MX записи DNS
 

На сервере провайдера nic.ru, где хостится почта от firma.ru есть DNS записи

@ MX 10 mx01.nicmail.ru
@ MX 20 mx03.nicmail.ru
@ MX 5 mx02.nicmail.ru
mail CNAME mail.nic.ru
@ TXT v=spf1 redirect=nicmail.ru

Вопросы:
1)зачем 3 МХ записи, а не одна? Они перестраховываются что ли насчет слета одного своего сервера?
2)каков смысл последней TXT записи?
3)Если я ставлю свой Ехсhange2010 и хочу, чтоб почта сразу шла сразу на него, а на почт.сервер nic.ru шла только в случае облома моего сервера,
то мне достаточно добавить запись типа @ MX 1 MyRouterIP-adr (На роутере будут проброшены порты на машину с Exchange)
или еще что-то нужно?
4)настраивается ли Exchange2010, чтоб он как клиент мог забирать почту с почт.сервера nic.ru со всех ящиков с какой-то периодичностью, а пользовательские клиенты уже забирали свою почту от него?
Если да, то что это за настройки?

1) Все верно, MX записи нужны на случай отказа серверов. Если отправляющий сервер не может достучаться до записи с более низким приоритетом то он пробует запись с более высоким приоритетом.
2) Это SPF запись. Если у принимающего сервера включена антиспам проверка на SPF, то он сверяет домен отправителя из RCPT TO с SPF записью в этом домене. Например в ней могут перечислены IP серверов, полномочных отправлять почту от имени этого домена. В данном случае SPF запись ссылается на другую SPF запись в домене nicmail.ru (можете посмотреть ее так: "nslookup -type=txt nicmail.ru").
3) Для вашего сценария создаете несколько МХ записей. В записи с самым низким приоритетом указываете IP вашего Exchange. В остальных - сервера, на которые указывают MX записи nic.ru. Таким образом сначала отправитель будет стучаться на ваш Exchange, и, если не получит ответа - на остальные записи.
4) У exchange нет такой опции. Ищите дополнительный клиент pop3. Вот пример из гугла:http://forum.nic.ru/showthread.php?t=5687

Правильно ли я Вас понял, что эта запись не даст отправлять моему серверу письма от имени моего домена, потому что там в spf ссылке ip-адреса сплошь серверов nic.ru, а ip-адреса моего сервера нет, даже если я его MX записью поставлю на первое место по приоритетности?
Могут ли быть эти запрещающие(блокирующие) spf записи быть отнесенными только к определенным MX записям, а к МХ записи про мой сервер не применяться?

Прочитайте вот тут http://forum.ixbt.com/topic.cgi?id=7:26978, думаю немного станет понятней.
нет не правильно, т.к
Ваше письмо либо жестко отбросят (если у принимающего сервера стоит параметр -а), либо добавят в потенциально не безопасные (спам) если стоит параметр ~a.
Надо просто добавить запись вида ip4:1.1.1.1 или a:mail.domain.ru, где mail А-запись вашего почтового сервера для домена domain.ru

MX записи никак не связаны с SPF. SPF запись проверяется для домена, из которого вы будете отправлять письма. Например ,если вы будете отправлять письма с адресов *@klop.ru, то SPF запись будет проверяться именно в этом домене. SPF запись домена nic.ru влияет только на @nic.ru.

Если посмотреть nslookup -type=txt nicmail.ru , то выдается(ip-адреса относятся к nic.ru):
Не заслуживающий доверия ответ:
nicmail.ru text =
"v=spf1 ip4:194.85.88.224/27 ip4:195.208.3.0/24 ip4:195.208.4.0/24 ip4:1
95.208.5.0/24 ip4:195.208.6.0/24 ip4:212.193.224.250 ip4:212.193.224.251 ip4:212
.192.194.3 ?all

А ?all по-вашей ссылке вроде означает:
т.е. получается, что ограничения этой записи вообще не действуют и никакого отбрасывания писем не будет? Про эту TXT запись можно не беспокоиться?

