Yandex «Почта для домена» как почтовый шлюз для ваших серверов

Доменная почта от Яндекса — это быстрый и бесплатный способ получить корпоративную почту. Благодаря сервису Яндекс.Коннект любой владелец или администратор домена сможет не только получить почту вида @site.ru, но и дополнительную CRM-систему, а также вики-словарь для своей команды.

Наличие корпоративной почты «Яши» можно не только не беспокоиться о том, что e-mail рассылка пройдет модерацию и не будет вызывать подозрение, но и позволит сэкономить память на сервере, так как письма и вложения будут храниться на серверах.

Управление всей почтой можно осуществлять с одного аккаунта, а добавляя новых пользователей можно сразу же передавать все возможности сервисов отечественного поисковика.

Яндекс.Коннект

Яндекс.Коннект представляет собой универсальный инструмент для управления корпоративной почтой и CRM, а также дает ряд преимуществ пользователям, например:

Подключение доменной почты;
Дополнительное место на Яндекс.Диске. Всем сотрудникам компании будет выдано 30 бесплатный гигабайт для работы;
Вики. Позволяет хранить информацию и создавать документацию для обучения новых сотрудников;
Администрирование. Это новая система Яндекса, позволяющая общаться с командой, а также управлять своим доменом, в частности DNS, таким образом можно будет легко добавлять новые записи и создавать поддомены;
Трекер. CRM-система, дающая возможность следить за результативностью сотрудников, а также ставить задачи и не забывать о них;
Формы. Новый инструмент, аналог Google Forms, созданный для проведения опросов и понимания желаний своих клиентов;
Чаты. Позволяет использовать инструменты для привлечения клиентов в качестве способа общения с пользователями.

Сервис полностью бесплатный, однако, при желании можно оформить платную подписку, позволяющую расширить его возможности.

Как создать доменную почту Яндекс

Для того, чтобы создать доменную почту Яндекс потребуется посетить сайт https://connect.yandex.ru и войти в свою учетную запись.

После этого нажимаем на кнопку «Попробовать» и вводим адрес домена, который необходимо подключить.

Как только домен будет подключен понадобиться, подтвердить права на него, что можно сделать аналогично, как и в случае с Вебмастером, через:

HTML-файл. Что очень удобно, если есть доступ к хостингу. Для подтверждения достаточно добавить файл в корневую папку сайта и нажать на Запустить проверку;
Метатег. В этом случае достаточно добавить небольшой элемент HTML в шапку сайта;
DNS. Наиболее надежный способ, подразумевающий под собой создание TXT записи в домене, что сможет подтверждать проверку в будущем, даже если полностью сменить файлы сайта.

После прохождения проверки потребуется подтвердить отправку писем с серверов Яндекса, что можно сделать лишь через добавление MX-записи. Запись должна содержать следующие данные:

Значение: mx.yandex.net;
Приоритет: 10;
Имя домена: @. В некоторых случаях понадобиться указать полное название домена или же оставить поле пустым.

Как только условие будет выполнено в течение нескольких минут можно будет увидеть соответствующий знак, подтверждающий возможность использования корпоративной почты.

Настройка доменной почты Яндекс

Для настройки данного сервиса потребуется для начала подключить один из сервисов: Почта. Предоставляется в базовом пакете бесплатно;

Трекер. Платный инструмент, но 30 дней бесплатного использования возможен для всех доменов;
Вики. Бесплатно можно создать до нескольких десятков страниц, когда безграничное количество страниц возможно только в платном тарифе;
Люди. Также предоставляется бесплатно;
Формы. Бесплатный инструмент для автоматизации расчетов, для использования которых не понадобиться доплачивать;
Календарь. Еще один стандартный инструмент Яндекса;
Диск. Бесплатное место на диске в размере 30 Гб для предприятия предоставляется безвозмездно;
Чаты. Для того, чтобы воспользоваться данной функцией потребуется подключить чат для бизнеса.

Управление доменной почтой Яндекс

Сама по себе настройка осуществляется при помощи создания новых сотрудников и почтовых ящиков, которые можно выдавать сотрудникам компании.

Для этого потребуется войти в раздел «Все сотрудники», где нужно нажать на «Добавить сотрудника».

