mailcow dttb: спам-фикс, SSL, апдейт 2026-05c, BIMI+подпись, Roundcube, сбор почты

- фикс входящего спама: No-SNAT на OpenWrt (видел все письма как 10.0.0.1)
- SSL mail-портов: cert из NPM + cron-синхрон на Proxmox
- апдейт mailcow 2026-01 -> 2026-05c; урок: forward-zone unbound обязателен (RKN режет рекурсию)
- логотип UI, BIMI-SVG (Tiny PS) + хостинг, HTML-подпись
- Roundcube на /rc (bind-mount, public_html)
- внешний сбор почты Яндексом (IMAP/POP3)
- snippets: sync-mailcow-cert.sh, dttb-mail-branding/

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

notes/claude/2026-06-27-230518-httpsmaildttbrudomainadmin-можешь-найти-креды.md

@@ -0,0 +1,27 @@
+---
+date: 2026-06-27
+type: claude-session
+session_id: ac82ac49-7dd6-476e-9fd0-e10687c8867c
+started: 2026-06-27T19:43:29.595Z
+ended: 2026-06-27T20:05:18.062Z
+messages: 2
+tools: [Bash]
+tags: [claude, session]
+---
+
+# https://mail.dttb.ru/domainadmin/ можешь найти креды
+
+## Запрос
+
+https://mail.dttb.ru/domainadmin/ можешь найти креды
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Подтвердилось — вот корень:
+
+**`@zone[0] name=lan masq=1`** — на LAN-зоне роутера включён masquerade. Входящее письмо идёт `WAN:25 → DNAT → 10.0.0.107`, пакет уходит в LAN-зону, и из-за `masq=1` роутер подменяет source на свой `10.0.0.1`. Поэтому mailcow видит `10.0.0.1` вместо реального IP отправителя — отсюда RDNS_NONE + HFILTER_HOSTNAME_UNKNOWN на всём и R_SPF_FAIL для строгих.
+
+То есть это **не про `support@`** — бьёт по всем входящим сервера. `support@` просто новый: Bayes не выучил ham, и 
+
+---
+*Автосохранено из session [`ac82ac49`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/ac82ac49-7dd6-476e-9fd0-e10687c8867c.jsonl) — 2 сообщ., тулы: Bash*