Погуглил - на опеннете нашел ответ, оказывается нужен был 25-й (smtp вроде ж отправкой а не приемом занимается, почему не 110/143/993/995-й порт???

Что для тебя приём, то для удалённого сервера - отправка ;) Для того, чтобы отправить почту на yandex.ru, почтовый сервер ищет MX записи в домене yandex.ru ( см. dig -t MX yandex.ru ) и подключается к ним на 25 порт. Если записей несколько - подключается к тому у кого приоритет выше.

465 порт ( smtp + ssl ) используют твои клиенты, чтобы пароль не светить. Что за 578 - вообще без понятия

Я не знаю, можно ли как-то заставить удалённый сервер использовать SSL, подозреваю что нет

110/993 и 143/995 будут использовать твои почтовые клиенты, чтобы подключиться к твоему серверу и забрать с него почту.

1) Кто прикручивал spf - поделитесь записями.

@ IN TXT «v=spf1 +mx -all»

Читай RFC, он рулит. Если не знаешь английского, у гугла есть статьи по spf, в т.ч. на хабре.

Вопросы 2, 3 - нет

Перечитал инфу о нем, и мне не совсем понятно, как просисходит проверка a и mx - что оно проверяет?

Проверяется, имеет ли удалённый сервер ( ip, hostname ), право отправлять письма от имени указанного домена ( который удалённый сервер указал в smtp командах «mail from» и «helo»/«ehlo». )

К DNS делается запрос на TXT запись ( тебе хотят присунуть письмо «с яндекса». Ты проверяешь dig -t TXT yandex.ru и по очереди сравниваешь правила с адресом удалённого сервера ). В этой записи перечислено, кто имет право отправлять письма ( например, +mx, +a, +77.88.46.0/23 ), кто конечно может, но лучше бы его проверить в хвост и в гриву ( например, ~all ), а кто не имеет такого права и однозначно грязный спамер ( например, -all ).

587-й это еще один из порт для SMTP, без SSL. MX запись настроена верно, она один, поэтому приоритет настраивать не нужно. Хм, я немного по другому представлял работу SMTP, ну да ладно:-)

RFC почитаю, потому как я понимаю в современных реалиях без spf почтовому серверу делать нечего. Кстати, стоит ли подключать инклудом к примеру _spf.google.com?

Проверяется, имеет ли удалённый сервер ( ip, hostname ), право отправлять письма от имени указанного домена ( который удалённый сервер указал в smtp командах «mail from» и «helo»/«ehlo». )

Вот теперь более-менее ясно. В принципе мои догадки были верны)

Хм, я немного по другому представлял работу SMTP, ну да ладно:-)

Гугли на предмет проверки протокола через telnet ( для ssl - openssl s_client ), читай описание протокола ( rfc ). Пример для чистого smtp:

$ telnet name.your.mail.server 25
Trying 1.2.3.4
Connected to 1.2.3.4
Escape character is '^]'.
220 *******************************
helo localhost
250 name.your.mail.server
mail from: <sender@your.mail.server>
250 2.1.0 Ok
rcpt to: <recipient@your.mail.server>
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
subject: test, please ignore
.
250 2.0.0 Ok: queued as 042FB12A6F5
quit
221 2.0.0 Bye
Connection closed by foreign host.

Кстати, стоит ли подключать инклудом к примеру _spf.google.com?

Да. Разумеется, почтовый сервер делает это за тебя. Вручную это нужно делать только для отладки.

telnet`ом оно у меня подключается, так что все нормально. Вопрос по smtp в принципе снят, остается вопрос по блокировке нежелательных гостей.

Кстати, как я понимаю - эта статья на швабре про spf? если оно, пусть будет в топике, может кому-то пригодится.

Кроме SPF можно еще настроить DKIM. Сам сейчас с ним разбираюсь правда :)

Как я понял DKIM вовсе необязательно иметь, у гугля один spf, да и у многих других гигантов тоже только spf.

Да, необязательно. Но к примеру yandex вроде как проверяет DKIM-записи и если все верно настроено, то это еще один плюс к уверенности, что отправленное адресату письмо таки не попадет в спам.