Теперь заполняем данные:

Фамилия;
Имя;
Отчество;
Должность;
Язык;
Часовой пояс;
Дата рождения;
Пол;
Логин. Нужно заполнить лишь первую часть, домен будет подставляться автоматически;
Пароль и его подтверждение;
Отдел. Если они созданы, то лучше всего добавить сотрудника в нужную часть организации.

Если организация достаточно велика, то потребуется разделить команду на отделы, что можно сделать заполнив поля:

Название;
Описание;
Руководитель. Нужно выбрать из уже созданных сотрудников;
Родительский отдел. Поле заполняется лишь если у него уже есть управляющий отдел (стоящий выше).

Важно понимать, что администратор может менять пароли и данные о каждом сотруднике, когда у пользователя не будет доступа к этим данным.

Однако, в этом случае пользователь может быть добавлен в качестве администратора, что позволит ему также управлять данными сотрудников.

Также нужно знать, что всем пользователям, которым выдается корпоративная почта, одновременно создается Яндекс.Аккаунт, позволяющий использовать все те же сервисы, что и рядовым людям, имеющим почту в доменной зоне @yandex.ru.

Войти в доменную почту Яндекс

Для входа в почту созданную для корпоративного аккаунта можно использовать 3 основных способа:

Сайт Яндекс.Почты. Для этого достаточно войти на сайт mail.yandex.ru после чего ввести логин и пароль. Однако, для того, чтобы использовать почту в полной мере понадобиться в Яндекс.Паспорте подтвердить учетную запись через мобильный телефон;
Мобильное приложение Яндекс.Почты;
Другие сервисы. Сюда включается Outlook или Bat, для подключения которых нужно будет ввести специальные данные.

Для сбора писем в Outlook понадобиться подключиться через:

Способ связи: imap;
Для получения почты: imap.yandex.ru;
Соединение: SSL;
Порт: 993;
Для отправки почты: smtp.yandex.ru;
Соединение: SSL;
Порт: 465.

Благодаря данным настройкам можно легко и просто собирать данные у себя на сервере и управлять сразу несколькими аккаунтами.

Заключение

Яндекс.Коннект и его доменная почта позволяет организациям, имеющим свой сайт повысить доверие клиентов, так как все сотрудники будут использовать собственный аккаунт вида @site.ru. Также его использование дает следующие преимущества:

Нет необходимости приобретать отдельные сервера для хранения почты в любых объемах;
30 Гб диска для команды и удаленной работы;
Бесплатная CRM-система;
Система управления доменом. Благодаря ему можно легко менять записи домена и подключать новые сервисы и все из одного аккаунта;
Возможность создавать e-mail рассылку, которую не заблокируют сервисы отправки писем.

Особой популярностью сервис пользуется за счет отсутствия абонентской платы, так как, например, стоимость в Google для одного пользователя составит от 5 долларов США.

С уважением, Алексей Даренский.

Tutorial

Каждый раз поднимая новый сервер в облаках, вы получаете случайный IP-адрес. Не все понимают, что IP-адрес может попасть к вам с «историей». Часто приходится тратить время на удаление IP из публичных черных списков. В моём случае в последний раз это была очень неторопливая переписка с mail.ru, которая ни к чему не привела. После этого, создав новый сервер, я задумался: как же сделать так, чтобы не огребать проблем с такими IP-адресами?

Введение

Несмотря на то, что серверы у меня могут быть как постоянные так и «на поиграться», почту на всех них я не обслуживаю, но очень хочу получать сервисные письма от своих скриптов и системных служб.

Очевидное решение — сделать свой «порядочный» почтовый шлюз и все остальные серверы настраивать на пересылку почты через этот шлюз. Минусы такого решения очевидны:

Отдельный сервер стоит денег, даже если это дешевая VPSка
IP-адрес надо постоянно отслеживать в черных списках
Настройка почтового шлюза требует времени, которое зависит от ваших скиллов

Из-за вышеперечисленных причин я пошёл искать другое решение, и, что характерно, нашёл.

