我们有一个发送电子邮件的 API。我试图设置 Exchange O365,以便 API 服务器无需身份验证即可发送电子邮件。我做了一些更改并进行了测试,它工作正常,太棒了!但后来我从另一台服务器进行了测试,它仍然有效。哎呀。我撤消了所做的所有更改,因此它应该恢复到部署状态,并且中继仍然作品。
这肯定不是预料之中的事,是我错过了什么吗?
我采取的步骤:
- Exchange 管理中心 > 保护 > 连接筛选器 > 允许的 IP 地址:添加服务器 IP
- Exchange 管理中心 > 邮件流 > 连接器:已添加连接器 (如这里所述)
- 管理中心 > 域:更新 DNS 中的 SPF 记录以包含 API 服务器 IP 地址(如这里所述)
再次,我已撤销所有这些更改,并且我仍然可以使用连接到的 telnet 通过我的服务器中继邮件mydomainname-com.mail.protection.outlook.com。
我还可以检查什么来禁用此功能?
答案1
暂时忽略 SPF、DKIM、DMARC 等:
这基本上就是 SMTP 的工作方式。通过对您要发送电子邮件的域具有权威性的服务器发送电子邮件不需要身份验证。如果是这样,那么世界上的每个人都需要向世界上的每一台邮件服务器进行身份验证才能向任何人发送电子邮件。
如果我远程登录到您的电子邮件服务器以便向您发送电子邮件,那么您的服务器将接受我的连接,并接受电子邮件并将其发送到您的邮箱。在这种情况下,我正在发送电子邮件到您的服务器向拥有您的服务器具有权威性的邮箱的人发送电子邮件……更具体地说,我正在向拥有您的服务器具有权威性的邮箱和电子邮件域的人发送电子邮件。这不是中继。
如果我远程登录到您的服务器并尝试向您组织之外的电子邮件地址发送电子邮件,您的服务器将拒绝我的尝试。在这种情况下,我尝试发送电子邮件通过您的服务器被授予了邮箱/电子邮件域的权限,而您的服务器对此没有权限。这是中继。
为您的 API、Web 服务器、打印机等的 IP 地址创建发送连接器是一种“经过身份验证的中继”形式。在这种情况下,您告诉您的电子邮件服务器,这些 IP 地址可以通过该连接器将电子邮件发送到您组织之外的电子邮件地址,这些地址可以是您的服务器无权管理的任何电子邮件域。经过身份验证的中继有几种“形式”,这只是其中一种。
Exchange Online 是不是一个开放的中继,正如您正确发现的那样。