 mail2.example.com.

相關 ISP 添加的 PTR:

198.51.100.30 mail.example.com
203.0.113.40 mail2.example.com

現在,我們的郵件伺服器總是和mail.example.com橫幅一樣工作,一切都很好,MXToolBox 很高興。但是,我該如何處理有關故障轉移 MX 的橫幅?顯然,故障轉移 PTRmail2.example.com將在 MXToolBox 中生成“反向 DNS 與 SMTP 橫幅不匹配”。

我只是不擔心這個還是我沒有正確設置一些東西?

編輯:安裝在郵件伺服器上的 SSL SAN 證書同時具有mail.example.commail2.example.com.

關於最佳實踐:擁有兩台 MX 伺服器

最好的選擇是擁有兩台伺服器,即配置另一台 Exchange(或基於開源的 SMTP 伺服器,例如 Postfix)作為備份/輔助 MX 伺服器。在大多數情況下,伺服器本身可能會導致比 Internet 連接更多的停機時間。由於橫幅不匹配只是出站郵件的一個問題,因此該伺服器可以完全符合mail2.example.com您目前的配置。

具有兩個 Internet 連接的單個伺服器

出站郵件配置

第二種方法是使用相同的主機名配置兩個連接,因為它實際上是具有不同 IP 地址和路由的同一主機。這可以通過循環 DNS配置 + 匹配 PTR 記錄和 SMTP 橫幅來實現,例如

mail.example.com. A 198.51.100.30
mail.example.com. A 203.0.113.40
40.113.0.203.in-addr.arpa. PTR mail.example.com.
30.100.51.198.in-addr.arpa. PTR mail.example.com.

不要忘記添加允許兩個 IP 地址發送郵件的 SPF 記錄,例如

example.com. IN TXT "v=spf1 +ip4:198.51.100.30/32 +ip4:203.0.113.40/32 -all"

入站郵件配置

如果您希望在入站郵件中首選第一個 ISP 而不是第二個 ISP(例如,如果它具有更好的頻寬),您可以將您的 MX 配置與此分開,例如通過添加

mx1.example.com. A 198.51.100.30
mx2.example.com. A 203.0.113.40
example.com. MX 10 mx1.example.com.
example.com. MX 20 mx2.example.com.

橫幅不匹配對於入站郵件來說不是問題,所以這完全沒問題。

證書

為了保持證書對兩種配置都有效,它現在應該為所有 SANmail.example.com和. 通常這無關緊要,因為郵件伺服器證書實際上很少經過驗證,並且大多數郵件系統仍然允許回退到未加密的連接。mx1.example.com``mx2.example.com

替代基於 CA 的證書驗證,基於 DNS 的命名實體身份驗證(DANE,RFC 6698)是一種建議的替代方案,它也允許驗證自簽名證書。為了向後兼容,不可能將 SMTP 伺服器配置為僅允許加密連接,這為通過 TLS 建立的連接留下了 MitM 攻擊的漏洞。使用 DANE 可以聲明應該使用 TLS 進行連接,並且只允許在 DNS 區域中發布的證書。

引用自:https://serverfault.com/questions/984583