有出差（或远程）员工的公司的 SPF 记录

Question 1

他们使用多个 SMTP 服务器，部分原因是他们在旅行，部分原因是他们在家工作

这在 20 世纪 90 年代非常常见，当时使用相同的 SMTP 配置在两个服务器之间传递邮件。消息传输代理（MTA）和初始提交邮件用户代理（MUA）。此外，为了打击来自受感染计算机的垃圾邮件，ISP 开始阻止到 SMTP 端口的流量，这些流量TCP/25用于除其自己的出站 SMTP 服务器之外的其他目的地。这导致了上述情况，员工过去每次更换位置时都会更改 SMTP 服务器，但如今这一切都应该成为历史。

在 MTA 之间将邮件提交与 SMTP 分离，并选择性地要求身份验证，最早是在RFC 2476（1998 年 12 月），而当前更新的标准是RFC 6409简而言之，这意味着您的 SMTP 监听587具有不同 MUA 设置的端口。这些连接通常经过身份验证、加密且不会被 ISP 阻止，因此无需再切换 SMTP 服务器。

对所有外发邮件使用分离消息提交是阻止电子邮件伪造的第一步；只有在您暂停了无法区分伪造邮件和真实邮件的做法后，才能使用 SPF、DKIM 和 DMARC 工具。

部分原因是他们根本不知道这意味着什么。有办法解决这个问题吗？

这是 ICT 部门的工作！员工不需要知道为什么他们必须对电子邮件使用某些设置。ICT 部门应提供正确的电子邮件设置以及使用指南，并声明这些是发送电子邮件的唯一正确设置。然后，可以使用 SPF、DKIM 和 DMARC 强制执行；设置严格的策略将阻止来自该域的所有其他邮件，因为从技术上讲，这些邮件都是伪造的。

Answer

他们使用多个 SMTP 服务器，部分原因是他们在旅行，部分原因是他们在家工作

这在 20 世纪 90 年代非常常见，当时使用相同的 SMTP 配置在两个服务器之间传递邮件。消息传输代理（MTA）和初始提交邮件用户代理（MUA）。此外，为了打击来自受感染计算机的垃圾邮件，ISP 开始阻止到 SMTP 端口的流量，这些流量TCP/25用于除其自己的出站 SMTP 服务器之外的其他目的地。这导致了上述情况，员工过去每次更换位置时都会更改 SMTP 服务器，但如今这一切都应该成为历史。

在 MTA 之间将邮件提交与 SMTP 分离，并选择性地要求身份验证，最早是在RFC 2476（1998 年 12 月），而当前更新的标准是RFC 6409简而言之，这意味着您的 SMTP 监听587具有不同 MUA 设置的端口。这些连接通常经过身份验证、加密且不会被 ISP 阻止，因此无需再切换 SMTP 服务器。

对所有外发邮件使用分离消息提交是阻止电子邮件伪造的第一步；只有在您暂停了无法区分伪造邮件和真实邮件的做法后，才能使用 SPF、DKIM 和 DMARC 工具。

部分原因是他们根本不知道这意味着什么。有办法解决这个问题吗？

这是 ICT 部门的工作！员工不需要知道为什么他们必须对电子邮件使用某些设置。ICT 部门应提供正确的电子邮件设置以及使用指南，并声明这些是发送电子邮件的唯一正确设置。然后，可以使用 SPF、DKIM 和 DMARC 强制执行；设置严格的策略将阻止来自该域的所有其他邮件，因为从技术上讲，这些邮件都是伪造的。

Question 2

视情况而定。您的远程员工是否使用您的 VPN 服务器？

如果您有 VPN 服务器，则 SPF 设置对于常规 SMTP/MX 邮件服务器来说是正常的：

v=spf1 *.example.com -all

如果不是 VPN，则通过面向 Internet 的 TCP 端口 576 由 SMTP MSA（邮件提交代理）进行传输，配置为邮件中继，经常需要某种形式的反垃圾邮件支持（即 spamassassin），而所有这些都需要一长串授权远程 IP 地址：

v=spf1 ipv4:myserverip ?include:_spf.example.com -all

或通配符 SPF（都不理想）：

v=spf1 * -all

理想情况下，VPN 是远程工作人员更好、更安全的解决方案。

Answer