Úvod
Po instalaci IceWarpu je potřeba nakonfigurovat DNS záznamy, aby správně fungovalo doručování e-mailů, autodiscovery a další služby. Tento průvodce vám pomůže nastavit potřebné DNS záznamy pro vaši doménu.
Požadavky
Název domény (např. example.com)
Veřejná IP adresa nebo hostname vašeho IceWarp serveru (např. mail.example.com)
Přístup do správy DNS vaší domény (přes registrátora nebo poskytovatele DNS)
Požadované DNS záznamy
Níže je uveden kompletní příklad konfigurace. Nahraďte example.com svou skutečnou doménou a mail.example.com hostname vašeho IceWarp serveru.
Příklad DNS záznamů
Doména: example.com
# A Record - Nasměřuje vaši mailovou subdoménu na IP adresu vašeho serveru
mail IN A 192.0.2.10
# MX Record - Určuje ostatním e-mailovým serverům, kam doručovat poštu
@ IN MX 10 mail.example.com.
# Autodiscover - Pomáhá e-mailovým klientům automaticky nakonfigurovat nastavení
autodiscover IN CNAME mail.example.com.
# SPF Record - Brání spoofingu e-mailů
@ IN TXT "v=spf1 mx ~all"
# DKIM Record - Autentizace e-mailu (vygenerujte v IceWarp adminu)
default._domainkey IN TXT "v=DKIM1; k=rsa; p=YOUR_PUBLIC_KEY_HERE"
# DMARC Record - Pravidla e-mailu a reportování
_dmarc IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com"
# SRV Records (optional) - Povolit automatické zjišťování služeb pro různé protokoly
_autodiscover._tcp IN SRV 1 5 443 mail.example.com.
_caldav._tcp IN SRV 1 5 80 mail.example.com.
_caldavs._tcp IN SRV 1 5 443 mail.example.com.
_carddav._tcp IN SRV 1 5 80 mail.example.com.
_carddavs._tcp IN SRV 1 5 443 mail.example.com.
_ischedule._tcp IN SRV 1 5 80 mail.example.com.
_ischedules._tcp IN SRV 1 5 443 mail.example.com.
_xmpp-client._tcp IN SRV 1 5 5222 mail.example.com.
_xmpp-server._tcp IN SRV 1 5 5269 mail.example.com.Krok za krokem – nastavení DNS
Krok 1: Vytvoření A záznamu
A záznam nasměruje vaši mailovou subdoménu na IP adresu vašeho serveru.
Co vytvořit:
Typ: A
Název/Host: mail
Hodnota/Směřuje na: IP adresa vašeho serveru (např. 192.0.2.10)
TTL: 3600 (nebo 1 hodina)
Příklad: mail.example.com → 192.0.2.10
Krok 2: Vytvoření MX záznamu
MX (Mail Exchange) záznam určuje ostatním e-mailovým serverům, kam doručovat poštu pro vaši doménu.
Co vytvořit:
Typ: MX
Název/Host: @ (reprezentuje vaši root doménu)
Priorita: 10
Hodnota/Směřuje na: mail.example.com
TTL: 3600
Důležité: Hodnota priority určuje, který server se použije první, pokud máte více MX záznamů. Nižší číslo = vyšší priorita.
Krok 3: Vytvoření CNAME záznamu pro Autodiscover
Tento záznam pomáhá e-mailovým klientům automaticky nakonfigurovat připojení.
Co vytvořit:
Typ: CNAME
Název/Host: autodiscover
Hodnota/Směřuje na: mail.example.com
TTL: 3600
Krok 4: Konfigurace SPF záznamu
SPF (Sender Policy Framework) pomáhá zabránit padělání e-mailů tím, že specifikuje, které servery mohou posílat e-maily za vaši doménu.
Co vytvořit:
Typ: TXT
Název/Host: @ (root doména)
Hodnota: v=spf1 mx ~all
TTL: 3600
Vysvětlení SPF záznamu:
v=spf1– verze SPF 1mx– povolit servery uvedené v MX záznamech odesílat e-maily~all– soft fail pro všechny ostatní servery (označit jako podezřelé, ale doručit)
Pro přísnější řešení použijte -all místo ~all (hard fail = zamítnout).
Krok 5: Konfigurace DKIM záznamu
DKIM (DomainKeys Identified Mail) přidává k e-mailům digitální podpis.
Postup:
-
Vygenerujte DKIM klíč v administraci IceWarp:
Přihlaste se do IceWarp Admin Konzoli
Přejděte na System → Domains → [Vaše doména]
Klikněte na Security → DKIM
Klikněte Generate pro vytvoření nového klíče
Zkopírujte zobrazený veřejný klíč
Vytvořte DNS záznam:
Typ: TXT
Název/Host: default._domainkey
Hodnota: v=DKIM1; k=rsa; p=VÁŠ_VEŘEJNÝ_KLÍČ (vložit zkopírovaný klíč)
TTL: 3600
Krok 6: Konfigurace DMARC záznamu
DMARC (Domain-based Message Authentication) říká přijímajícím serverům, co dělat s e-maily, které neprojdou SPF nebo DKIM kontrolou.
Co vytvořit:
Typ: TXT
Název/Host: _dmarc
Hodnota: v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com
TTL: 3600
Možnosti DMARC politiky:
p=none– pouze sledování (doporučeno pro první nastavení)p=quarantine– označit podezřelé e-maily jako spamp=reject– zamítnout e-maily, které neprojdou autentizací
Poznámka: Nahraďte dmarc@example.com e-mailovou adresou, kam chcete přijímat DMARC reporty.
Krok 7: Vytvoření SRV záznamů
SRV záznamy umožňují automatické zjišťování služeb pro kalendáře, kontakty a zprávy.
