Перенос почты с Яндекса на сервер Synology
Всем привет.
Давненько не было публикаций. Но это не потому, что ничего не происходит, а потому, что я не могу найти нормальный офф-лайн редактор для публикаций на MacOS. Если кто-то знает что-то подобное Open Live Writer для Мас, — отпишитесь в комментариях.
А сегодня речь пойдет о почте. Очевидно, бесплатные сервисы в облаках заканчиваются навсегда. Яндекс создал прецедент, остальные подтянутся. Поэтому я решил вернуться к идее запуска собственного почтового сервера на базе Mail Server от Synology.
В статье я не буду разжевывать назначение и смысл той или иной записи DNS. Нужно просто сделать так, как написано здесь, и все будет работать правильно.
Предполагается, что домен уже приобретен и делегирован на DNS Яндекса, c него и переносится почта на собственный сервер Synology.
Имя домена domen.ru, mail.domen.ru и ip 1.1.1.1 использованы исключительно в качестве примера.
Для адреса mail.domen.ru необходима PTR — запись. Сделать ее может только провайдер, у которого куплен ip адрес 1.1.1.1, без этой записи дальнейшие телодвижения не имеют смысла. Для mail.domen.ru полезно сгенерировать сертификат. Это можно сделать в настройках Synology на вкладке «Безопасность».
Итак, начнем.
Установка пакета Mail Server трудностей не вызывает, приведу пример конфигурирования.
Вкладка SMTP.
Имя SMTP-хоста. Здесь задается имя smtp сервера. У меня это mail.domen.ru. Обратите внимание, здесь именно имя SMTP сервера, которое он будет отдавать в HELO. Если вписать сюда имя домена domen.ru, то в HELO будет отдаваться имя домена, что не совсем правильно, многие другие серверы могут счесть это ошибкой. В итоге ваша почта может начать помечаться как спам, а со временем домен или ip адрес попадет в блэк-листы. Чтобы указать, что smtp сервер обслуживает домен domen.ru, нужно нажать кнопку «Дополнительный домен», и сюда вписать имя домена domen.ru. Можно добавить и другие домены, для которых созданный сервер будет принимать почту и передавать почту от их имени. Опция “Имя отправителя и имя входа должны совпадать” значит, что авторизоваться на сервере сможет только зарегистрированный пользователь synology. Остальные опции и так понятны.
На вкладке «Проверка подлинности» нужно включить SPF, DMARC, и сгенерировать ключ DKIM, он понадобится чуть позже.
Дальше нужно открыть на Яндексе панель управления доменом. Здесь нужно изменить некоторые записи и создать новые. Домен, для которого настраивается почта, имеет имя domen.ru и ip адрес 1.1.1.1, о чем в DNS существует запись вида:
| Тип | Хост | Значение | TTL |
| A | @ | 1.1.1.1 | 21600 |
Для того, чтобы почта работала правильно, нужно создать поддомен с именем mail.domen.ru. Для этого необходимо добавить соответствующую А-запись:
| Тип | Хост | Значение | TTL |
| A | 1.1.1.1 | 21600 |
Затем потребуется изменить уже существующую запись МХ, заменив значение на имя нашего почтового сервера. Эта запись указывает как зовут сервер, который будет обрабатывать почту:
| Тип | Хост | Значение | TTL |
| МХ | @ | mail.domen.ru. приоритет 10 | 21600 |
Понадобится изменить запись SPF следующим образом:
| Тип | Хост | Значение | TTL |
| TXT | @ | v=spf1 +mx +a -all | 21600 |
Записи DMARC среди записей ДНС Яндекса не перечислено, нужно создать новую:
| Тип | Хост | Значение | TTL |
| TXT | _dmarc | v=DMARC1; p=quarantine | 21600 |
Нужно изменить имеющийся в записи DKIM ключ на тот, который сгенерирован ранее в панели управления MailServer:
| Тип | Хост | Значение | TTL |
| TXT | mail._domainkey | v=DKIM1; k=rsa; t=s; p=ключ, который сгенерирован Mail Server | 21600 |
Осталось только подождать несколько часов, пока серверы DNS обменяются обновленными записями и сервер будет готов принимать и отправлять почту. Дополнительные настройки антиспама, антивируса и прочего доступно описаны в справке пакета Mail Server, которые полезно читать внимательно. Некоторые настройки рекомендованы для систем, с объемом памяти больше 2 гигабайт. Надо признать, что справочная информация по пакету очень скудна и не дает полноценного понимания принципов работы той или иной опции, приходится разбираться самому. Если разберусь, – напишу отдельный пост позже.
UPDATE:
Дополнительная информация, касающаяся включенного на Synology MailServer DMARC!
Внезапно выяснилось, что очень многие домены либо не содержат в DNS записи SPF или DKIM, либо имеют ошибки в этих записях или ключах DKIM.
Это приводит к тому, что MailServer, пытаясь проверить подлинность отправителя с использованием DMARC, получает в ответ информацию об ошибках проверки подлинности и не пропускает входящую почту. Это очень здорово снижает количество спама, но и нужные письма могут не проходить.
Если со включенным DMARC к вам не доходит почта, попробуйте выключить эту опцию в настройках проверки подлинности на вкладке “Безопасность”.
