SPF записи для компании с путешествующими (или удаленными) сотрудниками
Я пытаюсь настроить SPF-запись для домена компании, сотрудники которой используют всевозможные SMTP-серверы...
Но мне кажется, что эта строка уже противоречит сама себе? Является ли это проблемой ?
Они используют несколько SMTP-серверов, частично потому, что они в разъездах, частично потому, что они работают дома, частично потому, что они не знают, что это значит в любом случае. Есть ли способ решить эту проблему?
Они используют несколько SMTP-серверов, отчасти потому, что они путешествуют, отчасти потому, что они работают на home
Это было очень распространено еще в 1990-х, когда одна и та же конфигурация SMTP использовалась как для доставки почты между агентами передачи сообщений (MTA), так и для первоначальной отправки от почтового агента пользователя ] (MUA). Кроме того, чтобы бороться со спамом с зараженных компьютеров, интернет-провайдеры начали блокировать трафик на порт SMTP TCP / 25 для других пунктов назначения, кроме их собственного исходящего SMTP-сервера. Это привело к описанной ситуации, когда сотрудники меняли SMTP-сервер каждый раз при смене местоположения, но этот день и возраст все это должно быть историей .
Разделение отправки сообщений из SMTP между MTA и MTA необязательная аутентификация впервые была представлена в RFC 2476 (декабрь 1998 г.), а текущий обновленный стандарт - в RFC 6409 . Вкратце это означает, что ваш SMTP прослушивает порт 587 с различными настройками для MUA. Эти соединения обычно аутентифицируются, зашифровываются и не блокируются интернет-провайдерами, что делает ненужным переключение серверов SMTP.
Использование раздельной отправки сообщений для всей исходящей почты является первым шагом на пути к прекращению подделки электронной почты; SPF, DKIM и DMARC - это инструменты, которые вы можете использовать только после того, как приостановите действия, которые не позволяют отличить поддельную почту от подлинной.
отчасти потому, что они все равно не знают, что это значит. Есть ли способ решить эту проблему?
Это работа отдела ИКТ! Сотрудникам не нужно знать, почему они должны использовать определенные настройки для своей электронной почты. Отдел ИКТ должен предоставить правильные настройки электронной почты и руководство по их использованию, а также объявить, что это единственные правильные настройки для отправки электронной почты. Потом,это можно сделать с помощью SPF, DKIM и DMARC; установка строгих политик остановит всю остальную почту из домена, поскольку она технически становится поддельной.
Это зависит от обстоятельств. Используют ли ваши удаленные сотрудники ваш VPN-сервер или нет?
Если у вас есть VPN-сервер, то настройка SPF нормальна для обычного почтового сервера SMTP / MX:
v=spf1 *.example.com -all
Если не VPN, то через SMTP MSA (агент отправки почты) через TCP-порт 576 с выходом в Интернет, настроенный для ретрансляции почты, часто требующий некоторой формы поддержки защиты от спама (например, spamassassin), для всего этого требуется длинный список авторизованных удаленных IP-адресов:
v=spf1 ipv4:myserverip ?include:_spf.example.com -all
или подстановочный знак SPF (ни один из них не идеален):
v=spf1 * -all
В идеале VPN является лучшим и безопасным решением для удаленных сотрудников.