Postfix

使用 SPF 進行欺騙防護

  • September 26, 2015

我正在嘗試為我的域正確配置 SPF。我們有兩台只接收郵件的 MX 伺服器,以及兩台我們希望在 SPF 記錄中列出的出站中繼伺服器。

我們在一個名為 mail.sub.example.com 的子域中也有一個郵件伺服器。它只為這個子域發送郵件。兩台 MX 伺服器還負責該域的傳入郵件。

我遇到的問題是使用者經常將他們的郵件從這個子域伺服器轉發到 Gmail 和其他提供商,在那裡他們使用這些遠端提供商的功能以 user@sub.example.com 的身份發送郵件。

那麼是否建議將 Google 的 SPF 記錄添加為包含項?

我擔心這樣做會使所有 Google 都能夠欺騙我的域。如果未列出,我們將失去維護 SPF 在整個電子郵件鏈中提供的安全性的好處。

當從我自己的域接收到一個 MX 伺服器的電子郵件時,我還想從 SPF 保護中受益,並使用它來保護我自己的使用者不接收來自我們域中使用者的偽造電子郵件。

Sub 和 example 應該有單獨的 SPF 記錄,包括您發送電子郵件的伺服器:

我建議使用 ip4: 機制,而不是 A、MX 或 PTR,將這些 DNS 查找保存為包括:如果您稍後添加 3rd 方 ESP。

-全部拒絕

還要研究 DMARC,因為它對大型郵箱提供商的欺騙保護具有更高的成功率。

Gmail 將代表 user@example.com 從 gmail 發送電子郵件,因此它將使用 gmail 而不是 example.com 的 SPF

引用自:https://serverfault.com/questions/724838