Не забыть : Всё что нужно для MTA

Итак, решили мы значит поставить очередной почтовый сервак, мы знаем как всё настраивается, в интернете куча статей по установке и настройке различных MTA, и во всех существуют изъяны. Тема данной статьи устранить пагубные изъяны при настройке MTA, и всего что с MTA связано... Само собой свою MTA я буду настраивать на GNU Gentoo Linux. Итак, от слов к делу, точнее к нашим MTA.

Про правильный MTA читаем под катом...

Список того, что необходимо для MTA

  • домен, MX-запись которого указывает на А-запись, и эта запись уже указывает на ваш белый ip
  • соответсвенно белый ip (реальник)
  • PTR-запись в обратной зоне для вашего ip, которая бы указывала на ту же самую А-запись вашего домена (выпрашивается у провайдера, у меня удалось с Зх звонков)
  • ваш MTA представляется в HELO\EHLO своим FQDN
  • ТХТ-запись для вашего домена, которая используя SPF сообщает, что от имени этого домена почту могут слать такие-то хосты, желательно указать жестко, включив на всякий случай релей провайдера =) Например:
    «v=spfl ipv4:yyy.y.yyy.yy ipv4:xxx.xx.xxx.xx —all»

  • ваш MTA позволяет произвести callout. тоесть до этапа DATA не обрывает SMTP-сессию от пустого сендера (< >). при этом естественно если получателя в локальных доменах нет — нужно сказать 550 unroutable address
  • MTA знает свои локальные домены и позволяет релеить снаружи только на них
  • ваш MTA не доставляет сообщения от хостов снаружи, которые в HELO используют:

1. ip-адрес
2. одни цифры
3. ни одной точки
4. их HELO— не их FQDN, тоесть не соответсвует PTR для их ip-адреса
5. их ip — не ip адрес указанного в HELO домена


В общем неплохой такой список, последний пункт замечательно помогает бороться со спамом, поскольку спам рассылают зараженные тачки, и у них не может быть FQDN =) это правило отсеивает всех спамботов =) я в общем проверку PTR применяю только для начисления очков письму для возможного последующего греилистинга и использования задержек =)

NB: после всех этих проверок, задержек и греилистинга, остаются настроенные в соответсвии со всеми правилами почтовые сервера, которые шлют СПАМ!

Это было для меня ударом =) в общем я решил посмотреть, есть ли ip-адреса этих MTA в dnsbl. в общем почти все листились в sbl.spamhaus.org bl.spamcop.net cbl.abuseat.org, так что их я и добавил.
Сейчас пользователям разок другой приходит спам

ПС: пока настраивал проверку sender`а на своем MTA, трижды умудрился сломать правило =\ народ, будьте всегда внимательны и будет Вам счастье!

p.s.:Статья была сохранена на бумажном носителе с незапамятных времен.




Вас также может заинтересовать:

802.11ac: что нам нужно знать о новом стандарте Wi-Fi
Зачем нужно и как можно учиться быстро печатать вслепую
Западает дверь на автомобиле? Нужно исправить? - Спроси меня как!