假设我们有一个名为 的 SMTP 服务器alpha.example.com,它是 列出的唯一 MX 服务器example.com。
与大多数现代电子邮件 SMTP 服务器一样,拒绝不属于其虚拟用户组的电子邮件,拒绝来自 spamhaus 列出的域的传入电子邮件,通过 SpamAssassin 运行邮件,检查 SPF 记录,等等。
但是,由于这是 列出的唯一 MX 记录example.com,因此如果机器停机维护,电子邮件可能会延迟,这令人担忧。其他表现良好的 SMTP 服务器显然会排队,稍后重试,但这可能会导致数十分钟或数小时的延迟,即使主服务器在尝试投递时停机一小段时间。
我们希望启动一个辅助 SMTP 服务器,我们将其称为beta.example.com,它将被列为优先级较低的 MX 记录。但alpha.example.com仍然是存储所有邮件的地方,仍然是所有用户连接其 MUA 的地方。因此,beta.example.com只会将电子邮件存储并转发到alpha.example.com,因为它不是“端点”。
我的问题是:是否beta也需要对电子邮件进行与 ? 相同的检查,即检查虚拟用户、spamhaus、SPF 查找、DKIM 检查,或者在发送电子邮件时alpha检查这些内容是否足够alpha
此外,由于不太可能被列为电子邮件的有效发件人,beta因此转发电子邮件将违反这些电子邮件的 SPF 查找。alphabeta.example.comarbitary.org
从技术上讲,我使用 Postfix 进行 SMTP(并使用 Dovecot 进行身份验证/IMAP 端),以便能够找到答案。
答案1
让辅助服务器运行相同类型的检查不会花费任何成本,那么为什么不这样做呢?
其他一些原因:
- 您必须调整主服务器以正确处理来自辅助服务器的邮件,就像它们来自前一跳一样。您的 SPF 担忧是有效的,默认情况下会成为一个问题。假设过滤已经发生要简单得多。
- 大多数反垃圾邮件解决方案会在邮件完全传输之前拒绝某些邮件(例如,在 EHLO 消息之后或 TO 标头之后)。如果没有这些过滤器,您现在必须先接受这些邮件,然后在主服务器上完全处理它们。在某些司法管辖区,这甚至可能成为法律问题(例如,在某些地区,完全拒绝邮件是可以接受的,发件人也知道这一点,但先接受邮件,然后在进一步的过滤步骤中将其删除,而发件人却不知道这一点,这是不可以的)。
答案2
解析Authentication-Results备份 MX 并不是这里的真正问题。RFC 7601TrustedAuthServIDs beta.example.com描述了处理潜在滥用的可靠机制 - 您在标头清理期间删除明显被欺骗的标头,并告诉您的验证软件信任您的备份 mx(在)确定的结果opendmarc.conf。
然而不,运行与主 MX 具有相同配置的辅助 MX 会使部署它的大部分初衷落空:
您的主邮件服务器中断是由您的某个邮件过滤程序引起的,这种可能性不为零 - 如果您只是复制设置,一个坏的垃圾邮件刺客更新会破坏两者,一个错误的 SPF 验证器更新会破坏两者,.. 可能由于共享根本原因而失败的备份 MX 并不值钱。
您的主邮件服务器可能已经根据统计数据过滤邮件(例如贝叶斯过滤) 很难在主 mx 和备份 mx 之间保持同步。如果您真的在备份 mx 上设置了与主 mx 上相同的邮件筛选方式 - 并且数据不同,那么您要么会降低垃圾邮件过滤质量 - 要么会发送更多退回邮件(eww)。
如果您的任务是确保某种服务水平,如“每年 98% 的非垃圾邮件必须在 60 秒内出现在 IMAP 中”,那么您已经有大量空间进行计划外维护。完全有可能,潜在的服务水平改进与运行备份 MX 的经常性管理成本最终使任何稍微复杂的备份 MX 设置“不值得”。