Konfigurace SMTP serveru


Tento článek popisuje kontroly, které se provádí na sdíleném smtp serveru smtp.forpsi.com a chyby, se kterými se můžete při odesílání zpráv přes tento smtp server setkat. Kontroly jsou důležité z hlediska předcházení přetěžování serveru a spamování přes tento smtp server, především pak pro zajištění doručitelnosti legitimních zpráv posílaných přes tento smtp server.
 
Připojení k smtp serveru je možné na portech 25, 587 a 465. Doporučujeme zabezpečené spojení TLS na portu 587 nebo SSL na portu 465. SMTP server vyžaduje autorizaci (PLAIN nebo LOGIN).

Poznámka: Poskytovatelé internetového připojení často z důvodu ochrany před spamováním blokují komunikaci na portu 25. Pro předcházení potížím s blokováním portu 25 doporučujeme pro odchozí server smtp.forpsi.com použít port 587 a zabezpečení TLS, nebo port 465 spolu se zabezpečeným spojením SSL.

Návody na nastavení jednotlivých poštovních klientů naleznete v sekcích


SMTP server smtp.forpsi.com je realizován systémem Cloudmark Gateway firmy Cloudmark. Cloudmark Gateway je ve svém oboru nejrychlejší, vysoce flexibilní řešení úrovně carrier-grade zajišťující mimo jiné účinnou ochranu před přetěžováním serveru nebo před zneužitím emailových účtů ke spamování.

  • Autorizace
K SMTP serveru je nutné se autorizovat - je nutné zadat správný login (celou emailovou adresu) a heslo. Jsou podporovány metody autorizace LOGIN a PLAIN.  Pokud nemáte nastavenou autorizaci k smtp serveru, je třeba upravit nastavení emailového účtu ve vašem klientovi, viz návody v sekci Emailoví klienti.
Chybová hláška (chybné heslo):
 5.1.0 piWs1j0010jifNx01iWsdh authentication failed
Chybová hláška (chybný uživatel - musí být celá emailová adresa)
 5.1.0 piWs1j0010jifNx01iWsdh authentication rejected
Chybová hláška (zablokovaný smtp přístup - je třeba kontaktovat naši podporu)
5.1.0 piWs1j0010jifNx01iWsdh authentication rejected access disabled
Více se dočtete v článku Konfigurace SMTP serveru - autorizace.
 
  • Doména v odesílateli musí být stejná jako doména účtu, ke kterému se autorizujete, nebo její alias.
Chybová hláška:
 5.1.0 <jan.novak@domena.cz> sender rejected
Více se dočtete v článku Konfigurace SMTP serveru - autorizace.

Poznámka: Ve webmailu je možné nastavit externí účty nebo alternativní adresu odesílatele. Příslušné adresy lze pak (pouze ve webmailu) použít jako adresy odesílatele, i když jejich doména neodpovídá doméně účtu, ke kterému jste přihlášeni, ani není její alias.
 
PoznámkaZ bezpečnostních důvodů je zakázán RELAY (i po autorizaci) emailů zasílaných přes cizí mailservery. Každý poštovní server je možné nakonfigurovat tak, aby posílal emaily přímo příjemci (podle specifikace v DNS). V případě potíží s konfigurací se obraťte na dodavatele vašeho softwaru.
 
  • Z jedné IP je během jedné hodiny povoleno maximálně 10 neplatných pokusů o autorizaci
Protože spammeři se opakovaně pokouší prolamovat hesla ke schránkám, kontroluje se na smtp serveru pro každou IP adresu počet neúspěšných autorizací. Pokud je tento počet větší než 10, další smtp spojení z dané IP adresy jsou odmítána s chybou
 5.1.0 piWs1j0010jifNx01iWsdh Connection refused from 112.67.35.229. Too many authorization failures from this IP, try again later.
Více se dočtete v článku Konfigurace SMTP serveru - autorizace.
 
  • Platný MX nebo A záznam
Doména odesílatele i doména příjemce musí mít mít platný MX nebo A záznam. V opačném případě se zobrazí jedna z těchto chyb:
5.1.1 piWs1j0010jifNx01iWsdh invalid destination domain <petr.novak@domn.tld>
5.1.0 piWs1j0010jifNx01iWsdh invalid domain
Více se dočtete v článku Konfigurace SMTP serveru - kontrola DNS záznamů.
 
  • Ochrana podle GeoIP
Z bezpečnostních důvodů je ve výchozím nastavení povolené odesílání pouze z určitých zemí, viz článek Povolené země v rámci ochrany podle GeoIP. Jestliže potřebujete odesílat z nepovolené země, pošlete nám autorizovanou žádost, kde uvedete doménu a ze kterých zemí chcete odesílat.
 
Příklad chybového hlášení:
5.1.0 <jan.novak@mailtest.cz> sender rejected GeoIP mailtest.cz:112.67.35.229:CN
PoznámkaMůže se stát, že pokud vycestujete do ciziny, přestane fungovat odesílání emailů, i když je odesílání z dané země povolené. Příčinou může být blokování komunikace na portu 25 ze strany tamějšího poskytovatele internetového připojení. V tom případě doporučejeme pro odchozí smtp server použít port 587, nebo port 465 spolu se zabezpečeným spojením SSL.