Tyto záznamy jsou volitelné.
Pro každý SRV záznam je potřeba:
Typ: SRV
Název / Hostitel: název služby (např. _autodiscover._tcp)
Priorita: 1
Váha (Weight): 5
Port: port služby (liší se podle služby – viz tabulka)
Cíl (Target): mail.example.com
TTL: 3600
Reference portů SRV:
| Název služby | Port | Protokol | Účel |
|---|---|---|---|
| _autodiscover._tcp | 443 | HTTPS | Auto-konfigurace e-mailového klienta |
| _caldav._tcp | 80 | HTTP | Synchronizace kalendáře (nezabezpečená) |
| _caldavs._tcp | 443 | HTTPS | Synchronizace kalendáře (zabezpečená) |
| _carddav._tcp | 80 | HTTP | Synchronizace kontaktů (nezabezpečená) |
| _carddavs._tcp | 443 | HTTPS | Synchronizace kontaktů (zabezpečená) |
| _ischedule._tcp | 80 | HTTP | Plánování v kalendáři |
| _ischedules._tcp | 443 | HTTPS | Plánování v kalendáři (zabezpečená) |
| _xmpp-client._tcp | 5222 | XMPP | Instant messaging (klient) |
| _xmpp-server._tcp | 5269 | XMPP | Instant messaging (server) |
Poznámka: Někteří poskytovatelé DNS mají odlišné formáty pro zadávání SRV záznamů. Možná je budete muset zadat takto:
Služba: _autodiscover
Protokol: _tcp
Priorita: 1
Váha: 5
Port: 443
Cíl: mail.example.com
Poznámky specifické pro poskytovatele DNS
Běžní poskytovatelé DNS
Různí poskytovatelé DNS mají odlišná rozhraní. Zde je několik tipů:
Cloudflare:
Velmi uživatelsky přívětivé rozhraní
Automaticky přidává doménu do záznamů
U MX záznamů se ujistěte, že je „Proxy status“ nastaveno na „DNS only“ (gray cloud)
GoDaddy:
Použijte @ pro root doménu
U MX záznamů zadejte prioritu před názvem mail serveru
SRV záznamy mají samostatný formulář s jednotlivými poli
Namecheap:
@ reprezentuje root doménu
Názvy mail serverů by měly končit tečkou (např. mail.example.com.)
TTL je obvykle nastaveno automaticky
cPanel/WHM:
Použijte "Zone Editor" nebo "Advanced DNS Zone Editor
Většina polí je přímočará
Po zadání každého záznamu nezapomeňte kliknout na "Save"
Ověření
Po vytvoření všech DNS záznamů ověřte, zda fungují správně:
1. Kontrola propagace DNS
Použijte online nástroje pro ověření záznamů:
Poznámka: Změny DNS mohou trvat 24–48 hodin, než se plně projeví, ale často fungují už během 1–2 hodin.
2. Test doručování e-mailů
Pošlete testovací e-mail na externí adresu (Gmail, Outlook atd.) a zkontrolujte:
Dorazil do doručené pošty (ne do spamu)?
Zkontrolujte hlavičky e-mailu a ověřte, zda SPF, DKIM a DMARC prošly
3. Test Autodiscover
Zkuste nastavit e-mailového klienta (Outlook, Thunderbird) pouze s e-mailovou adresou a heslem.
Pokud Autodiscover funguje, mělo by se nastavení nakonfigurovat automaticky.
4. Ověření přes příkazovou řádku
Můžete zkontrolovat DNS záznamy pomocí příkazových nástrojů:
# Kontrola MX záznamu
dig MX example.com
# Kontrola A záznamu
dig A mail.example.com
# Kontrola SPF záznamu
dig TXT example.com
# Kontrola DKIM záznamu
dig TXT default._domainkey.example.com
# Kontrola SRV záznamu
dig SRV _autodiscover._tcp.example.comŘešení problémů
MX záznam nefunguje:
Ujistěte se, že záznam směřuje na hostname (např. mail.example.com), nikoliv na IP adresu
Zkontrolujte, zda hostname má odpovídající A záznam
Ověřte, že nejsou překlepy v názvu domény
Autodiscover nefunguje:
Zkontrolujte, zda je CNAME záznam správný
Ověřte, že SSL certifikát pokrývá autodiscover.example.com
Někteří klienti mohou potřebovat i SRV záznam
Selhání SPF:
Ujistěte se, že SPF záznam zahrnuje všechny servery, které posílají e-maily za vaši doménu
Pokud používáte externí služby (např. Mailchimp), zahrňte jejich SPF záznamy
Každá doména smí mít jen jeden SPF záznam
Selhání DKIM:
Zkontrolujte, zda byl veřejný klíč zkopírován správně (bez mezer nebo zalomení)
Název záznamu musí obsahovat
._domainkeyKlíč musí odpovídat soukromému klíči uloženému v IceWarp
Změny DNS se neprojevují:
Počkejte 24–48 hodin pro plnou propagaci
Vyčistěte lokální DNS cache:
ipconfig /flushdns(Windows) nebosudo dscacheutil -flushcache(macOS)Zkuste ověřit z jiné sítě nebo přes mobilní data
Nejlepší bezpečnostní praktiky
Po ověření funkčnosti použijte přísnou SPF politiku (
-all)Povolit DKIM podpis pro všechny odchozí e-maily
Začněte s DMARC
p=nonepro sledování, postupně přejděte nap=quarantinenebop=rejectPokud váš poskytovatel DNS podporuje DNSSEC, zapněte jej pro zvýšení bezpečnosti
Pravidelně sledujte DMARC reporty, abyste odhalili problémy s autentizací
Komentáře
0 komentářů
K článku není možné přidávat komentáře.