Перенос почты с Яндекса на сервер Synology

Всем привет.

Давненько не было публикаций. Но это не потому, что ничего не происходит, а потому, что я не могу найти нормальный офф-лайн редактор для публикаций на MacOS. Если кто-то знает что-то подобное Open Live Writer для Мас, — отпишитесь в комментариях.

А сегодня речь пойдет о почте. Очевидно, бесплатные сервисы в облаках заканчиваются навсегда. Яндекс создал прецедент, остальные подтянутся. Поэтому я решил вернуться к идее запуска собственного почтового сервера на базе Mail Server от Synology.

В статье я не буду разжевывать назначение и смысл той или иной записи DNS. Нужно просто сделать так, как написано здесь, и все будет работать правильно.

Предполагается, что домен уже приобретен и делегирован на DNS Яндекса, c него и переносится почта на собственный сервер Synology.

Имя домена domen.ru, mail.domen.ru и ip 1.1.1.1  использованы исключительно в качестве примера.

Для адреса mail.domen.ru необходима PTR — запись. Сделать ее может только провайдер, у которого куплен ip адрес 1.1.1.1, без этой записи дальнейшие телодвижения не имеют смысла. Для mail.domen.ru полезно сгенерировать сертификат. Это можно сделать в настройках Synology на вкладке «Безопасность».

Итак, начнем.

Установка пакета Mail Server трудностей не вызывает, приведу пример конфигурирования.

Вкладка SMTP.

Имя SMTP-хоста. Здесь задается имя smtp сервера. У меня это mail.domen.ru. Обратите внимание, здесь именно имя SMTP сервера, которое он будет отдавать в HELO. Если вписать сюда имя домена domen.ru, то в HELO будет отдаваться имя домена, что не совсем правильно, многие другие серверы могут счесть это ошибкой. В итоге ваша почта может начать помечаться как спам, а со временем домен или ip адрес попадет в блэк-листы. Чтобы указать, что smtp сервер обслуживает домен domen.ru, нужно нажать кнопку «Дополнительный домен», и сюда вписать имя домена domen.ru. Можно добавить и другие домены, для которых созданный сервер будет принимать почту и передавать почту от их имени. Опция “Имя отправителя и имя входа должны совпадать” значит, что авторизоваться на сервере сможет только зарегистрированный пользователь synology. Остальные опции и так понятны.

smtp

На вкладке «Проверка подлинности» нужно включить SPF, DMARC, и сгенерировать ключ DKIM, он понадобится чуть позже.

Снимок экрана 2022-12-25 в 16.44.43

Дальше нужно открыть на Яндексе панель управления доменом. Здесь нужно изменить некоторые записи и создать новые. Домен, для которого настраивается почта, имеет имя domen.ru и ip адрес 1.1.1.1, о чем в DNS существует запись вида:

Тип Хост Значение TTL
A @ 1.1.1.1 21600

Для того, чтобы почта работала правильно, нужно создать поддомен с именем mail.domen.ru.  Для этого необходимо добавить соответствующую А-запись:

Тип Хост Значение TTL
A mail 1.1.1.1 21600

Затем потребуется изменить уже существующую запись МХ, заменив значение на имя нашего почтового сервера. Эта запись указывает как зовут сервер, который будет обрабатывать почту:

Тип Хост Значение TTL
МХ @ mail.domen.ru. приоритет 10 21600

Понадобится изменить запись SPF следующим образом:

Тип Хост Значение TTL
TXT @ v=spf1 +mx +a -all 21600

Записи DMARC среди записей ДНС Яндекса не перечислено, нужно создать новую:

Тип Хост Значение TTL
TXT _dmarc v=DMARC1; p=quarantine 21600

Нужно изменить имеющийся в записи DKIM ключ на тот, который сгенерирован ранее в панели управления MailServer:

Тип Хост Значение TTL
TXT mail._domainkey v=DKIM1; k=rsa; t=s; p=ключ, который сгенерирован Mail Server 21600

Осталось только подождать несколько часов, пока серверы DNS обменяются обновленными записями и сервер будет готов принимать и отправлять почту. Дополнительные настройки антиспама, антивируса и прочего доступно описаны в справке пакета Mail Server, которые полезно читать внимательно. Некоторые настройки рекомендованы для систем, с объемом памяти больше 2 гигабайт. Надо признать, что справочная информация по пакету очень скудна и не дает полноценного понимания принципов работы той или иной опции, приходится разбираться самому. Если разберусь, – напишу отдельный пост позже.

UPDATE:

Дополнительная информация, касающаяся включенного на Synology MailServer DMARC!

Внезапно выяснилось, что очень многие домены либо не содержат в DNS записи SPF или DKIM, либо имеют ошибки в этих записях или ключах DKIM.

Это приводит к тому, что MailServer, пытаясь проверить подлинность отправителя с использованием DMARC, получает в ответ информацию об ошибках проверки подлинности и не пропускает входящую почту. Это очень здорово снижает количество спама, но и нужные письма могут не проходить.

Если со включенным DMARC к вам не доходит почта, попробуйте выключить эту опцию в настройках проверки подлинности на вкладке “Безопасность”.