对于接收 MTA,似乎没有必要检查传入 SMTP 连接的 SPF 记录,也不需要执行 rDNS/PTR 查找。
考虑:
- 服务器从 获得 SMTP 连接,并声称来自
aaa.bbb.ccc.ddd(可能是欺骗性的)MAIL FROMmail.example.com - 服务器查找 的 SPF 记录
mail.example.com,发现aaa.bbb.ccc.ddd有权或无权向该域发送电子邮件
如果测试 2 通过,则根据定义,PTR在 上的查找应该会在 处产生结果,除非 DNS 配置错误。如果测试 2 失败,则指向哪里并不重要。aaa.bbb.ccc.dddexample.comaaa.bbb.ccc.ddd
这是正确的吗?如果是这样,为什么有些邮件提供商(例如 Microsoft)会进行 PTR 查找?
答案1
查找反向 DNS PTR 并正向确认它使您能够
- 拒绝设置不当的业余主持人
- 拒绝未设置电子邮件的被黑主机
- 通配符黑名单动态主机
如果没有 FCrDNS,主机可以随意伪造 PTR 名称。查找 IP -> PTR -> A 需要与原始 IP 地址匹配。请注意,一个 IP 地址可能有多个 PTR(不常见但可能),并且反向 DNS 名称可能有多个 A 记录 - 其中至少一个需要与 IP 匹配。
将 HELO 主机名 -> A 与 IP 地址匹配也可能是合理的。将 PTR 与 HELO 名称匹配则不合理。
通过验证每个 SPF 的 MTA 授权,您可以拒绝欺骗的发件人域。
两者是不同的东西并且解决不同的问题。