與 SPF MAIL FROM 檢查相比,HELO 檢查有什麼好處?
我從我的(電子郵件)域上的 SPF 開始。(還沒有 DKIM 或 DMARC。)
我認為 SPF 中的 HELO 身份檢查幾乎沒有用處,並且正在考慮將 HELO 身份設置為我的域(而不是主機名)或機器的 IP。
除了以下幾點, SPF HELO 檢查還有什麼用?哪些觀點反對在 SMTP 客戶端中使用 IP 或域作為身份?
- 這是違反標準的(精神)(我不是僅僅為了遵循標準而遵循標準的忠實粉絲,特別是如果它不違反必須。)
- 將根據 HELO 身份檢查退回郵件和通知的空 MAIL FROM(如果這些發往外部系統的通知不隨我的 IP/域的 SPF 可信度浮動,我可以接受。)
- 過濾無法在任何隨機單個域(他們計劃用於 HELO 的域)上設置 DNS TXT 記錄的垃圾郵件發送者
僅在 RFC7208 中推薦:
2.3 . “HELO”身份
建議 SPF 驗證者不僅檢查“MAIL FROM”身份,還通過將 check_host() 函式(第 4 節)應用於“HELO”身份作為 . 選中“HELO”可以提高結果的一致性,並可以減少 DNS 資源的使用。如果可以基於對“HELO”的檢查做出關於消息的最終確定,則可以避免使用 DNS 資源來處理通常更複雜的“MAIL FROM”。此外,由於為“HELO”身份發布的 SPF 記錄指的是單個主機,因此在可用時,它們是主機授權狀態的非常可靠的來源。如果兩者都被檢查,則在“MAIL FROM”之前檢查“HELO”是推薦的順序。
請注意,對於 EHLO 或 HELO 命令中顯示的域的要求,發送方並不總是清楚,並且 SPF 驗證器必須準備好將身份作為 IP 地址文字(請參閱
$$ RFC5321 $$,第 4.1.3 節)或只是格式錯誤。僅當“HELO”字元串是有效的多標籤域名時,才能執行此 SPF 檢查。
您可能已經確定了與標準相關的已記錄問題,並通過從第一原則解釋中獲得了易於閱讀的解釋:
HELO 身份
為了防止郵件循環,自動回復中沒有提供 MAIL FROM 地址。在這種情況下,地址 postmaster@ 後跟來自 HELO/EHLO 命令的域用於 SPF 評估。HELO 身份也可以通過評估 HELO/EHLO 域的 SPF 記錄來單獨驗證。郵箱提供商必須為其每個外發郵件伺服器配置 SPF 記錄。據我所知,這在實踐中很少這樣做。我發現 SPF 記錄僅適用於 Outlook.com 的外發郵件伺服器。除非您自己執行郵件伺服器,否則 SPF 的這一方面無需擔心。
但是,可能存在“未記錄”的原因,例如接收伺服器上的工作證明。正如您所說,雖然您可以隨意使用您的伺服器,但接收伺服器的管理員也可以隨意處理您的郵件,以及有多少垃圾郵件存在與 HELO 相關的問題,也許只是為了安全起見,將那些不嚴格遵守標準的人發送到垃圾郵件文件夾。
因此,也許 HELO 檢查可以很好地向另一方的管理員展示您可以遵循標準,甚至包括他們的“精神”。