Domain-Name-System

Microsoft Exchange 的 DNS 和 SPF 配置

  • March 19, 2015

我們已經開始從我們自己的域中接收帶有欺騙性地址的垃圾郵件。所以我試圖讓我的 PTR 和 SPF 記錄等正確以防止它發生。我們在現場執行 Exchange 2010,其中一台伺服器配置為執行所有角色。我們的 Exchange SAN 證書包括:webmail.domain.org 和 autodiscover.domain.org

我目前在我的外部 DNS 中有以下記錄(SPF 記錄是使用 Microsoft 的發件人 ID 框架嚮導生成的):

domain.org A 123.123.123.123

mail.domain.org A 123.123.123.234
mail.domain.org PTR 123.123.123.234
domain.org MX 0 mail.domain.org

webmail.domain.org A 123.123.123.234
webmail.domain.org PTR 123.123.123.234

autodiscover.domain.org A 123.123.123.234
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org

domain.org TXT "v=spf1 mx ip4:123.123.123.234 a:webmail.domain.org ptr:webmail.domain.org ptr:99-99-99-99.static.virginm.net mx:mail.domain.org a:99-99-99-99.static.virginm.net ~all"

如果我使用 Google 的 DNS 伺服器進行反向查找,我會從我們的 ISP 收到類似於以下內容的響應:

99-99-99-99.static.virginm.net

這與我的郵件伺服器提供的域不匹配。

我的內部 DNS 有以下記錄:

domain.org A 192.168.0.123

mail.domain.org A 192.168.0.234

webmail.domain.org A 192.168.0.234
mailserver.domain.internal PTR 192.168.0.234

autodiscover.domain.org CNAME webmail.domain.org
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org

我的問題是:

  1. 我需要將 MX 記錄添加到我的內部 DNS 嗎?

  2. 我是否需要詢問我的 ISP 是否能夠將 PTR 更改為 mail.domain.org?

  3. 我們的使用者通過 webmail.domain.org 訪問 OWA。我應該將我的 MX 記錄更改為 webmail.domain.org 並完全擺脫 mail.domain.org 嗎?如果沒有,mail.domain.org 是否需要在我的 SAN 證書上?

  4. 我對 HELO/EHLO 的 FQDN 響應是:mailserver.domain.internal。我是否需要更改它以匹配我的證書或我的 MX 記錄上的域?還是保持原樣?

  5. 我是否需要使用內部 IP 地址創建不同的 SPF 記錄並將其添加到我的內部 DNS 中?

  6. 我生成的 SPF 記錄是否正確?

  7. 還有什麼我沒有問過的需要改變的嗎?哈哈

我試圖提供盡可能多的資訊,但如果您需要其他任何資訊,請詢問。

我有點明白你打算怎麼做。讓我加上我的兩分錢:

  1. 我需要將 MX 記錄添加到我的內部 DNS 嗎?

不,這與外部到內部或內部到外部的電子郵件傳遞沒有任何關係。

  1. 我是否需要詢問我的 ISP 是否能夠將 PTR 更改為 mail.domain.org?

建議這樣做,以便當您的伺服器發送電子郵件時,反向 DNS 記錄與您的伺服器提供的 HELO/EHLO 中的 FQDN(即發送連接器上配置的 FQDN)相匹配。

  1. 我們的使用者通過 webmail.domain.org 訪問 OWA。我應該將我的 MX 記錄更改為 webmail.domain.org 並完全擺脫 mail.domain.org 嗎?如果沒有,mail.domain.org 是否需要在我的 SAN 證書上?

這與您的伺服器發送或接收電子郵件無關。

您的使用者連接到哪個 URL/FQDN 來訪問他們的郵箱在這裡並不重要。

  1. 我對 HELO/EHLO 的 FQDN 響應是:mailserver.domain.internal。我是否需要更改它以匹配我的證書或我的 MX 記錄上的域?

您應該在發送連接器上更改此 FQDN,儘管它與您的 MX 記錄沒有任何關係。(MX 記錄指定為您的域接收電子郵件的伺服器,而不是為您的域發送電子郵件的伺服器。)

  1. 我是否需要使用內部 IP 地址創建不同的 SPF 記錄並將其添加到我的內部 DNS 中?

不,這與外部到內部或內部到外部的電子郵件傳遞沒有任何關係。

  1. 我生成的 SPF 記錄是否正確 ?請參閱 Daniel 的回答:您可能可以使用更簡單的 SPF 記錄。

這是我在您的方法中看到的問題:除非您要對反向 DNS 或 SPF 記錄檢查失敗執行硬拒絕,否則您不會完全阻止這些欺騙性電子郵件。如果您執行硬拒絕,那麼您將失去大量合法電子郵件,因為反向 DNS 和 SPF 記錄並未普遍實施(和/或經常實施不正確)。

您可以通過調整 Exchange 反垃圾郵件設置中的發件人 ID 和發件人信譽設置來減少垃圾郵件和欺騙性電子郵件的數量,但除非您硬拒絕電子郵件,否則您不會完全阻止它們(但同樣,這可能會導致合法的電子郵件也被拒絕)。

我可能完全不符合我的邏輯,所以也許其他人可以用他們的專業知識來衡量。

另外,請參見此處,由 TheCleaner 提供:

http://exchangepedia.com/2008/09/how-to-prevent-annoying-spam-from-your-own-domain.html

引用自:https://serverfault.com/questions/674630