Поштовий сервер для компанії - DNS, SPF, DKIM, DMARC

Практичний гід DataHouse.pl

Поштовий сервер для компанії: DNS, SPF, DKIM, DMARC і антиспам

Корпоративну пошту треба проєктувати як критичну послугу, а не лише як email-скриньки. Потрібно поєднати стабільний сервер, коректні DNS, MX, SPF, DKIM, DMARC, TLS, антиспам, антивірус, backup, моніторинг і процес міграції користувачів.

Архітектура пошти

Варто розділити поштові скриньки користувачів, SMTP, webmail, backup, антиспам, моніторинг і DNS. Для більших організацій важливі також Zimbra/groupware, календарі, спільні адресні книги та інтеграція з AD/LDAP.

DNS і доставлюваність

MX вказує сервер приймання пошти, SPF обмежує дозволених відправників, DKIM підписує повідомлення, а DMARC визначає, що робити з поштою поза політикою домену. Помилка в одному записі може зупинити доставку.

Антиспам і антивірус

Захист пошти має поєднувати репутацію IP, фільтри вмісту, сканування вкладень, списки RBL, greylisting, політики користувачів і моніторинг черг. Скринька без фільтрів швидко стає операційним ризиком.

Міграція і безперервність

Перед перенесенням пошти треба знизити TTL, описати облікові записи, аліаси, списки, переадресації, архіви, підписи DKIM і правила антиспаму. Після міграції найважливіші черги, логи, TLS і тести доставлюваності.

Елементи безпечного поштового сервера

Маршрутизація пошти

Показує, які сервери приймають пошту для домену. Під час міграції важливі пріоритети, TTL і готовність нового сервера перед перемиканням.

SPF

Дозволені відправники

Обмежує IP-адреси і сервіси, які можуть надсилати пошту від імені домену. Занадто широкий SPF послаблює захист, а занадто вузький блокує легальну відправку.

DKIM

Підпис повідомлення

Додає криптографічний підпис повідомлення. Одержувач може перевірити, чи зміст не був змінений і чи публічний ключ у DNS відповідає підпису.

DMARC

Політика домену

Поєднує SPF і DKIM з політикою домену: none, quarantine або reject. Звіти DMARC показують, хто надсилає пошту від імені домену.

TLS

Безпечний транспорт

Сертифікати і TLS допомагають захищати SMTP, IMAP, POP3 і webmail. Треба контролювати терміни дії та ланцюг сертифіката.

Backup

Безперервність роботи

Копії скриньок, конфігурації, ключів DKIM, списків, аліасів і правил антиспаму потрібні при аварії, помилці міграції або видаленні даних.

Послуги та інфраструктура

Діагностика домену

Пов'язані теми

Чек-лист перед запуском пошти

Описати облікові записи, аліаси, списки розсилки, переадресації, архіви, ліміти скриньок і правила антиспаму.
Підготувати записи MX, SPF, DKIM, DMARC, reverse DNS, TLS і сертифікати для SMTP, IMAP, POP3 та webmail.
Знизити TTL DNS перед міграцією і запланувати сервісне вікно з rollback для старого сервера.
Увімкнути антиспам, антивірус, моніторинг черг, backup скриньок і тест відновлення вибраних даних.
Після перемикання перевірити відправку, приймання, звіти DMARC, репутацію IP, логи, черги і звернення користувачів.

Найчастіші питання

З чого почати проєктування поштового сервера для компанії?

Почати треба з інвентаризації доменів, скриньок, аліасів, списків розсилки, архівів, вимог backup, інтеграції з AD/LDAP, політик антиспаму і відповідальності за адміністрування.

Які DNS-записи є найважливішими для пошти?

Ключові записи це MX, SPF, DKIM і DMARC. Варто також перевірити reverse DNS, TLS, DNSSEC там, де використовується, і коректну делегацію DNS.

Чи SPF, DKIM і DMARC реально впливають на доставлюваність?

Так. Вони допомагають одержувачам підтвердити джерело пошти і політику домену. Помилки в цих записах можуть спричинити відхилення або потрапляння повідомлень до spam.

Що перевірити перед міграцією пошти?

Потрібно знизити TTL, підготувати MX, SPF, DKIM, DMARC, TLS, backup, список скриньок, аліасів, фільтри, forwarding, тестову відправку, приймання і план rollback.

Чи DataHouse.pl може підтримувати корпоративну пошту?

Так. Пошту можна поєднати з серверами email, collaboration/Zimbra, Cloud Pro, VPS, адмініструванням, backup, моніторингом і діагностичними інструментами DNS та MX.