高校郵件系統配置相關

本文轉載自微信公眾號“ 鄭海山dump”(ID：zhsdump)，作者：鄭海山。

宋崟川、中科大張煥傑、華南理工黃建波、上交大章思宇、difan@google.com均對本文有貢獻。

郵件有Web介面、POP3、SMTP、IMAP等多個服務，很多學校是部署在一個伺服器上的，所以就會給人一個誤解，一個Mail伺服器就應當有這麼多服務，其實這些服務都是可以分開部署的，而且分開部署後邏輯更清晰，比如Web流量就可以很簡單去過反向代理，也可以根據訪問量調整伺服器數量。

就好像DNS，原先我們也是隻有一臺，上面做權威和快取，後來出來了DNS反射攻擊，於是剝離了權威和快取，2臺權威面對全世界，多臺快取只限制校內才能連線。有些高校更嚴格，快取再分為快取和遞迴，快取只接收遞迴的結果，由遞迴伺服器對外查詢。確實我們學校以前也發生過一件事情，就是外網斷了，快取+遞迴伺服器對外查詢超時導致等待一千的連線限制用完，無法對校內進行解析，如果這時候再分快取和遞迴再加張煥傑的校內根域名伺服器映象還是有可能讓使用者訪問到變成區域網的校內的域名。

所以類比來說，HTTP、POP3、SMTP、IMAP是郵件伺服器對伺服器內擁有賬戶的使用者提供的服務。具體來說，這些服務是面對校內老師學生的。還有內部的管理WebUI、API等如果有可能也監聽不同的IP或埠。

而對網際網路來說，發信和收信都是基於SMTP協議，他們只想知道2個事情：

● 域的MX記錄是什麼，這個決定了別人要投遞給你是投遞到哪個伺服器IP。

● 你對外傳送的IP是什麼，這個決定了對方要接收你的郵件要來檢查FCrDNS判斷是否垃圾郵件。

所以以上幾個都可以剝離出來不同的IP地址、域名、埠來監聽。舉個例子，基於域名：

● mail.xmu.edu.cn，對內服務，提供HTTP

● pop3,smtp,imap.xmu.edu.cn，對內服務，提供POP3、SMTP、IMAP。

● mx.xmu.edu.cn，對網際網路服務，接收郵件，提供SMTP。

● 對外傳送郵件IP，使用SMTP協議。對外傳送還可以走relay伺服器，買海外轉發服務等。

根域的DNS配置

對於形如example@xmu.edu.cn的郵件地址來說，宣告接收郵件的伺服器的IP地址設定在xmu.edu.cn的MX DNS RR上。

● xmu.edu.cn的A記錄為了SEO，一般是建議跟一致，並做301跳轉。原先我們為了使用者方便直接指向郵件的A記錄，但是後來一般瀏覽器會自動前面給你加www，然而為了使用者習慣一直不敢變更直到最近。

● SPF記錄。SPF如果要寫得完美一點，可以考慮下面場景：如果你老師和學生用不同的域，比如xmu.edu.cn和stu.xmu.edu.cn，則這2個域的SPF都include spf.xmu.edu.cn(類似引用一個變數)，在spf.xmu.edu.cn裡面才真正允許發信伺服器的A/AAAA記錄。所以bind9寫法就是

@ TXT "v=spf1 include:spf.xmu.edu.cn -all"

stu TXT "v=spf1 include:spf.xmu.edu.cn -all"

spf TXT "v=spf1 ip4:1.2.3.4/32 ip6:2001:da8::1/128 -all"

寫完可以在 這裡檢測下。

PTR的DNS配置

SPF是為了解決SMTP發信人偽造問題，而FCrDNS是為了解決你確實對這個IP和他宣稱的域名對應關係有控制權。

所以發信伺服器的IP地址一定必須設定反向解析。PTR指向什麼域名無所謂，配置類似：

4 PTR mta.xmu.edu.cn.

IPv6的RBL(Real-time Blackhole List)列表是否已經建立完善了不確定。郵件加IPv6支援是否有其他副作用不確定。

高校如何申請IPv6的PTR解析

PTR一般只用在郵件的反向查詢和traceroute裡。為了讓郵件系統完全支援IPv6，你需要申請到PTR解析的許可權，準備2臺有IPv6的權威DNS伺服器，在

“” “IP6.ARPA 注 冊 表 格” 裡申請，裡面的netname可以在站內的whois查詢到。

SSL

相對於HTTP 80埠301到HTTPS 443埠的協議升級，SMTP等沒有這樣子的機制，你在給郵件啟用TLS後可以：

● 廣而告之，建議大家使用TLS加密，最安全。定期根據25埠訪問日誌郵件推送對方建議使用TLS。

● 自動配置，新配置使用者預設起SSL。不是所有客戶端MUA都支援。

● 機會性加密，在SMTP 25埠直接協議升級到TLS，。機會性加密可以預防被動監聽，無法預防MITM。

端到端加密

使用TLS解決不了端到端加密問題，郵件PGP一直沒有流行起來，如果類似iMessage那樣子端到端加密，你就喪失了服務端給你提供過濾垃圾郵件的功能。當然，任何不開源的端到端加密方案討論都是沒有意義的，最近很火的初始化開啟VIVO NEX攝像頭的Tg就是開源的端到端加密IM。

自動配置

郵件客戶端在使用者配置新賬戶時有自動發現功能，比如 這篇文章提到的Thunderbird、Outlook、Apple Mail等的自動配置機制。Outlook更詳細的發現流程如下 。可以透過配置autodiscover自動宣告SMTP和POP3域名，還可以自動配置SSL，當然如果沒有自動發現，你的域名是標準的pop3,smtp,imap一般客戶端也都可以正確猜出來。