# dig yandex.ru TXT

; <<>> DiG 9.9.2 <<>> yandex.ru TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56495
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;yandex.ru.                     IN      TXT

;; ANSWER SECTION:
yandex.ru.              3600    IN      TXT     "mailru-verification: 530c425b1458283e"
yandex.ru.              3600    IN      TXT     "v=spf1 redirect=_spf.yandex.ru"

;; AUTHORITY SECTION:
yandex.ru.              332553  IN      NS      ns1.yandex.ru.
yandex.ru.              332553  IN      NS      ns2.yandex.ru.

;; ADDITIONAL SECTION:
ns1.yandex.ru.          332553  IN      A       213.180.193.1
ns1.yandex.ru.          1355    IN      AAAA    2a02:6b8::1
ns2.yandex.ru.          332553  IN      A       93.158.134.1
ns2.yandex.ru.          1355    IN      AAAA    2a02:6b8:0:1::1

;; Query time: 26 msec
;; SERVER: 188.230.119.19#53(188.230.119.19)
;; WHEN: Fri May  3 22:37:26 2013
;; MSG SIZE  rcvd: 255

Таки да. Ну я для начала SPF прикрутил, а там видно будет:-)

587 это порт MSA (mail submission agent), используется как правило если сервер принявший письмо не занимается отправкой писем. Например, веб-сайт сгенерировал письмо и потом оно пересылается на почтовый сервер через 587 для которого нет проверки спама и обязательна авторизация либо ограничен диапазон адресов.

О, спасибо за разъяснение

Наверное, чтобы мало не казалось, прикручу еще и dkim.

Кстати, чтобы по нормальному прописать все записи для dns, в том числе PTR - перерыл пол инета в поисках бесплатного праймари NS (руководству это не нужно, оно не понимает зачем это) с поддержкой PTR и SPF (как запись, а не как TXT) - https://dns.he.net/ - фряшная хостилка доменов, причем такая экзотика как LOC есть.

Как я понял DKIM вовсе необязательно иметь, у гугля один spf,
да и у многих других гигантов тоже только spf.

Да и SPF не обязательно, если уж так. Вообще, излишне сложные и неправильные технологии. Одна правильная намечалась, MTA Mark, но из драфта не вылезла.

Кстати, чтобы по нормальному прописать все записи для dns, в том числе PTR

Чтобы PTR прописать, нужно иметь у себя обратную зону для /24. А она у провайдера, если у тебя не /24, конечно, взято. Есть механизмы выдать на клиентский DNS возможность писать PTR, но без провайдера, всё равно, это не сделать.

PTR мне прописал провайдер по заявке. Прикрутишь DKIM - дай знать как сделал :)

Если это динамический диапазон то велика вероятность того что диапазон заблокирован spamhaus, и нормально почту принимать будут только крупные почтовые сервисы, а всякие мелкие конторки будут отбрасывать на этапе соединения.

Делал по этому мануалу, пакет в Wheezy правда называется opendkim-tools.

Т.е. нужно иметь доступ ко всей /24 подсети, я верно понял? Если да, то нам как раз выдали всю /24 подсеть с белыми айпишниками.

Проверил свой домен на spamhaus.org:

<my_ip> is not listed in the SBL
<my_ip> is not listed in the PBL
<my_ip> is not listed in the XBL

Ok, но у меня postfix вместо exim. Ладно, попытаюсь разобраться. Думаю суть одна и та же.

Да в принципе не суть важно. генерится ключик, с ним и работаешь. У меня уже кстати частично обновилась доменная зона, DKIM уже прописан в ней.

Генерацию ключа сделал. Похоже, что я неправильно его прописываю в TXT-записи. Проверяю здесь и в ответ получаю:

DNS QUERY: dkim._domainkey.mycooldomen.ua
QUERY STATUS: Unable to extract public key data from DNS TXT record. Tip: This tool is looking for the DKIM tag pattern 'p=' to match.
TXT RECORD:
dkim._domainkey.mycooldomen.ua. 3600	IN	TXT	"v=DKIM1"

dkim._domainkey .mycooldomen.ua TXT v=DKIM1; p=0GCS....jdnjRLS....
domainkey .mycooldomen.ua TXT       o=~

А у тебя почтовик называется dkim.mycooldomain.ua ?

Насколько я знаю, при генерации нужно было указывать имя хоста.

