為您的iRedMail服務器設置DNS記錄（A，PTR，MX，SPF，DKIM）

重要提示：A，MX記錄是必需的，Reverse PTR，SPF和 DKIM是可選的，但強烈建議。總之，請把它們全部放好。

服務器主機名的記錄

什么是A記錄

A記錄將FQDN（完全限定的域名）映射到IP地址。這通常是任何DNS系統中最常用的記錄類型。如果您想將域名指向Web服務器，則這是您應該添加的DNS記錄。

如何設置A記錄

• Name：這將成為您域名的主機，而您的域名實際上是一台計算機。您的域名將自動附加到您的姓名。如果您正在嘗試為系統創建記錄www.mydomain.com。然后，您輸入的文本框中的名稱值是www。

  注意：如果您將名稱字段留空，它將默認為您的基本域的記錄mydomain.com。您的基本域的記錄稱為根記錄或頂點記錄。

• IP：您的FQDN的IP地址。IP地址可以被認為是電腦的電話號碼。這是一台計算機如何知道如何到達另一台計算機。與國家代碼，地區代碼和電話號碼類似，它用於呼叫某人。

• TTL：TTL（生存時間）是您的記錄在請求記錄的系統（解析名稱服務器，瀏覽器等）中保留在緩存中的時間量。TTL設置在幾秒鍾內，所以60分鍾是一分鍾，1800分鍾是30分鍾等。

具有靜態IP的系統通常應具有1800或更高的TTL。具有動態IP的系統通常應該具有1800以下的TTL。

TTL越低，客戶需要查詢主機（記錄）IP地址的名稱服務器越頻繁，這將導致您的域名的查詢流量更高。當需要快速切換IP時，TTL非常高可能導致停機。

樣本記錄：

NAME                TTL     TYPE    DATA

www.mydomain.com.   1800    A       192.168.1.2
mail.mydomain.com.  1800    A       192.168.1.5

這條記錄的最終結果是www.mydomain.com指向 192.168.1.2並mail.mydomain.com指向192.168.1.5。

反向服務器IP地址的PTR記錄

什么是反向PTR記錄

PTR記錄或更適當的反向PTR記錄是將IP地址解析為與其關聯的主機名的過程。這與將主機名解析為IP地址（A記錄）的過程完全相反。例如，當你ping一個名字時，mail.mydomain.com它會使用DNS來解析到IP地址192.168.1.5。反向PTR記錄則相反; 它會查找給定IP地址的主機名。在上面的例子中，IP地址的PTR記錄192.168.1.5將被解析為mail.mydomain.com。

為什么你需要一個反向PTR記錄

查找PTR記錄最常見的用途是垃圾郵件過濾器。這個想法背后的概念是，通過使用虛假域發送電子郵件的夜間垃圾郵件發送者通常不會在ISP DNS區域具有適當的反向PTR設置。垃圾郵件過濾器使用此標准檢測垃圾郵件。如果您的域名沒有一個適當的反向PTR記錄設置然后有機會的垃圾郵件過濾軟件MIGHT從您的郵件服務器阻止電子郵件。

如何設置反向PTR記錄

您很可能需要聯系您的ISP，並請求為您的郵件服務器IP地址創建反向PTR記錄。例如，如果您的郵件服務器主機名mail.mydomain.com然后要求您的ISP 192.168.1.5在其revesre DNS區域中設置反向PTR記錄（您的互聯網公共IP地址）。即使您可能擁有自己的正向查找DNS區域，您的ISP也會處理反向DNS區域。

郵件域名的MX記錄

什么是MX記錄

郵件交換記錄或更一般稱為MX記錄是您的域的DNS服務器中的一個條目，用於告知其他郵件服務器您的郵件服務器位於何處。當有人通過互聯網向郵件服務器上存在的用戶發送電子郵件時，MX會提供發送該電子郵件的位置或IP地址。MX記錄是您通過DNS提供給外部世界的郵件服務器的位置。

大多數郵件服務器通常具有多個MX記錄，這意味着您可以有多個郵件服務器設置來接收電子郵件。每個MX記錄都有一個在DNS中分配給它的優先級號碼。具有最低號碼的MX記錄具有最高的優先級，並被認為是您的主要MX記錄或主郵件服務器。下一個最低的mx號碼具有次最高的主號碼，依此類推。您通常擁有多台郵件服務器，其中一台是主服務器，另一台是備份服務器，但只有一台郵件服務器也可以。

如何設置MX記錄

如果您的ISP或域名注冊商提供DNS服務，您可以要求他們為您設置一個。如果您管理自己的DNS服務器，那么您需要自己在DNS區域中創建MX記錄。

示例MX記錄：

NAME            PRIORITY    TYPE    DATA

mydomain.com.   10          mx      mail.mydomain.com

該記錄的最終結果是，發送給的電子郵件[user]@mydomain.com將被傳送到服務器mail.mydomain.com。

SPF記錄您的郵件域名

什么是SPF記錄

SPF是一種垃圾郵件和網絡釣魚詐騙方法，它使用DNS SPF記錄來定義允許哪些主機為某個域發送電子郵件。有關SPF的詳細信息，請參閱http://www.openspf.org/

