Самый правильный способ сделать это в настоящее время — создать учетную запись на соответствующем почтовом сервисе, который полностью настроен для обслуживания. пример.com. (Конечно, это может быть ваш собственный сервер, это не имеет значения.) Затем на вашем нулевом хосте вы только настраиваете почтовый сервер как смарт-хост с аутентификацией SASL.
Хотя настроить Postfix таким образом вполне возможно (существует множество руководств, в том числе собственное руководство Postfix), я думаю, что Postfix для такого использования излишен. Рассмотрите возможность использования нуллмейлер, который подходит именно для систем, которые ничего не делают с почтой, кроме отправки каких-то системных уведомлений.
Если это невозможно, настройте DNS следующим образом:
пример.com MX-запись указывает на его надлежащую почтовую службу. Это не имеет ничего общего с поддоменами.nullhost.example.com. МХ 10., то есть указывать в никуда. Это явное указание на то, что вы не собираетесь получать почту за что-нибудь@nullhost.example.com. Это не требуется, если вы защищаете службу smtpd нулевого хоста от внешних подключений (брандмауэр TCP/25, слушайте дальше локальный: 25 только и др.); однако явное всегда лучше неявного.- этот нулевой хост будет отправлять почту, которая устанавливает
пример.com как домен отправителя, поэтому его почта должна соответствовать настройкам DMARC для этого домена. В противном случае корректно ведущие себя получатели будут отбрасывать свою почту.
Этот последний пункт, DMARC, может значительно усложнить ситуацию. Если он установлен надежно, значит, запись выглядит как _dmarc.example.com. TXT "v=DMARC1; p=отклонить; pct=100; ...", вам потребуется настроить подписывание SPF и DKIM на нулевом хосте. SPF — это просто, просто добавьте «a:nullhost.example.com» в запись SPF TXT. DKIM сложен, вам нужно создать дополнительную пару ключей DKIM, выбрать селектор (нулевой хост возможно, подойдет), установите его публичную пару в DNS как nullhost._domainkey.example.com. TXT "...ключевые данные...". Затем настройте пение с соответствующим закрытым ключом непосредственно на нулевом хосте (и используйте выбранный селектор), я бы использовал для этого opendkim. Я упоминал, что использование смарт-хоста является предпочтительным методом?
И ваши вопросы.
- Вы не являетесь сервером (вы сказали, что эта система не должна получать почту). Таким образом, вам не нужен сертификат сервера TLS. Вы можете настроить что-то с помощью сертификата клиента TLS, поэтому при подключении к вашему смарт-хосту или другим серверам через TLS вы сможете представить его. Но зачем тебе это?
- Рекорд «на вершине»
@ МХ, также известный как пример.com. МХ, должны быть направлены на сайт example.com май еИксчейнджер (система, которая принимает почту для что-то@example.com). Это не имеет никакого отношения к почте для любого поддомена. Каждый субдомен является почтовым доменом сам по себе.
- Как вы настроите перезапись адреса, зависит от вас. Единственное, что видит внешний мир, это конечный результат. Так зачем делать это в два этапа?
