Microsoft Exchange 的 DNS 和 SPF 配置
我們已經開始從我們自己的域中接收帶有欺騙性地址的垃圾郵件。所以我試圖讓我的 PTR 和 SPF 記錄等正確以防止它發生。我們在現場執行 Exchange 2010,其中一台伺服器配置為執行所有角色。我們的 Exchange SAN 證書包括:webmail.domain.org 和 autodiscover.domain.org
我目前在我的外部 DNS 中有以下記錄(SPF 記錄是使用 Microsoft 的發件人 ID 框架嚮導生成的):
domain.org A 123.123.123.123 mail.domain.org A 123.123.123.234 mail.domain.org PTR 123.123.123.234 domain.org MX 0 mail.domain.org webmail.domain.org A 123.123.123.234 webmail.domain.org PTR 123.123.123.234 autodiscover.domain.org A 123.123.123.234 _autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org domain.org TXT "v=spf1 mx ip4:123.123.123.234 a:webmail.domain.org ptr:webmail.domain.org ptr:99-99-99-99.static.virginm.net mx:mail.domain.org a:99-99-99-99.static.virginm.net ~all"如果我使用 Google 的 DNS 伺服器進行反向查找,我會從我們的 ISP 收到類似於以下內容的響應:
99-99-99-99.static.virginm.net這與我的郵件伺服器提供的域不匹配。
我的內部 DNS 有以下記錄:
domain.org A 192.168.0.123 mail.domain.org A 192.168.0.234 webmail.domain.org A 192.168.0.234 mailserver.domain.internal PTR 192.168.0.234 autodiscover.domain.org CNAME webmail.domain.org _autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org我的問題是:
我需要將 MX 記錄添加到我的內部 DNS 嗎?
我是否需要詢問我的 ISP 是否能夠將 PTR 更改為 mail.domain.org?
我們的使用者通過 webmail.domain.org 訪問 OWA。我應該將我的 MX 記錄更改為 webmail.domain.org 並完全擺脫 mail.domain.org 嗎?如果沒有,mail.domain.org 是否需要在我的 SAN 證書上?
我對 HELO/EHLO 的 FQDN 響應是:mailserver.domain.internal。我是否需要更改它以匹配我的證書或我的 MX 記錄上的域?還是保持原樣?
我是否需要使用內部 IP 地址創建不同的 SPF 記錄並將其添加到我的內部 DNS 中?
我生成的 SPF 記錄是否正確?
還有什麼我沒有問過的需要改變的嗎?哈哈
我試圖提供盡可能多的資訊,但如果您需要其他任何資訊,請詢問。
我有點明白你打算怎麼做。讓我加上我的兩分錢:
- 我需要將 MX 記錄添加到我的內部 DNS 嗎?
不,這與外部到內部或內部到外部的電子郵件傳遞沒有任何關係。
- 我是否需要詢問我的 ISP 是否能夠將 PTR 更改為 mail.domain.org?
建議這樣做,以便當您的伺服器發送電子郵件時,反向 DNS 記錄與您的伺服器提供的 HELO/EHLO 中的 FQDN(即發送連接器上配置的 FQDN)相匹配。
- 我們的使用者通過 webmail.domain.org 訪問 OWA。我應該將我的 MX 記錄更改為 webmail.domain.org 並完全擺脫 mail.domain.org 嗎?如果沒有,mail.domain.org 是否需要在我的 SAN 證書上?
這與您的伺服器發送或接收電子郵件無關。
您的使用者連接到哪個 URL/FQDN 來訪問他們的郵箱在這裡並不重要。
- 我對 HELO/EHLO 的 FQDN 響應是:mailserver.domain.internal。我是否需要更改它以匹配我的證書或我的 MX 記錄上的域?
您應該在發送連接器上更改此 FQDN,儘管它與您的 MX 記錄沒有任何關係。(MX 記錄指定為您的域接收電子郵件的伺服器,而不是為您的域發送電子郵件的伺服器。)
- 我是否需要使用內部 IP 地址創建不同的 SPF 記錄並將其添加到我的內部 DNS 中?
不,這與外部到內部或內部到外部的電子郵件傳遞沒有任何關係。
- 我生成的 SPF 記錄是否正確 ?請參閱 Daniel 的回答:您可能可以使用更簡單的 SPF 記錄。
這是我在您的方法中看到的問題:除非您要對反向 DNS 或 SPF 記錄檢查失敗執行硬拒絕,否則您不會完全阻止這些欺騙性電子郵件。如果您執行硬拒絕,那麼您將失去大量合法電子郵件,因為反向 DNS 和 SPF 記錄並未普遍實施(和/或經常實施不正確)。
您可以通過調整 Exchange 反垃圾郵件設置中的發件人 ID 和發件人信譽設置來減少垃圾郵件和欺騙性電子郵件的數量,但除非您硬拒絕電子郵件,否則您不會完全阻止它們(但同樣,這可能會導致合法的電子郵件也被拒絕)。
我可能完全不符合我的邏輯,所以也許其他人可以用他們的專業知識來衡量。
另外,請參見此處,由 TheCleaner 提供:
http://exchangepedia.com/2008/09/how-to-prevent-annoying-spam-from-your-own-domain.html