Вопросы Теги

DNS и конфигурация SPF для Microsoft Exchange

Мы начали получать спам с имитировавшими адресами от нашего собственного домена. Таким образом, я пытаюсь получить свой PTR, и записи SPF и т.д. исправляют для предотвращения его. Мы выполняем Exchange 2010 на сайте с одним сервером, настроенным для выполнения всех ролей. Наш сертификат SAN для Exchange включает: webmail.domain.org и autodiscover.domain.org

У меня в настоящее время есть следующие записи в моем внешнем DNS (Запись SPF была сгенерирована с помощью идентификационного Мастера Платформы Отправителя Microsoft):

domain.org A 123.123.123.123

mail.domain.org A 123.123.123.234
mail.domain.org PTR 123.123.123.234
domain.org MX 0 mail.domain.org

webmail.domain.org A 123.123.123.234
webmail.domain.org PTR 123.123.123.234

autodiscover.domain.org A 123.123.123.234
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org

domain.org TXT "v=spf1 mx ip4:123.123.123.234 a:webmail.domain.org ptr:webmail.domain.org ptr:99-99-99-99.static.virginm.net mx:mail.domain.org a:99-99-99-99.static.virginm.net ~all"

Если я делаю обратный Google использования поиска сервер DNS, я получаю ответ от нашего ISP, подобного:

99-99-99-99.static.virginm.net

Который не соответствует домену, представляемому моим почтовым сервером.

Мой внутренний DNS имеет следующие записи:

domain.org A 192.168.0.123

mail.domain.org A 192.168.0.234

webmail.domain.org A 192.168.0.234
mailserver.domain.internal PTR 192.168.0.234

autodiscover.domain.org CNAME webmail.domain.org
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org

Мои вопросы:

1) Я должен добавить запись MX на свой внутренний DNS?

2) Я должен спросить свой ISP, если они могут изменить свой PTR на mail.domain.org?

3) Наш пользовательский доступ OWA с помощью webmail.domain.org. Я должен изменить свою запись MX на webmail.domain.org и избавиться от mail.domain.org полностью? В противном случае mail.domain.org должен быть на моем сертификате SAN?

4) Мой ответ FQDN на HELO/EHLO: mailserver.domain.internal. Я должен изменить это для соответствия домену на моем сертификате или моей записи MX? или оставьте его, как это?

5) Я должен сделать другую запись SPF с внутренними IP-адресами и добавить его к моему внутреннему DNS?

6) SPF является рекордным, я генерировал корректный?

7) Есть ли что-либо еще, что я должен изменить, о котором я не спросил? lol

Я попытался дать как можно больше информации, но если Вам нужно что-либо еще, спросите.

2
задан 19 March 2015 в 19:16
2 ответа

Я вроде понимаю, к чему вы клоните. Позвольте мне добавить свои два цента:

  1. Нужно ли мне добавлять запись MX к моему внутреннему DNS?

Нет. Это не имеет никакого отношения к доставке электронной почты от внешней к внутренней или от внутренней к внешней.

  1. Нужно ли мне спрашивать своего интернет-провайдера, могут ли они изменить свой PTR на mail.domain.org?

Это было бы рекомендовано так что когда ваш сервер отправляет электронную почту, запись обратного DNS совпадает с полным доменным именем в HELO / EHLO, которое предоставляет ваш сервер (это полное доменное имя, настроенное на вашем коннекторе отправки).

  1. Наши пользователи получают доступ к OWA через webmail.domain.org . Должен ли я изменить свою запись MX на webmail.domain.org и полностью избавиться от mail.domain.org? Если нет, нужен ли mail.domain.org в моем сертификате SAN?

Это не имеет отношения к отправке или получению электронной почты вашим сервером.
Здесь не имеет значения, к какому URL / FQDN подключаются ваши пользователи для доступа к своим почтовым ящикам.

  1. Мой ответ FQDN на HELO / EHLO: mailserver.domain.internal. Нужно ли мне изменить это, чтобы оно соответствовало домену в моем сертификате или моей записи MX?

Вы должны изменить это полное доменное имя в коннекторе отправки, хотя оно не имеет никакого отношения к вашей записи MX. (Запись MX указывает, какой сервер получает электронную почту для вашего домена, а не какой сервер отправляет электронную почту для вашего домена.)

  1. Нужно ли мне создавать другую запись SPF с внутренними IP-адресами и добавлять ее в мои внутренний DNS?

Нет. Это не имеет никакого отношения к внешней доставке электронной почты или внутренней к внешней доставке электронной почты.

  1. Правильна ли созданная мной запись SPF См. Ответ Дэниела : Вероятно, вам удастся обойтись гораздо более простой записью SPF.

Вот проблема, которую я вижу в вашем подходе: если вы не собираетесь выполнять жесткое отклонение на обратном DNS или SPF ошибка проверки записи, то вы не сможете полностью предотвратить эти поддельные электронные письма. Если вы выполните жесткое отклонение, вы потеряете много законной электронной почты, потому что обратные записи DNS и SPF не используются повсеместно (и / или часто применяются неправильно).
Вы можете уменьшить количество спама и поддельных писем, настроив параметры Sender ID и Sender Reputation в настройках Anti-spam в Exchange, но вы не собираетесь полностью предотвращать их, если вы не отклоните электронные письма (но опять же, это, вероятно, приведет к тому, что и законные электронные письма будут отклонены).

Возможно, я совершенно не согласен с моей логикой, поэтому, возможно, кто-то другой может высказать свое мнение.

Также см. здесь, любезно предоставлено TheCleaner:

http://exchangepedia.com/2008/09/how-to-prevent-annoying-spam-from-your-own-domain.html

6
ответ дан 3 December 2019 в 08:42

Обычно этой строки достаточно: 

domain.com. IN TXT "v=spf1 mx a ~all"
                           ^1 ^2
  1. Она позволяет всем серверам, указанным как MX для domain.com для отправки электронной почты для этого домена.
  2. Это позволяет серверу с IP-адресом domain.com отправлять электронные письма для этого домена.

Итак…

  1. Нет
  2. Нет, но было бы хорошо.
  3. Нет, всем.
  4. Измените его.
  5. Нет, внутренние имена хостов и IP-адреса не попадают в запись SPF
  6. Сократите его, как показано выше
  7. Возможно;)
4
ответ дан 3 December 2019 в 08:42

Теги

Похожие вопросы