Например, если в домене указан MX mail.mycooldomain.ua, то создавать ключ надо было как-то так:

dkim-genkey -d mycooldomain.ua -s mail -r

Нет, dkim - это селектор. Почтовик mail.mycooldomain.ua (MX-запись имеется). Ключ сгенерирован для хоста mycooldomain.ua, да.

# amavisd-new showkeys mycooldomain.ua
; key#1, domain mycooldomain.ua, /var/lib/dkim/mycooldomain.ua.pem
dkim._domainkey.mycooldomain.ua.      3600 TXT (
  "v=DKIM1; p=<тут_ключ>)

# amavisd-new testkeys
TESTING#1: dkim._domainkey.mycooldomain.ua         => invalid (public key: missing p= tag)

Ок, подзабыл уже за полгода. Тогда такой вопрос: ты именно так в DNS внёс?

Судя по всему ключ не виден. В dns сделал такую запись:

dkim._domainkey .mycooldomen.ua TXT v=DKIM1; p=0GCS....jdnjRLS....

Если да, то это опечатка. Должно быть что-то вроде

dkim._domainkey.mycooldomen.ua. IN TXT v=DKIM1; p=0GCS....jdnjRLS....

или

dkim._domainkey IN TXT v=DKIM1; p=0GCS....jdnjRLS....

Обрати внимание на отсутствие пробела, точку после FQDN и слово IN. Проверка:

dig -t TXT dkim._domainkey.mycooldomen.ua.

Там пробела нет. В общем выглядит это примерно так (только вместо mycoold.ua/mycooldomen.ua естественно настоящий домен там :))

Проверка:

$ dig -t TXT dkim._domainkey.mycooldomen.ua

; <<>> DiG 9.8.1-P1 <<>> -t TXT dkim._domainkey.mycooldomen.ua
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44174
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;dkim._domainkey.mycooldomen.ua.     IN      TXT

;; ANSWER SECTION:
dkim._domainkey.mycooldomen.ua. 3600 IN      TXT     "v=DKIM1"

;; AUTHORITY SECTION:
mycooldomen.ua.              3202    IN      NS      ns3.citydomain.com.ua.
mycooldomen.ua.              3202    IN      NS      ns1.citydomain.com.ua.

;; ADDITIONAL SECTION:
ns3.citydomain.com.ua.  1703    IN      A       77.*.*.*
ns1.citydomain.com.ua.  1703    IN      A       77.*.*.*

;; Query time: 9 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Sat May  4 13:03:18 2013
;; MSG SIZE  rcvd: 146

У меня 2 года работало, а потом внезапно перестало, и решение было только одно покупать IP адреса и оформлять.

Если да, то нам как раз выдали всю /24 подсеть с белыми айпишниками.

Богато, по нынешним меркам. :-)

Но надо не доступ иметь, а зону к себе забрать. Опять нужен провайдер, точнее, LIR, который сеть выдал, или RIR, если это PI-блок. Далее, если, скажем, сеть A.B.C.0/24, то надо на подконтрольные себе DNS забирать зону C.B.A.in-addr.arpa.

Что, сейчас, показывает whois C.B.A.in-addr.arpa -h whois.ripe.net ? Это если речь про Европу. Например:

$ whois 0.87.194.in-addr.arpa -h whois.ripe.net

domain: 0.87.194.in-addr.arpa
descr: Demos Internet network
admin-c: DNOC1-RIPE
tech-c: DNOC1-RIPE
zone-c: DNOC1-RIPE
nserver: ns.demos.ru
nserver: ns1.demos.net
mnt-by: AS2578-MNT
source: RIPE # Filtered

И вот эти записи nserver надо, чтобы переписали на подконтрольные NS. Ну и зону там описать, соответственно.

Кривой веб-интерфейс, я бы обратился в техподдержку.

Разве что попробуй сразу в кавычках добавлять.

Богато, по нынешним меркам. :-)

Что дали, то дали, я не жалуюсь:-)

Я приблизительно понял, что ты имеешь ввиду. В любом случае это нужно связываться с админами провайдера, и общаться.

Да, кстати - кто блочил hotmail.com? я так понимаю там целый рассадник спама и малвари?

перерыл пол инета в поисках бесплатного праймари NS

а что мешает поднять named на том же хосте, где почтовик поднят?

