我只是第一次设置 dovecat 和 postfix,想知道为什么这么多公司对 IMAP 和 SMTP 使用子域名,如 smtp.mail.example.com 和 imap.mail.example.com?
有什么好处,或者只使用 example.com 也可以吗?
我之所以问这个问题,是因为有些大型电子邮件服务提供商拒绝向标准的自分配证书发送电子邮件,因此我显然必须使用受信任的 SSL 证书。使用没有通配符的 SSL 证书会更便宜。
那么使用子域名有什么好处呢?
答案1
使用类似mail.example.com或的域的主要原因smtp.example.com是能够在不影响主域上运行的其他服务的情况下移动它。只有计算机才应该查找 SMTP 服务器,并且将使用 MX 记录,example.com 您的用户可能需要在设置客户端时提供域,但许多(大多数?)会根据他们的[email protected]电子邮件地址正确猜测。
除极少数例外,只有垃圾邮件机器人会使用二级(example.com)域名,该域名几乎总是伪造的。少数使用类似域名的合法服务器example.com通常在其他几个方面也存在问题。使用二级域名可能会增加您发送的邮件的垃圾邮件分数。
专业管理员会使用专用子域名来提供邮件服务。在大多数情况下,这将是一个不反映运行该服务的服务器名称的子域名。
我在使用自签名证书的服务器上发送或接收 SMTP 邮件时没有遇到任何问题。连接站点已经根据您的 MX 记录知道它具有正确的站点。最近,我有几个服务器在 startTLS 命令上失败,但它们在没有 TLS 的情况下重新连接。我相信他们使用的是 SSLv3,并且因此而被拒绝,而不是 CA。对最近失败的审查表明,垃圾邮件机器人错误地断开连接并产生错误。我的电子邮件流量的很大一部分现在都是 TLS 加密的,并且来自我的自签名 CA 的证书没有问题。
使用受信任的证书是验证域内协作服务器的一种方式。但是,您可能希望限制签名域或使用私有(自签名)CA。还有其他情况,例如 VPN,您可能也会使用私有 CA。
您可能会遇到 Dovecot 的问题,但连接该服务的是您的用户。这不是一项供公众使用的服务。如果您生成了 CA 来签署证书,则可以将 CA 证书提供给您的用户,以便将其导入到他们的电子邮件客户端中。这将解决问题。
您现在可以免费获得签名证书。如果没有,让我们加密证书颁发机构应于今年秋季推出。(现已推出。)
答案2
只是为了纠正@Ram。
根据 RFC 规范,MX 记录不得指向“example.com”。这是完全错误的。您必须将 MX 记录指向您的“mail.example.com”记录,并将您的“mail.example.com”记录指向您的服务器 IP。
答案3
这取决于您的 MX 记录指向的位置。如果您的 MX 记录指向 example.com 而不是 mail.example.com,并且 example.com 解析为 IP 地址,则可以在该服务器上运行 SMTP。
它适用于个人或小型办公室设置,但较大的组织为每个功能配备了专门的服务器。
答案4
服务器应该有一个“完全合格的域名”(参见https://en.wikipedia.org/wiki/Fully_qualified_domain_name)。在您的示例中,仅将其称为“example.com”将是部分合格的,因为它是一个没有服务器名称的域名。
实际上,许多垃圾邮件过滤器对没有正确 FQDN 的任何服务器都持高度怀疑态度。即使是 123.123.123.123.example.com 形式的名称也可能将您列入黑名单,因为它显然是自动生成的,因此可能是用于避免垃圾邮件拦截过滤器的临时(虚拟)机器。
因此,您必须将其命名为 something.example.com,而人们使用“mail”来表示“something”的原因很简单,因为它容易记住且容易猜到。如果您在电子邮件客户端中创建电子邮件帐户,它有时会猜到这一点,从而省去了用户尝试找出服务器名称的麻烦。