Se os e-mails dos clientes entregam normalmente, mas alertas do próprio servidor não chegam (ou recebem 550-5.7.26 no Gmail), o problema costuma estar na identidade do hostname do servidor, não nos domínios dos clientes.
O ponto cego: autenticação do hostname
Quando o DirectAdmin envia notificações de sistema, ele pode usar o hostname (srv1.meudominio.com) como identidade remetente.
Sem SPF/DKIM/DMARC para esse hostname, provedores como Gmail podem rejeitar:
550-5.7.26: Gmail requires all senders to authenticate with either SPF or DKIM.Diagnóstico rápido
No Exim (/var/log/exim/mainlog), procure:
- falha de SPF do hostname
- ausência de assinatura DKIM para o hostname
Se o domínio do cliente autentica e o hostname não, o bloqueio vai continuar em mensagens de sistema.
Solução aplicada
1) Preparar estrutura e gerar DKIM do hostname
mkdir -p /etc/virtual/srv1.meudominio.com
chown mail:mail /etc/virtual/srv1.meudominio.com
chmod 711 /etc/virtual/srv1.meudominio.com
/usr/local/directadmin/scripts/dkim_create.sh srv1.meudominio.com2) Ajustar DNS do domínio pai
Registros essenciais para o subdomínio do hostname:
Ado hostname apontando para IP do servidorTXTSPF do hostnameTXTDKIM selector do hostnameTXTDMARC do hostname
Exemplo:
srv1 IN A 123.123.123.123
srv1 IN TXT "v=spf1 ip4:123.123.123.123 ~all"
x._domainkey.srv1 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqh..."
_dmarc.srv1 IN TXT "v=DMARC1; p=none"Também valide PTR/reverse DNS do IP para o mesmo hostname.
3) Validar zona antes de recarregar DNS
named-checkzone meudominio.com /var/named/meudominio.com.dbSó aplique reload/restart do serviço DNS após validação sem erro.
Pós-correção: reputação
Mesmo com autenticação correta, a reputação pode levar um tempo para normalizar se houve bloqueios anteriores prolongados. Continue enviando tráfego legítimo e monitorando logs até estabilizar.
No DirectAdmin, não basta autenticar apenas domínios de clientes. O hostname do servidor também precisa de SPF, DKIM e DMARC para que notificações de sistema sejam aceitas com consistência pelos grandes provedores.
Este post está licenciado sob CC BY-NC.
Comentários
Participe da discussão abaixo.
Comentários ainda não configurados. Adicione as opções do Cusdis em /assets/json/config/blog-comments-config.json.