Мы начали получать спам с имитировавшими адресами от нашего собственного домена. Таким образом, я пытаюсь получить свой PTR, и записи SPF и т.д. исправляют для предотвращения его. Мы выполняем Exchange 2010 на сайте с одним сервером, настроенным для выполнения всех ролей. Наш сертификат SAN для Exchange включает: webmail.domain.org и autodiscover.domain.org
У меня в настоящее время есть следующие записи в моем внешнем DNS (Запись SPF была сгенерирована с помощью идентификационного Мастера Платформы Отправителя Microsoft):
domain.org A 123.123.123.123
mail.domain.org A 123.123.123.234
mail.domain.org PTR 123.123.123.234
domain.org MX 0 mail.domain.org
webmail.domain.org A 123.123.123.234
webmail.domain.org PTR 123.123.123.234
autodiscover.domain.org A 123.123.123.234
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org
domain.org TXT "v=spf1 mx ip4:123.123.123.234 a:webmail.domain.org ptr:webmail.domain.org ptr:99-99-99-99.static.virginm.net mx:mail.domain.org a:99-99-99-99.static.virginm.net ~all"
Если я делаю обратный Google использования поиска сервер DNS, я получаю ответ от нашего ISP, подобного:
99-99-99-99.static.virginm.net
Который не соответствует домену, представляемому моим почтовым сервером.
Мой внутренний DNS имеет следующие записи:
domain.org A 192.168.0.123
mail.domain.org A 192.168.0.234
webmail.domain.org A 192.168.0.234
mailserver.domain.internal PTR 192.168.0.234
autodiscover.domain.org CNAME webmail.domain.org
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org
Мои вопросы:
1) Я должен добавить запись MX на свой внутренний DNS?
2) Я должен спросить свой ISP, если они могут изменить свой PTR на mail.domain.org?
3) Наш пользовательский доступ OWA с помощью webmail.domain.org. Я должен изменить свою запись MX на webmail.domain.org и избавиться от mail.domain.org полностью? В противном случае mail.domain.org должен быть на моем сертификате SAN?
4) Мой ответ FQDN на HELO/EHLO: mailserver.domain.internal. Я должен изменить это для соответствия домену на моем сертификате или моей записи MX? или оставьте его, как это?
5) Я должен сделать другую запись SPF с внутренними IP-адресами и добавить его к моему внутреннему DNS?
6) SPF является рекордным, я генерировал корректный?
7) Есть ли что-либо еще, что я должен изменить, о котором я не спросил? lol
Я попытался дать как можно больше информации, но если Вам нужно что-либо еще, спросите.
Я вроде понимаю, к чему вы клоните. Позвольте мне добавить свои два цента:
- Нужно ли мне добавлять запись MX к моему внутреннему DNS?
Нет. Это не имеет никакого отношения к доставке электронной почты от внешней к внутренней или от внутренней к внешней.
- Нужно ли мне спрашивать своего интернет-провайдера, могут ли они изменить свой PTR на mail.domain.org?
Это было бы рекомендовано так что когда ваш сервер отправляет электронную почту, запись обратного DNS совпадает с полным доменным именем в HELO / EHLO, которое предоставляет ваш сервер (это полное доменное имя, настроенное на вашем коннекторе отправки).
- Наши пользователи получают доступ к OWA через webmail.domain.org . Должен ли я изменить свою запись MX на webmail.domain.org и полностью избавиться от mail.domain.org? Если нет, нужен ли mail.domain.org в моем сертификате SAN?
Это не имеет отношения к отправке или получению электронной почты вашим сервером.
Здесь не имеет значения, к какому URL / FQDN подключаются ваши пользователи для доступа к своим почтовым ящикам.
- Мой ответ FQDN на HELO / EHLO: mailserver.domain.internal. Нужно ли мне изменить это, чтобы оно соответствовало домену в моем сертификате или моей записи MX?
Вы должны изменить это полное доменное имя в коннекторе отправки, хотя оно не имеет никакого отношения к вашей записи MX. (Запись MX указывает, какой сервер получает электронную почту для вашего домена, а не какой сервер отправляет электронную почту для вашего домена.)
- Нужно ли мне создавать другую запись SPF с внутренними IP-адресами и добавлять ее в мои внутренний DNS?
Нет. Это не имеет никакого отношения к внешней доставке электронной почты или внутренней к внешней доставке электронной почты.
- Правильна ли созданная мной запись SPF См. Ответ Дэниела : Вероятно, вам удастся обойтись гораздо более простой записью SPF.
Вот проблема, которую я вижу в вашем подходе: если вы не собираетесь выполнять жесткое отклонение на обратном DNS или SPF ошибка проверки записи, то вы не сможете полностью предотвратить эти поддельные электронные письма. Если вы выполните жесткое отклонение, вы потеряете много законной электронной почты, потому что обратные записи DNS и SPF не используются повсеместно (и / или часто применяются неправильно).
Вы можете уменьшить количество спама и поддельных писем, настроив параметры Sender ID и Sender Reputation в настройках Anti-spam в Exchange, но вы не собираетесь полностью предотвращать их, если вы не отклоните электронные письма (но опять же, это, вероятно, приведет к тому, что и законные электронные письма будут отклонены).
Возможно, я совершенно не согласен с моей логикой, поэтому, возможно, кто-то другой может высказать свое мнение.
Также см. здесь, любезно предоставлено TheCleaner:
http://exchangepedia.com/2008/09/how-to-prevent-annoying-spam-from-your-own-domain.html
Обычно этой строки достаточно:
domain.com. IN TXT "v=spf1 mx a ~all"
^1 ^2
Итак…