Office 365 Exchange,預設開啟中繼?
我們有一個發送電子郵件的 API。我試圖設置 Exchange O365,以便 API 伺服器無需身份驗證即可發送電子郵件。我做了一些更改並進行了測試,效果很好,太棒了!但後來我從另一台伺服器測試,它仍然有效。哎呀。我撤消了我所做的所有更改,所以它應該回到部署狀態,並且中繼仍然有效。
這當然不是預期的,我錯過了什麼嗎?
我採取的步驟:
- Exchange 管理中心 > 保護 > 連接篩選器 > 允許的 IP 地址:添加伺服器 IP
- Exchange 管理中心 > 郵件流 > 連接器:添加了連接器(如此處所述)
- 管理中心 > 域:更新了 DNS 中的 SPF 記錄以包含 API 伺服器 IP 地址(如此處所述)
同樣,我已恢復所有這些更改,並且我仍然可以使用連接到
mydomainname-com.mail.protection.outlook.com.我還能檢查什麼來禁用它?
忽略 SPF、DKIM、DMARC 等一分鐘:
這基本上就是 SMTP 的工作方式。通過對您發送電子郵件的域具有權威性的伺服器發送電子郵件不需要身份驗證。如果是這樣,那麼世界上的每個人都需要對世界上的每個郵件伺服器進行身份驗證,才能向任何人發送電子郵件。
如果我遠端登錄到您的電子郵件伺服器以向您發送電子郵件,那麼您的伺服器將接受我的連接並接受電子郵件並將其發送到您的郵箱。在這種情況下,我正在向您的伺服器發送電子郵件,該人擁有您的伺服器對其具有權威性的郵箱……更具體地說,我正在向擁有您的伺服器對其具有權威性的郵箱和電子郵件域的人發送電子郵件。這不是中繼。
如果我遠端登錄到您的伺服器並嘗試向您組織外部的電子郵件地址發送電子郵件,您的伺服器將拒絕我的嘗試。在這種情況下,我試圖通過您的伺服器將電子郵件發送給具有您的伺服器不具有權威性的郵箱/電子郵件域的人。這是中繼。
為您的 API、Web 伺服器、列印機等的 IP 地址創建發送連接器是“經過身份驗證的中繼”的一種形式。在這種情況下,您告訴您的電子郵件伺服器,允許這些 IP 地址通過該連接器將電子郵件發送到您組織之外的電子郵件地址,這將是您的伺服器不具有權威性的任何電子郵件域。認證中繼有多種“形式”,這只是其中一種。
正如您正確發現的那樣, Exchange Online不是一個開放的中繼。