這通過為電子郵件域名定義DNS SPF記錄來指定哪些主機（電子郵件服務器）被允許從域名發送電子郵件。

其他電子郵件服務器在收到來自此域名的電子郵件時可以查找此記錄，以驗證發送電子郵件服務器是否從允許的IP地址進行連接。

如何設置SPF記錄

最近在DNS協議中增加了一種新的SPF記錄類型來支持這一點（RFC4408）。

然而，並非所有DNS和電子郵件服務器都支持這種新的記錄類型，因此也可以使用TXT記錄類型在DNS中配置SPF。

例子：

• SPF記錄參考MX記錄。這意味着mydomain.com發件人組織允許從MX記錄中定義的所有服務器發送的電子郵件。

mydomain.com.   3600    IN  TXT "v=spf1 mx mx:mydomain.com -all"

• 或SPF記錄直接參考IP地址。這意味着發件人組織允許從指定IP地址發送的電子郵件。

mydomain.com.   3600    IN  TXT "v=spf1 ip4:192.168.1.100 -all"

-all 意味着禁止所有其他人。

有更多有效的機制可用，請查看 OpenSPF網站了解更多詳情。

DKIM記錄您的郵件域名

什么是DKIM記錄

DKIM允許組織以可以由收件人驗證的方式對消息負責。該組織可以是消息的直接處理程序，例如作者，原始發送站點或沿途的中介。但是，它也可以是間接處理程序，例如為直接處理程序提供幫助的獨立服務。DKIM通過使用公共密鑰密碼術並使用域名服務作為其關鍵服務器技術（RFC4871）為電子郵件定義了一個域級數字簽名認證框架）。它允許驗證消息的簽名者以及其內容的完整性。DKIM還將提供一種機制，允許潛在的電子郵件簽名者發布有關其電子郵件簽名做法的信息; 這將允許電子郵件接收方對未簽名的消息進行額外的評估。DKIM對電子郵件身份的認證有助於全球控制“垃圾郵件”和“網絡釣魚”。

一個人或組織有一個“身份” - 也就是說，有一組特征可以區別於任何其他身份。與此抽象相關聯的可以是用作參考的標簽，或“標識符”。這是事物與事物名稱之間的區別。DKIM使用域名作為標識符來引用負責人或組織的身份。在DKIM中，該標識符稱為簽名域標識符（SDID），並包含在DKIM簽名標頭字段d= 標簽中。請注意，相同的身份可以有多個標識符。

如何設置DKIM記錄

• 在終端中運行命令以顯示您的DKIM密鑰：

# amavisd showkeys
dkim._domainkey.mydomain.com.   3600 TXT (
  "v=DKIM1; p="
  "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugByf7LhaK"
  "txFUt0ec5+1dWmcDv0WH0qZLFK711sibNN5LutvnaiuH+w3Kr8Ylbw8gq2j0UBok"
  "FcMycUvOBd7nsYn/TUrOua3Nns+qKSJBy88IWSh2zHaGbjRYujyWSTjlPELJ0H+5"
  "EV711qseo/omquskkwIDAQAB")

注意：在某些Linux / BSD發行版中，您應該使用命令amavisd-new 而不是amavisd。如果它抱怨/etc/amavisd.conf not found，你應該告訴amavisd其配置文件的正確路徑。例如：

# amavisd -c /etc/amavisd/amavisd.conf showkeys

• 將上面的命令輸出復制到下面的一行中，刪除所有引號，但保留;。我們只需要()塊內的字符串，這是DKIM DNS記錄的值。

v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugBy...

注意：BIND（使用最廣泛的名稱服務器軟件）可以處理這種多行格式，因此您可以直接將其粘貼到域區域文件中。

• TXT為域名添加DNS記錄類型dkim._domainkey.mydomain.com，將值設置為上面復制的行：v=DKIM1; p=...。

  警告：通常的錯誤是將此DKIM記錄添加到域名 mydomain.com，這是錯誤的。請確保您已添加到域名dkim._domainkey.mydomain.com。

• 在DNS中添加此內容后，請使用dig或進行驗證nslookup：

$ dig -t txt dkim._domainkey.mydomain.com

$ nslookup -type=txt dkim._domainkey.foodmall.com

示例輸出：

dkim._domainkey.mydomain.com. 600 IN TXT    "v=DKIM1\;p=..."

並用Amavisd驗證它：

# amavisd testkeys
TESTING: dkim._domainkey.mydomain.com       => pass

如果它顯示pass，它的工作。

注意：如果您使用ISP提供的DNS服務，新的DNS記錄可能需要幾個小時才能使用。

如果您想重新生成DKIM密鑰，或者需要為新的郵件域生成一個，請檢查我們的另一個教程： 在傳出電子郵件上簽署DKIM簽名以獲取新的郵件域。