Я установил запись SPF DNS для нашего домена.Я использовал наш внешний IP-адрес, и, похоже, он работает нормально, когда я отправляю электронное письмо внешним получателям из моего Outlook, SPF проходит, поскольку IP-адрес исходного сервера совпадает.
Теперь у нас также есть 8 веб-серверов, которые отправляют электронную почту через один и тот же сервер Exchange 2016, однако SPF дает сбой, потому что IP-адрес отправителя является внутренним сетевым IP-адресом веб-сервера (т. Е. 192.168.1.14, так далее.). Я не могу представить, что нужно поместить нашу внутреннюю подсеть в запись SPF.
Что мне не хватает?
Нет,не следует добавлять сети RFC1918 в запись SPF. Вместо этого вам следует настроить сервер Exchange так, чтобы пропускал проверки SPF и разрешал ретрансляцию для ваших веб-серверов . Если вы доверяете своим веб-приложениям, вы можете просто разрешить анонимную ретрансляцию со своих веб-серверов.
Анонимная ретрансляция является общим требованием для многих предприятий, у которых есть внутренние веб-серверы, серверы баз данных, приложения для мониторинга или другие сетевые устройства, которые генерируют сообщения электронной почты, но не могут фактической отправки этих сообщений.
В Exchange Server вы можете создать выделенный соединитель получения в транспортная служба переднего плана на сервере почтовых ящиков, которая позволяет анонимная ретрансляция из определенного списка внутренних сетевых узлов.
В статье это описывается более подробно, но здесь приводится сводка команд командной консоли Exchange, используемых для разрешения анонимной ретрансляции с двух серверов ( 192.168.1.14
и 192.168.1.15
):
New-ReceiveConnector -Name "Web Servers Relay" -TransportRole FrontendTransport `
-Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.1.14,192.168.1.15
Set-ReceiveConnector "Web Servers Relay" -PermissionGroups AnonymousUsers
Get-ReceiveConnector "Web Servers Relay" `
| Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" `
-ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Если вы не хотите разрешать анонимную ретрансляцию, ваши веб-приложения должны будут использовать аутентифицированный SMTP, но, как ваше первоначальное предложение, было добавить эти серверы в вашу запись SPF , возможно, вам подойдет анонимный ретранслятор.