Насколько я понял, знак @ в начале sfx записи означает, что она относится именно к моей фирме firma.ru, которая имеет почтовый хостинг на nic.ru
и хотя письма отправляются через nic.ru эта запись проверяет на спам домен firma.ru (при -all или ~all), а не nic.ru
Все записи и МХ и ТХТ, приведенные в моем первом посте относятся к моей фирме firma.ru, у которой просто DNS хостится на nic.ru,
а к nic.ru относятся только тем боком, что я использую их почтовые сервера. Поэтому приведенные МХ записи, получается, связаны с приведенной TXT-SPF записью, как относящиеся к одной firma.ru.
Я спрашивал о привязке SPF к разным MX в рамках одной firma.ru. Например, чтобы на mx01.nicmail.ru выполнялось -all,
на mx02.nicmail.ru выполнялось ~all, а на моем exchange.firma.ru выполнялось ?all. Так можно сделать?

SPF запись может быть только одна на домен, и, хотя можно создать несколько записей, RFC это запрещает. Соответственно, если вы хотите сделать, чтобы почта не с ваших серверов отбрасывалась антиспамом, вам нужно поменять SPF запись в вашем домене firma.ru на -all с явным указанием списка серверов. Например: "v=spf1 ip4:1.2.3.4 -all"

в оригинале звучит так
т.е ни чего нельзя сказать о действительности записи.
Данная запись придумывалась еще компанией Microsoft для борьбы со спамом, и сейчас играет малую роль в этом.
Лучше обратите внимание на PTR запись.

Добавлю, что основное преимущество SPF записи в том, что письма отправленные от имени вашего домена не смогут быть подделаны извне. Например, отправляя письмо на домен test.ru, не имеющий SPF записи и включенной проверки SPF, я могу легко отправить письмо с именем отправителя *@test.ru с неавторизованного сервера.

Это как-то негибко.
Автор первого поста по ссылке http://forum.ixbt.com/topic.cgi?id=7:26978 со знанием дела применяет несколько ТХТ записей. Как так?
Может этот запрет RFC уже устарел, время идет?
Так с одной записью я оказываюсь привязанным по отправке к nic.ru, а у них как раз сегодня рухнули все 3 сервера на много часов, ничего не работает, техподдержка не отвечает.
-all они включать не могут, наверно, а то все будут жаловаться, что письма пропадают совсем неспамерные.

Ну вообще-то у него три записи в трех разных зонах - как раз по записи на домен.
Мне кажется вы немного недопоняли концепт SPF записи. Nic.ru отправляет письма с адресом отправителя вашего домена @firma.ru. Запись SPF у вас тоже в домене firma.ru (не nic.ru, у nic.ru просто ваш днс хостится). Если вы боитесь, что проверка SPF будет проваливаться если, nic.ru рухнет и вы будете отправлять почту со своего сервера - просто добавьте IP вашего сервера в эту запись.
Делать SPF для каждого сервера - бессмысленно. Конкретный пример для понимания:
1. Ваш сервак отправляет письмо. MAIL FROM указывает как admin@firma.ru.
2. Принимающий сервак принимает это письмо. Когда он получает MAIL FROM, он выделяет из письма домен firma.ru и смотрит в DNS зону этого домена в поисках SPF записи.
3. Если записи нет - письмо пропускается. Если запись например вида "v=spf1 ip4:1.2.3.4 -all", то сервак сравнивает IP, с которого прилетела SMTP сессия, с IP в SPF записи. Соответственно если письмо прилетело с сервера 1.2.3.4 - проверка пройдена, если с любого другого - проверка провалена. В запись вы можете добавить столько серверов, сколько вам угодно.

Так же можно воспользоваться синтаксисом include, и запись может быть другого вида
"mx" - принимать письма от серверов, указанных в MX-записях;
"ip4:1.1.1.1" - принимать письма, отправленные с IP-адреса 1.1.1.1;
"include:nicmail.ru" - принимать письма с серверов, разрешенных SPF-записями nicmail.ru;
"~all" - принимать письма со всех остальных серверов, но помечать их как СПАМ

В Exchange 2010 есть возможность на коннекторе приеме запретить принимать почту из вне от своего smtp-домена.

Конечно есть, тем не менее на практике 50% админов даже не задумывались об этом, а правильно сделано это на 1% инсталляций наверное :)