Для введения в эксплуатацию почтового сервера установка и настройка ПО это всего лишь первый этап из множества того, что предстоит сделать еще, чтобы почтовый сервер предприятия успешно взаимодействовал с другими почтовыми серверами
TLS
На сегодняшний день для обмена информацией требуется шифрование. Почта не исключение. Внедрение TLS повышает уровень доверия к серверу и значительно усложняет возможность MITM-атаки. Для реализации технологии необходимо сгенерировать для домена ключ и сертификат. Будет это от LetsEncrypt или платного поставщика — без разницы. Администратору необходимо вовремя обновлять сертификат
DNS
Минимально необходимые записи в зоне домена: A, MX, PTR. Первые две настраиваем сами, третья — просим своего провайдера внести изменения в обратную зону
Когда DNS настроен, проходим FCrDNS-тест. На первом этапе теста выполняется обратное преобразование ip→name. На втором этапе для полученного имени выполняется прямое преобразование name→ip. Результаты сравниваются name↔name, ip↔ip. Если все совпадает, шансы не попасть в блеклисты для отправителя увеличиваются в разы
SPF
Позволяет указать IP-адреса серверов, которые уполномочены отправлять почту от имени домена. Политика настраивается как TXT-запись в DNS
DKIM
Техгология защищает исходящее сообщение от изменений путем добавления DKIM-подписи в заголовки письма. Отправляющая сторона настраивает OpenDKIM и вносит необходимые TXT-записи в DNS. Принимающая сторона может определить были или нет изменения в хидерах и теле письма
DMARC
Стандарт определяет, что делать с подозрительными письмами, которые не прошли проверку SPF и/или DKIM. Настраивается как TXT-запись в DNS. Администратор может получать отчеты о проверках и анализировать их при помощи сторонних сервисов
ARC
Сохраняет результаты проверки SPF/DKIM на форвардерах электронной почты (случай переадресации на другой адрес) добавляя в хидер сообщения ARC-заголовки. Таким образом, даже если проверка SPF/DKIM на принимающей стороне завершится неудачей, то сообщение попадет адресату, поскольку изначально прошло проверку на форвардере. Внедрить ARC можно при помощи authentication_milter или использовать коммерческие решения
MTA-STS
Технология обеспечивает принудительную безопасную передачу электронных писем через зашифрованное SMTP-соединение. Для реализации механизма принимающая сторона вносит необходимые TXT-записи в DNS и публикует политику для каждого домена на HTTPS-сервере. Отправляющая сторона, поддерживающая MTA-STS читатет политику принимающего домена и действует сообразно с ней. Это для случая входящей в домен почты
Для исходящей из домена почты реализация стандарта возможна для postfix при помощи postfix-mta-sts-resolver
TLS-RPT
Сообщает о проблемах с доставкой из-за сбоев в шифровании TLS для писем, отправленных из домена с поддержкой MTA-STS. Настраивается как TXT-запись в DNS. Администратор получит отчет в формате JSON
Другие факторы влияющие на эффективность доставки
И даже правильно настроеный DNS, внедренные TLS, SPF, DKIM, DMARC (эти обязательно) и другие технологии не гарантируют, что ваше письмо не залетит в спам получателя
Многие ESP рекомендуют рассылать сообщения разных типов с разных From используя разные IP-адреса. Иначе говоря, если счета клиентам уходят с bill@domain.tld — адрес x.x.x.1/24, то информационные сообщения должны уходить с адреса info@domain.tld — адрес x.x.x.2/24. Примеры из жизни:
- маршрутизация почты на основе Message-ID
- рассылка с разных IP-адресов
- к чему приводит рассылка по холодной базе
List-Unsubscribe в хидерах, возможность отписаться от рассылки в один клик, содержимое письма, его верстка и реакция получателя:
- прочитал письмо
- не читал, но оставил
- удалил не глядя
- открыл и отправил в спам
- вытащил из спама
Уровень сообщений попавщих в спам не должен быть выше порогового — 0,3%
Отчет Google Postmaster за последние 30 дней
Все это в конечном результате кирпичики фундамента на котором стоит здание именуемое «удачная продажа». Но это уже зависит от компетенций других специалистов. А нам бы со своим разобраться 🙂
Системный администратор с 2000 года
Участник Freelancehunt, Хабр Q&A
Кейсы