вопрос по блокировке нежелательных гостей

если ваша фирма не имеет дел с китайцами, то легко гуглятся списки китайских и прочих неблагополучных подсетей для фаервола.

а что мешает поднять named на том же хосте, где почтовик поднят?

Можно в принципе, но я надеюсь, что со временем у меня будет доступ к нашей внутренней днс-ке - ее никто не админит:-)

легко гуглятся списки китайских и прочих неблагополучных подсетей для фаервола

Это можно сделать с помощью geoip + iptables, где-то видел статью

SPF check в exim

Сейчас кстати ковыряю прикручивание SPF-проверки в эксиме. В дебиане он собран без поддержки SPF, но судя по exim.conf.template можно прикрутить:

  # Use spfquery to perform a pair of SPF checks (for details, see
  # http://www.openspf.org/)
  #
  # This is quite costly in terms of DNS lookups (~6 lookups per mail).  Do not
  # enable if that's an issue.  Also note that if you enable this, you must
  # install "spf-tools-perl" which provides the spfquery command.
  # Missing spf-tools-perl will trigger the "Unexpected error in
  # SPF check" warning.
  .ifdef CHECK_RCPT_SPF
  deny
    message = [SPF] $sender_host_address is not allowed to send mail from \
              ${if def:sender_address_domain {$sender_address_domain}{$sender_helo_name}}.  \
              Please see \
              http://www.openspf.org/Why?scope=${if def:sender_address_domain \
              {mfrom}{helo}};identity=${if def:sender_address_domain \
              {$sender_address}{$sender_helo_name}};ip=$sender_host_address
    log_message = SPF check failed.
    !acl = acl_local_deny_exceptions
    condition = ${run{/usr/bin/spfquery.mail-spf-perl --ip \
                   ${quote:$sender_host_address} --identity \
                   ${if def:sender_address_domain \
                       {--scope mfrom  --identity ${quote:$sender_address}}\
                       {--scope helo --identity ${quote:$sender_helo_name}}}}\
                   {no}{${if eq {$runrc}{1}{yes}{no}}}}

  defer
    message = Temporary DNS error while checking SPF record.  Try again later.
    !acl = acl_local_deny_exceptions
    condition = ${if eq {$runrc}{5}{yes}{no}}

  warn
    condition = ${if <={$runrc}{6}{yes}{no}}
    add_header = Received-SPF: ${if eq {$runrc}{0}{pass}\
                                {${if eq {$runrc}{2}{softfail}\
                                 {${if eq {$runrc}{3}{neutral}\
                                  {${if eq {$runrc}{4}{permerror}\
                                   {${if eq {$runrc}{6}{none}{error}}}}}}}}}\
                                } client-ip=$sender_host_address; \
                                ${if def:sender_address_domain \
                                   {envelope-from=${sender_address}; }{}}\
                                helo=$sender_helo_name

  warn
    log_message = Unexpected error in SPF check.
    condition = ${if >{$runrc}{6}{yes}{no}}
  .endif

@ IN TXT «v=spf1 +mx -all»

А если почтовых доменов несколько, то для каждого нужна MX-запись в dns? Сейчас пока прописал для гугла вот так: v=spf1 include:_spf.google.com ~all (только так проходит проверку без ошибок). Пробовал как в цитате, но ругается на mx-запись. Слегка запутался уже с этими днс-записями для антиспам фильтров.

Да, для каждого своя MX запись, а еще и приоритет. Сейчас ковыряю spf вот, у меня просто конфиг с «рейтинговым попаданием в спам», вот переделываю вот это. Самое главное, что оно работает:

# /usr/bin/spfquery.mail-spf-perl --ip 81.19.67.58 --identity rambler.ru
pass
rambler.ru: 81.19.67.58 is authorized to use 'rambler.ru' in 'mfrom' identity (mechanism 'ip4:81.19.66.0/23' matched)
rambler.ru: 81.19.67.58 is authorized to use 'rambler.ru' in 'mfrom' identity (mechanism 'ip4:81.19.66.0/23' matched)
Received-SPF: pass (rambler.ru: 81.19.67.58 is authorized to use 'rambler.ru' in 'mfrom' identity (mechanism 'ip4:81.19.66.0/23' matched)) receiver=mirkwood-nat-nulau; identity=mailfrom; envelope-from=rambler.ru; client-ip=81.19.67.58

А вот один из спамеров:

# /usr/bin/spfquery.mail-spf-perl --ip 62.13.225.47 --identity mundivia.es
none
mundivia.es: No applicable sender policy available
mundivia.es: No applicable sender policy available
Received-SPF: none (mundivia.es: No applicable sender policy available) receiver=mirkwood-nat-nulau; identity=mailfrom; envelope-from=mundivia.es; client-ip=62.13.225.47

правда пока это только ручками. Хочу посмотреть, как экзим отработает.