Poznámka: Pokud odesíláte emaily z webmailu, nezáleží na tom, ze které země jste přihlášeni.
 
  • Limity
Limity pro počet emailů odeslaných za jednotku času:

250 mailů / minutu
1000 mailů / hodinu
20000 mailů / den
 
Chybová hláška:
5.1.0 piWs1j0010jifNx01iWsdh policy violation
Maximální počet příjemců jedné zprávy: 250
Chybová hláška:
5.1.0 piWs1j0010jifNx01iWsdh too many recipients
Maximální počet zpráv v rámci jedné session: 250
Chybová hláška:
5.1.0 piWs1j0010jifNx01iWsdh too many messages per session, try again later
Během tří minut je možné odeslat maximálně 30 emailů větších než 1 MB na domény seznam.cz, email.cz, post.cz.
Chybová hláška:
5.1.0 piWs1j0010jifNx01iWsdh too many big messages to Seznam.cz
Při větším množství zpráv nesmí zůstat ve frontě více než polovina těchto zpráv odeslaných z jedné IP nebo z jedné emailové adresy.
Chybová hláška:
5.1.0 piWs1j0010jifNx01iWsdh policy violation
Více informací k limitům pro odesílané zprávy naleznete v článku Konfigurace SMTP serveru - limity.
 
  • S výjimkou určitého počtu prvních zpráv vyhodnocených jako spam jsou další zprávy odmítány 
Z důvodů předcházení zneužití účtů ke spamování se u všech odesílaných emailů kontroluje, zda neobsahují virus nebo přílohu se zakázanou příponou a zda se nejedná o spam.
Určitý počet zpráv vyhodnocených jako spam z jedné IP, resp. od jednoho uživatele během jednoho dne bude do systému přijat. Další zprávy z téže IP, resp. od stejného odesílatele budou do vypršení reputací (do 24 hodin) odmítnuty s jednou z následujících chyb:
5.1.0 piWs1j0010jifNx01iWsdh policy violation
5.1.0 piWs1j0010jifNx01iWsdh spam detected
Co dělat, když se vám zobrazí uvedená chyba: pošlete nám nový tiket na portálu support.forpsi.com se zdrojovým kódem zasílané zprávy a zobrazené chybové hlášení.
 
  • Zprávy obsahující virus nebo soubor s nepovolenou příponou jsou odmítány
Zprávy obsahující virus jsou odmítány. Zprávy obsahující soubor s nepovolenou příponou (com, exe, pif, bat, scr, cpl, cmd, dll, lnk, inf, msi, sct, vbs, vb, vbe, js, wsf, iso) jsou také odmítány.
V klientovi se můžou zobrazit následující chybové hlášky:
5.1.0 piWs1j0010jifNx01iWsdh virus detected
5.1.0 piWs1j0010jifNx01iWsdh Bad attachment
Co dělat, když se vám zobrazí uvedená chyba: Pokud jste k emailu přiložili soubor s nepovolenou příponou, zabalte tento soubor např. jako .zip, email pak bude možné odeslat.
 
  • IP adresa odesílatele se nesmí nacházet na blacklistu Spamhaus SBL
IP adresa odesílatele se nesmí nacházet na blacklistu Spamhaus SBL. Jde o erudovaný blacklist. Spamhaus nedoporučuje z IP adres blacklistovaných na SBL blacklistu přijímat jakékoli emaily. Více informací naleznete na www.spamhaus.org/sbl/
 
Co dělat, když se vám zobrazí uvedená chyba: Nejprve je třeba vyřešit delistování z blacklistu Spamhaus SBL, poté budou emaily z dané IP opět přijímány.
 
  • Podpora TLS
Nyní je možné použít TLS komunikaci nejen v rámci SMTP spojení poštovní klient > smtp server smtp.forpsi.com, ale také v rámci spojení smtp.forpsi.com > server příjemce. V rámci spojení smtp.forpsi.com > server příjemce se TLS použije vždy, pokud ho poštovní server příjemce podporuje. Pokud je pro jeho hostname nastavený TLSA záznam, kontroluje se také DANE TLSA.
 
  • Nastavení SPF záznamu
Pokud máte pro Vaši doménu nastavený SPF záznam (Sender Policy Framework) a emaily odesíláte přes server smtp.forpsi.com, přidejte si do příslušného SPF záznamu tuto položku:

include:_spf.forpsi.com

Hodnota SPF záznamu pak může vypadat například takto, více viz článek Nastavení SPF záznamu:

v=spf1 a mx include:_spf.forpsi.com ~all
 
  • Možnost aktivace DKIM
U hostingů, které používají naše DNS servery a mají hosting ve stejném zákaznickém účtu jako doménu, aktivujeme DKIM automaticky. U ostatních postupujte podle návodu v článku DKIM .