Решение

Я обнаружил возможность схалявить, воспользовавшись сервисом «Почта для Домена» от Yandex. На тот момент у меня было поднято 3 сервера и в DNS были следующие А-записи:

Хост	Тип	Значение
example.com	A	123.123.123.120
server1.example.com	A	123.123.123.121
server2.example.com	A	123.123.123.122
server3.example.com	A	123.123.123.123

Я зарегистрировал свой технический домен в «Почте для Домена» и создал аккаунт: root@example.com. Попробовал отправить письма с одного из своих серверов, используя этот SMTP-аккаунт и получил следующую ошибку:

553 5.7.1 Sender address rejected: not owned by auth user. envelope from address root@server1.example.com not accepted by the server

Yandex не разрешает подставлять какие попало данные в envelope-from. Но как же быть, если хочется понимать, с какого сервера пришло то или иное письмо, без дополнительных ухищрений?

Чтобы соблюсти правила Yandex’a, нужно выполнить следующие шаги на стороне их сервиса:

Зарегистрировать основной домен и его поддомены в pdd.yandex.ru. Проще всего пройти подтверждение домена через добавление CNAME-записи:

Хост	Тип	Значение
example.com	CNAME	verification-code
server1.example.com	CNAME	verification-code
server2.example.com	CNAME	verification-code
server3.example.com	CNAME	verification-code

Так же для каждого домена создаем MX-запись:

Хост	Тип	Приоритет	Значение
example.com	MX	10	mx.yandex.ru
server1.example.com	MX	10	mx.yandex.ru
server2.example.com	MX	10	mx.yandex.ru
server3.example.com	MX	10	mx.yandex.ru

В настройках основного домена указать поддомены как алиасы этого домена.
Создаём почтовый аккаунт root@example.com, если он ещё не создан
Обязательно нужно зайти в аккаунт через веб-интерфейc и активировать его, иначе получите ошибку:
```
535 5.7.8 Error: authentication failed: Please accept EULA first. https://mail.yandex.ru/for/example.com
```

Дальше требуется работа на нашей стороне — настраиваем сервера:

Устанавливаем msmtp — миниатюрный SMTP-клиент, который предоставляет свою реализацию sendmail

Настраиваем его:

defaults  syslog LOG_MAIL  tls_certcheck off tls on  auto_from on # server hostname maildomain server1.example.com  account default  host smtp.yandex.ru port 25  auth on user root@example.com password 123qwe

Отправляем тестовое письмо с отладкой:

echo -e "test message" | /usr/bin/msmtp --debug -t -i sugdyzhekov@plesk.com

и смотрим результат:

loaded system configuration file /etc/msmtprc ignoring user configuration file /root/.msmtprc: No such file or directory falling back to default account using account default from /etc/msmtprc host = smtp.yandex.ru port = 25 proxy host = (not set) proxy port = 0 timeout = off protocol = smtp domain = localhost auth = choose user = root@example.com password = * ntlmdomain = (not set) tls = on tls_starttls = on tls_trust_file = (not set) tls_crl_file = (not set) tls_fingerprint = (not set) tls_key_file = (not set) tls_cert_file = (not set) tls_certcheck = off tls_min_dh_prime_bits = (not set) tls_priorities = (not set) auto_from = on maildomain = server1.example.com from = root@server1.example.com add_missing_from_header = on add_missing_date_header = on remove_bcc_headers = on dsn_notify = (not set) dsn_return = (not set) logfile = (not set) syslog = LOG_MAIL aliases = (not set) reading recipients from the command line and the mail  EHLO localhost <-- 250-smtp3h.mail.yandex.net <-- 250-8BITMIME <-- 250-PIPELINING <-- 250-SIZE 42991616 <-- 250-STARTTLS <-- 250-AUTH LOGIN PLAIN XOAUTH2 <-- 250-DSN  STARTTLS  EHLO localhost <-- 250-smtp3h.mail.yandex.net <-- 250-8BITMIME <-- 250-PIPELINING <-- 250-SIZE 42991616 <-- 250-AUTH LOGIN PLAIN XOAUTH2 <-- 250-DSN  AUTH PLAIN AhJvb3ARY29uzMlntS5ydQBXYw5VcMMlazk=  MAIL FROM: --> RCPT TO:<sugdyATA <-- 250 2.1.0  ok <-- 250 2.1.5 <sugdyzhekovk  From: root@server1.example.com --> Date: Mon, 06 Jun 2016 16:17:00 +0300 --> test message --> .  QUIT <-- 221 2.0.0 Closing connection.