У меня почему-то отправка на гуглоящики идет напрямую в спам. Уже прописал spf как сказано у них в техподдержке - толку нет. Ничего не понимаю.

У меня в профиле джаббер. Напиши, сейчас потестим:-)

Прикрутил я таки этот SPF к своему счетчику. Знатоки, поправьте, если накосячил:

.ifdef CHECK_RCPT_SPF
warn    !authenticated = *
        hosts = !+relay_from_hosts
        condition = ${run{/usr/bin/spfquery.mail-spf-perl --ip \
            ${quote:$sender_host_address} --identity \
            ${if def:sender_address_domain \
            {--scope mfrom  --identity ${quote:$sender_address}}\
            {--scope helo --identity ${quote:$sender_helo_name}}}}\
            {no}{${if eq {$runrc}{1}{yes}{no}\
            {${if eq {$runrc}{6}{yes}{no}}}}}}
        log_message = SPF check failed
        set acl_m0   = ${eval:$acl_m0+150}

warn    !authenticated = *
        hosts = !+relay_from_hosts
        condition = ${if eq {$runrc}{2}{yes}{no}\
            {${if eq {$runrc}{3}{yes}{no}\
            {${if eq {$runrc}{4}{yes}{no}\
            {${if eq {$runrc}{5}{yes}{no}}}}}}}}
        log_message = SPF information not valid
        set acl_m0   = ${eval:$acl_m0+45}

warn    !authenticated = *
        hosts = !+relay_from_hosts
        condition = ${if >{$runrc}{6}{yes}{no}}
        log_message = Unexpected error in SPF check.
        set acl_m0   = ${eval:$acl_m0+60}
.endif

Разобрался я уже с DKIM. Теперь гугл с яндексом одобряют подписи с домена.

И в чем трабл был?

А я прикрутил таки SPF... Но не справился с потоком спама. Домен походу раскрученый, и одними ACL`ками много не нарежешь. Отказался практически полностью, оставив самые-самые, для совсем топорных спамеров и прикрутил Spamassassin. Делал чуть ли не в режиме нон-стоп, благо еще праздники, и еще не все переехали на новую почту.

Сгенерировал ключ для каждого своего домена, добавил ключи в конфиг amavis, сделал правильную запись в dns. Пример:

dkim._domainkey IN TXT v=DKIM1\; p=ключ\; s=email\; t=s:y
domainkey IN TXT o=-

Даже несмотря на:

spf=pass

dkim=pass

permitted sender

Неадекватные какие-то эти гугловские спам-фильтры.

А с PTR-записью все ок? Мне еще не прописали правда ее...

$ host 78.*.*.*
*.*.*.78.in-addr.arpa domain name pointer mail.domen.com.ua.
$ host mail.domen.com.ua
mail.domen.com.ua has address 78.*.*.*
mail.domen.com.ua mail is handled by 20 mail.domen.com.ua.

Единственное, что заметил один warning в логе mail.log:

warning: hostname mail.domen.com.ua does not resolve to address 78.*.*.*

Я даже не подскажу. Только вопрос - оно ж вроде должно обратным резолвом возвращать сам домен, без mail.

В техподдержке провайдера сказали, что PTR делается для почтовика, т.е. в моем случае mail.domen.com.ua. У меня судя по всему была ошибка в MX записи, поправил и сейчас жду обновления dns. Надеюсь в этот раз заработает как положено.

В итоге письма опять в спаме (facepalm). Не вижу другого выхода как только писать в поддержку гугл. Пускай они со своими фильтрами разбираются сами или хотя бы укажут на причину такого поведения.

Если ответят - кинь сюда, что они напишут.