我们销售的是客户可在本地或不同云环境中安装的 Web 应用程序。默认的电子邮件设置通过我们 15 年前创建的 Web 服务将电子邮件发送到我们的其中一台服务器。我们中央服务器上的 Web 服务在 IIS SMTP 拾取目录中创建电子邮件以供发送。我们一直警告用户,此 Web 服务仅用于测试和开发,但许多人正在生产中使用它。
几年前,我们开始遇到交付问题,因此我们建议所有使用该服务的客户设置 SPF。这很有帮助,但最近我们又开始遇到一些交付问题。我认为现在的主要问题是我们没有使用 TLS,因此例如 Gmail 在我们服务器的所有电子邮件旁边都有一个问号。我已经开始研究设置 TLS,但我不知道如何正确设置。如果我们只为一个域发送电子邮件,那会很容易,但我们要为大约 30 个域发送电子邮件。
在教程中,我看到他们在配置 TLS 设置时指定了 FQDN。但是当有这么多域通过我们的服务器发送时,我们该怎么做呢?我可以只为 mail.mycompany.com 设置一个证书,并将其用于所有域吗?
答案1
是的,你的邮件服务器应该有一个规范名称,例如mail.example.com。理想情况下,你应该在任何地方都使用该名称:
- 在
HELO主机名和 SMTP 横幅中 - 反向 DNS
PTR记录(带有匹配的A) - 作为证书的通用名称。
此域名不必(技术上也不能)与服务器用于发送电子邮件的每个域名匹配。HELO主机名和信封发件人或者From根本不需要该标头。这与 TLS 完全相同。没问题!
只需在作为客户面向其他 MTA。
对于电子邮件,发送 MTA 不会检查接收 MTA 证书的真实性,除非将其配置为遵守 DANE(RFC 6698)TLSA记录;投递邮件通常被认为更重要。此外,接收 MTA 根本不检查发送 MTA 的证书,即没有相互认证和客户端证书。由于这两个原因,自签名证书就足够了,但是由于 Let's Encrypt 为任何人提供免费且简单的证书,因此也没有理由不使用它们。
此外,配置 SPF + DKIM + DMARC 的完整三位一体可以进一步提高投递率。