我们按照以下顺序使用电子邮件设置(传入邮件):
互联网 -> 内部邮件服务器(=> 附件过滤器、防病毒软件、垃圾邮件过滤器) -> 使用托管 SMTP 中继(我们网络服务器上的 postfix)转发到 Microsoft 365 Exchange Online。
我的问题是,Microsoft 收到的邮件未通过 SPF 检查,因为转发的邮件从我们的 SMTP 中继获取了发件人 IP 地址。
是否有可能将邮件“透明”转发给 Microsoft,以保留原始发件人地址以通过 SPF?我发现了一些有关 SRS(发件人重写方案)的信息……在我们的案例中,这是保持 SPF 正常运行的正确方法吗?
谢谢!
答案1
有很多选择可供您考虑。
脊髓灰质炎病毒
SRS 要求您重写Return-Path标头以更改检查 SPF 的域。但这会影响返回到该地址而不是原始Return-Path地址的退回邮件。因此,我不建议采取此操作。
Exchange Online 中的传输规则
如果您已在 Exchange Online 中为来自本地的邮件流创建了入站连接器,则可以为该连接器添加传输规则,将垃圾邮件可信度 (SCL) 设置为 -1。基本上,这会将通过此连接器到达的所有电子邮件视为安全列表。如果您完全信任本地过滤功能并且不希望使用 Exchange Online Protection 中提供的任何功能,则可以选择此选项。有关详细信息,请参阅:https://learn.microsoft.com/en-us/Exchange/security-and-compliance/mail-flow-rules/use-rules-to-set-scl
增强过滤
增强筛选功能将允许您通过特定的入站连接器列出本地/托管邮件流中的所有中间跳转,这些中间跳转将被 Exchange Online Protection 丢弃,并将本地设置之前的跳转 IP 地址视为原始主机。这将允许 SPF 检查传递标Return-Path头中使用的原始域的电子邮件。它还允许您仍然利用 Exchange Online Protection(Microsoft Defender for Office 365)中提供的其他功能。有关详细信息,请参阅:https://learn.microsoft.com/en-us/Exchange/mail-flow-best-practices/use-connectors-to-configure-mail-flow/enhanced-filtering-for-connectors
弧
身份验证接收链 (ARC) 可让您在本地过滤电子邮件服务器中添加密封的身份验证结果标头,然后 Exchange Online 会将其视为受信任的。您可以在 Defender 门户中配置受信任的 ARC 域 https://security.microsoft.com/authentication通过添加密封域。这将要求您的本地过滤邮件服务器支持 ARC 密封。
有关 Office 365 中的 ARC 的更多信息,请访问https://learn.microsoft.com/en-us/Exchange/mail-flow-best-practices/use-connectors-to-configure-mail-flow/enhanced-filtering-for-connectors
答案2
当然,最简单的选择就是简单地更新您的 SPF 记录以包含您的 SMTP 中继的 IP 地址?
SPF 记录可以列出多个地址/参考,因为您可以轻松地合法地从多个不同位置收到电子邮件。例如,如果您的中继 IP 是 1.2.3.4,而您当前的 SPF 记录是
v=spf1 include:spf.protection.outlook.com -all
然后简单地更新它
v=spf1 ip4:1.2.3.4 include:spf.protection.outlook.com -all