Microsoft Exchange 的 DNS 和 SPF 配置

Microsoft Exchange 的 DNS 和 SPF 配置

我们已经开始从我们自己的域中收到带有欺骗性地址的垃圾邮件。因此,我正在尝试使我的 PTR 和 SPF 记录等正确无误,以防止这种情况发生。我们在现场运行 Exchange 2010,其中一台服务器配置为运行所有角色。我们的 Exchange SAN 证书包括:webmail.domain.org 和 autodiscover.domain.org

我的外部 DNS 中当前有以下记录(SPF 记录是使用 Microsoft 的发件人 ID 框架向导生成的):

domain.org A 123.123.123.123

mail.domain.org A 123.123.123.234
mail.domain.org PTR 123.123.123.234
domain.org MX 0 mail.domain.org

webmail.domain.org A 123.123.123.234
webmail.domain.org PTR 123.123.123.234

autodiscover.domain.org A 123.123.123.234
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org

domain.org TXT "v=spf1 mx ip4:123.123.123.234 a:webmail.domain.org ptr:webmail.domain.org ptr:99-99-99-99.static.virginm.net mx:mail.domain.org a:99-99-99-99.static.virginm.net ~all"

如果我使用 Google 的 DNS 服务器进行反向查找,我会从我们的 ISP 收到类似以下内容的响应:

99-99-99-99.static.virginm.net

这与我的邮件服务器提供的域不匹配。

我的内部 DNS 具有以下记录:

domain.org A 192.168.0.123

mail.domain.org A 192.168.0.234

webmail.domain.org A 192.168.0.234
mailserver.domain.internal PTR 192.168.0.234

autodiscover.domain.org CNAME webmail.domain.org
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org

我的问题是:

1)我需要向我的内部 DNS 添加 MX 记录吗?

2) 我是否需要询问我的 ISP 是否能够将其 PTR 更改为 mail.domain.org?

3) 我们的用户通过 webmail.domain.org 访问 OWA。我是否应该将我的 MX 记录更改为 webmail.domain.org 并完全摆脱 mail.domain.org?如果不行,mail.domain.org 是否需要在我的 SAN 证书上?

4) 我对 HELO/EHLO 的 FQDN 响应是:mailserver.domain.internal。我是否需要更改它以匹配我的证书或 MX 记录上的域?还是保持原样?

5) 我是否需要使用内部 IP 地址创建不同的 SPF 记录并将其添加到我的内部 DNS?

6)我生成的 SPF 记录正确吗?

7)还有什么需要更改但我还没问的吗?哈哈

我已尝试提供尽可能多的信息,但如果您需要其他信息,请询问。

答案1

我有点明白你的意思了。让我补充一下我的看法:

  1. 我是否需要向我的内部 DNS 添加 MX 记录?

不。这与从外部到内部或从内部到外部的电子邮件传递没有任何影响。

  1. 我是否需要询问我的 ISP 他们是否能够将其 PTR 更改为 mail.domain.org?

建议这样做,以便当您的服务器发送电子邮件时,反向 DNS 记录与您的服务器提供的 HELO/EHLO 中的 FQDN(即在您的发送连接器上配置的 FQDN)匹配。

  1. 我们的用户通过 webmail.domain.org 访问 OWA。我是否应该将我的 MX 记录更改为 webmail.domain.org 并完全摆脱 mail.domain.org?如果不行,mail.domain.org 是否需要在我的 SAN 证书上?

这与您的服务器发送或接收电子邮件无关。
您的用户连接到哪个 URL/FQDN 来访问他们的邮箱在这里并不重要。

  1. 我对 HELO/EHLO 的 FQDN 响应是:mailserver.domain.internal。我是否需要更改此值以匹配证书或 MX 记录上的域?

您应该在发送连接器上更改此 FQDN,尽管它与您的 MX 记录没有任何关系。(MX 记录指定哪个服务器收到为您的域名发送电子邮件,而不是为您的域名发送电子邮件的服务器。

  1. 我是否需要使用内部 IP 地址创建不同的 SPF 记录并将其添加到我的内部 DNS?

不。这与从外部到内部或从内部到外部的电子邮件传递没有任何影响。

  1. 我生成的 SPF 记录是否正确 参见 Daniel 的回答:您可能只需要更简单的 SPF 记录即可。

我发现您的方法存在以下问题:除非您要对反向 DNS 或 SPF 记录检查失败执行硬拒绝,否则您将无法完全阻止这些欺骗性电子邮件。如果您执行硬拒绝,那么您将丢失大量合法电子邮件,因为反向 DNS 和 SPF 记录并未普遍实施(和/或经常实施不正确)。
您可以通过调整 Exchange 反垃圾邮件设置中的发件人 ID 和发件人信誉设置来减少垃圾邮件和欺骗性电子邮件的数量,但除非您硬拒绝电子邮件,否则您无法完全阻止它们(但同样,这可能会导致合法电子邮件也被拒绝)。

我的逻辑可能完全错误,所以也许其他人可以用他们的专业知识来判断。

另外,请参阅此处,由 TheCleaner 提供:

http://exchangepedia.com/2008/09/how-to-prevent-annoying-spam-from-your-own-domain.html

答案2

通常这一行就足够了:

domain.com. IN TXT "v=spf1 mx a ~all"
                           ^1 ^2
  1. 它允许所有列为 MX 的服务器域名.com为此域名发送电子邮件。
  2. 它允许 IP 为域名.com为此域名发送电子邮件。

所以 …

  1. 不,但是这样会很好。
  2. 不,对所有人来说都是如此。
  3. 更改。
  4. 否,内部主机名和 IP 地址不会进入 SPF 记录
  5. 缩短如上图所示
  6. 或许 ;)

相关内容