我对我们的 Exchange Server 有一个疑问:您认为拒绝接收以我们自己的域名结尾的外部电子邮件是个好主意吗?
喜欢来自的外部电子邮件[email protected]
?
因为如果它来自我们公司真正的发件人,那么该电子邮件就永远不会来自外面?
如果是,那么最好的方法是什么?
答案1
是的,如果您知道发往您域名的电子邮件只能来自您自己的服务器,那么您应该阻止来自其他服务器的任何发往该域名的电子邮件。即使发件人的电子邮件客户端位于另一台主机上,他们也应该登录到您的服务器(或您使用的任何电子邮件服务器)来发送电子邮件。
更进一步,您可以配置服务器以检查 SPF 记录。这就是许多主机阻止此类电子邮件活动的方式。SPF 记录是一种 DNS 记录,即 TXT 记录,它规定了哪些服务器可以为您的域发送电子邮件。如何启用 SPF 记录检查取决于您的电子邮件服务,超出了本文的范围。幸运的是,大多数托管环境和软件都会有使用 SPF 记录的文档。您可能想了解有关 SPF 的更多信息。以下是维基百科文章:https://en.wikipedia.org/wiki/Sender_Policy_Framework
答案2
已经有一个执行此操作的标准。它被称为 DMARC。您可以使用 DKIM 签名来实现它(无论如何,这是一个好主意)。
概括来说,您使用 DKIM 标头对离开您域的每封电子邮件进行签名(无论如何,这都是很好的做法)。然后,您配置 DMARC 以拒绝到达您邮件服务器的每封电子邮件,这些电子邮件来自您拥有的域,并且未使用有效的 DKIM 标头进行签名。
这意味着您仍然可以让外部服务向您的域发送电子邮件(如托管的帮助台软件等),但可以阻止鱼叉式网络钓鱼尝试。
DMARC 的另一个优点是您可以获得故障报告,因此您可以根据需要管理异常处理。
缺点是你需要确保事先彻底整理好所有事情,否则你可能会开始丢失合法的电子邮件。
答案3
此类拦截可能会减少垃圾邮件,并可能使社会工程学变得更加困难,但也可能拦截合法邮件。示例包括邮件转发服务、邮件列表、邮件客户端配置错误的用户、直接从网络主机发送邮件而不涉及主邮件服务器的网络应用程序等等。
Dkim 可以在一定程度上缓解这种情况,通过提供一种方法来识别从您的网络发送、通过邮件列表或转发器循环并在您的邮件中收到的消息,但这不是一个完美的解决办法,一些邮件列表会破坏 dkim 签名,而您仍然需要追踪所有合法邮件发起点并确保它们经过 dkim 签名者。
请谨慎行事,尤其是在现有域上实施时。
答案4
您可以在 PowerShell 中通过更新接收连接器权限来执行此操作,以排除匿名用户作为权威域发件人发送:
Get-ReceiveConnector <identity> | Remove-AdPermission -User "NT AUTHORITY\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-DomainSender
但是,当您有需要向您发送状态电子邮件的远程应用程序服务器时,就会出现问题,因为这些服务器通常在其发件人地址中使用您的域名。您可以为其特定 IP 地址创建一个额外的接收连接器,这样您就不会无意中排除它们。