Отлично, успех! Письмо ушло, правда, найдем мы его в спаме, так как оно почему-то пустое. Давайте проверим более привычным и «человеческим» способом:

echo "test message" | mailx -s 'test subject' sugdyzhekov@plesk.com

Вот, теперь в ящике нормальное письмо. Здорово!

DKIM & SPF

А еще можно для каждого домена прописать записи DKIM и SPF. Если вы, как я, используете свой DNS-хостинг, то просто скопируйте соответствующие значения из “DNS редактора” в интерфейсе Яндекса. Внимание: для каждого домена и алиаса свой ключ!

Хост	Тип	Значение
mail._domainkey.example.com	TXT	v=DKIM1; k=rsa; t=s; p=MIGf…
mail._domainkey.server1.example.com	TXT	v=DKIM1; k=rsa; t=s; p=MIGf…
mail._domainkey.server2.example.com	TXT	v=DKIM1; k=rsa; t=s; p=MIGf…
mail._domainkey.server3.example.com	TXT	v=DKIM1; k=rsa; t=s; p=MIGf…

Отсылаем с сервера письмо и смотрим в заголовки:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=mail; t=1467009762;     bh=Pb6s/Xlf4... Authentication-Results: smtp14.mail.yandex.net; dkim=pass header.i=@example.com

Лепота!

В случае если отправка почты для домена будет происходить только через сервера Яндекс и с заранее известных IP-адресов, то можно смело прописать SPF-записи в соответствии с документацией https://yandex.ru/support/pdd/troubleshooting/dns.xml#step2

Хост	Тип	Значение
example.com	TXT	v=spf1 redirect=_spf.yandex.net
server1.example.com	TXT	v=spf1 redirect=_spf.yandex.net
server2.example.com	TXT	v=spf1 redirect=_spf.yandex.net
server3.example.com	TXT	v=spf1 redirect=_spf.yandex.net

Нюансы

Скорее всего, вы молодцы, и ваше приложение работает не из под root’а. Попытка послать письмо из-под обычного пользователя опять приведёт к знакомой ошибке в логе msmtp:

Jun  6 14:21:24 server1 msmtp: host=smtp.yandex.ru tls=on auth=on user=root@example.com from=app@server1.example.com recipients=sugdyzhekov@plesk.com smtpstatus=553 smtpmsg='553 5.7.1 Sender address rejected: not owned by auth user.' errormsg='envelope from address user@server1.example.com not accepted by the server' exitcode=EX_DATAERR

Можно решить эту проблему по-разному. Например, можно явно указывать пользователя, отключив опцию auto_from off в msmtp. Но я уже решил, что меня это не устраивает.

Правильное решение — добавить пользователя как алиас для нашего основного адреса:

Если вам требуется локальный SMTP-релей, то данная конфигурация вам тоже подходит. Нужно просто заменить msmtp на postfix или exim, настроенные на использование серверов Яндекса в качестве smart host’a (гуглить можно, например, по ключевым словам exim smarthost).

Резюме

Теперь любой сервер, который я поднимаю для своих задачек, сразу же получает настроенный канал отправки почты. В DNS и pdd.yandex.ru я заранее прописал несколько поддоменов про запас. Так как сервера я разворачиваю через SaltStack, то конфигурацию msmtp мои сервера получают автоматически.

Что я получил в итоге:

Самое главное — нет заморочек с черными списками и IP-адресами серверов, так как письма уходят через сервера Яндекса
DKIM/SPF «из коробки» — письма не попадают в спам
msmtp простой SMTP-клиент, которому даже в памяти сервера висеть не нужно — запускается по необходимости
msmtp — простейшая настройка в отличие от «взрослых» postfix, exim
можно не беспокоиться о PTR-записях для ваших IP-адресов с точки зрения почтовой системы.

Надеюсь эта инструкция кому-нибудь пригодится. Буду рад узнать из комментариев, кто и как решает подобную проблему.

Используемые источники: