Linux

MailU: Backend и Edge

Архитектура

mx.testdomain.ru — backend (хранение, DKIM)
mx01.testdomain.ru — edge SMTP (приём/отправка)


Входящая почта:
  Интернет  →  mx01 (edge)  →  mx (backend)
                  ↑                  ↑
             приём SMTP         хранение, DKIM

Исходящая почта:
  mx (backend)  →  mx01:587 (AUTH)  →  Интернет
        ↑                    ↑
   DKIM подпись          relay, spoofing

1. Настройка MX01 (edge)

Роль MX01: принимает почту из интернета, отправляет наружу, пересылает входящую почту на mx. Не хранит ящики.

1.1 Добавить домен как Relay domain

Web Admin → Domains → Add domain

Domain name: testdomain.ru
Тип: Relay domain
Relay destination: mx.testdomain.ru

Входящая почта для testdomain.ru будет пересылаться на mx.testdomain.ru. Важно: testdomain.ru НЕ должен быть Local domain на mx01.

1.2 Технический пользователь для relay

Создать пользователя relay@mx01.testdomain.ru. В настройках включить:

✔ Allow user to send emails as any address (spoofing)

Это нужно, чтобы mx мог отправлять admin@testdomain.ru через relay@mx01.testdomain.ru.

2. Настройка MX (backend)

В mailu.env на mx:


RELAYHOST=[mx01.testdomain.ru]:587
RELAYUSER=relay@mx01.testdomain.ru
RELAYPASSWORD=пароль

После изменений:


docker compose down
docker compose up -d

Исходящая схема: mx → mx01:587 (AUTH) → Интернет

3. DNS-записи

Все записи для testdomain.ru. DKIM генерируется на mx (Web Admin → Domains → Keys).


; A-записи
mx01.testdomain.ru.  A      1.1.1.1
mx.testdomain.ru.    A      2.2.2.2

; MX-записи
testdomain.ru.      MX  10 mx01.testdomain.ru.
mx01.testdomain.ru. MX  10 mx01.testdomain.ru.

; DKIM (ключ из MailU на mx)
mail._domainkey.testdomain.ru.  TXT  "v=DKIM1; k=rsa; p=<ключ_из_web_admin>"

; SPF
testdomain.ru.       TXT  "v=spf1 ip4:1.1.1.1 -all"
mx01.testdomain.ru.  TXT  "v=spf1 ip4:1.1.1.1 -all"

; DMARC
_dmarc.testdomain.ru.  TXT  "v=DMARC1; p=quarantine; rua=mailto:admin@testdomain.ru"

4. Поток почты

Входящая: Интернет → mx01 (relay domain) → mx (local domain)

Исходящая: mx (DKIM подписывает) → mx01:587 AUTH (spoofing) → Интернет

5. Что важно не сломать

Не делать testdomain.ru Local domain на mx01
Не включать DKIM для testdomain.ru на mx01
Не использовать RELAYNETS для исходящей схемы
Не добавлять testdomain.ru как local на обоих серверах

6. Итог

mx — хранение + DKIM. mx01 — edge SMTP + relay domain. Связь через SMTP AUTH на 587. Spoofing включён для relay-пользователя.