Нет, DKIM и SPF не отключают ретрансляцию почты полностью. Вместо этого они позволяют только уполномоченный ретрансляторы для ретрансляции почты для домена и рекомендуют, чтобы все принимающие системы отклоняли почту от несанкционированный реле. Эта авторизация объявляется через специальные записи DNS.
Можно настроить несколько исходящих ретрансляторов (собственный сервер и несколько внешних серверов) одновременно. Но в конечном итоге вы перечислите их все в своих записях SPF и DKIM.
Для SPF вы должны либо знать все IP-адреса реле, либо имя их действительной записи SPF, в которой перечислены все их адреса. Затем вы настраиваете в своем SPF запись всех этих адресов или используете include:их-spf-запись, кроме своего или других реле нужно:
пример.com. TXT "v=spf1 a:your.server.name включает:их-spf-запись ip4:192.0.2.111 -все"
(может быть много разных частей a:, include:, ip4:).
Для ДКИМ, оператор реле должны генерировать пары ключей подписи. Затем они должны сообщить вам открытый ключ и его селектор (они также настраивают свой сервер для подписи с использованием соответствующего закрытого ключа и этого селектора). Затем для каждой пары ключ-селектор вы создаете дополнительную TXT-запись вида:
selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=..<key>.."
Конечно, каждая система должна использовать свой собственный селектор.
Это все настройки DNS, необходимые для отправки почты с доменом «от» из нескольких систем одновременно.
Часть SPF не должна вызывать затруднений ни у кого. Проблема с их системой может заключаться в том, что они не знают, как настроить подпись DKIM для ретранслируемой почты. В моем случае, например, postfix+rmilter это делает и у него нет проблем, все можно настроить. Также вы можете подписать с помощью DKIM на своем сервере, который использует ретранслятор в качестве смарт-хоста, и вы должны убедиться, что системы ретрансляции не испортят подписанные заголовки и не удалят вашу подпись; если это так, нет необходимости настраивать дополнительную подпись DKIM в системе ретрансляции.
