Dan*_*iel 2 domain-name-system exchange spam spf exchange-2010
我们已经开始从我们自己的域接收带有欺骗地址的垃圾邮件。所以我试图让我的 PTR 和 SPF 记录等正确以防止它。我们在现场运行 Exchange 2010,其中一台服务器配置为运行所有角色。我们用于 Exchange 的 SAN 证书包括:webmail.domain.org 和 autodiscover.domain.org
我目前在我的外部 DNS 中有以下记录(SPF 记录是使用 Microsoft 的发件人 ID 框架向导生成的):
domain.org A 123.123.123.123
mail.domain.org A 123.123.123.234
mail.domain.org PTR 123.123.123.234
domain.org MX 0 mail.domain.org
webmail.domain.org A 123.123.123.234
webmail.domain.org PTR 123.123.123.234
autodiscover.domain.org A 123.123.123.234
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org
domain.org TXT "v=spf1 mx ip4:123.123.123.234 a:webmail.domain.org ptr:webmail.domain.org ptr:99-99-99-99.static.virginm.net mx:mail.domain.org a:99-99-99-99.static.virginm.net ~all"
如果我使用 Google 的 DNS 服务器进行反向查找,我会从我们的 ISP 收到类似于以下内容的响应:
99-99-99-99.static.virginm.net
这与我的邮件服务器提供的域不匹配。
我的内部 DNS 有以下记录:
domain.org A 192.168.0.123
mail.domain.org A 192.168.0.234
webmail.domain.org A 192.168.0.234
mailserver.domain.internal PTR 192.168.0.234
autodiscover.domain.org CNAME webmail.domain.org
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org
我的问题是:
1) 我需要在我的内部 DNS 中添加 MX 记录吗?
2) 我是否需要询问我的 ISP 他们是否能够将他们的 PTR 更改为 mail.domain.org?
3) 我们的用户通过 webmail.domain.org 访问 OWA。我应该将我的 MX 记录更改为 webmail.domain.org 并完全摆脱 mail.domain.org 吗?如果没有,mail.domain.org 是否需要在我的 SAN 证书上?
4) 我对 HELO/EHLO 的 FQDN 响应是:mailserver.domain.internal。我是否需要更改它以匹配我的证书或我的 MX 记录上的域?还是保持原样?
5) 我是否需要使用内部 IP 地址创建不同的 SPF 记录并将其添加到我的内部 DNS 中?
6) 我生成的 SPF 记录是否正确?
7) 还有什么我没有问过的需要改变的吗?哈哈
我已尝试提供尽可能多的信息,但如果您需要其他任何信息,请询问。
我有点明白你要怎么做。让我加上我的两分钱:
- 我是否需要将 MX 记录添加到我的内部 DNS 中?
不。这与外部到内部或内部到外部的电子邮件传递没有任何关系。
- 我是否需要询问我的 ISP 他们是否能够将他们的 PTR 更改为 mail.domain.org?
建议这样做,以便当您的服务器发送电子邮件时,反向 DNS 记录与您的服务器提供的 HELO/EHLO 中的 FQDN(这是在您的发送连接器上配置的 FQDN)相匹配。
- 我们的用户通过 webmail.domain.org 访问 OWA。我应该将我的 MX 记录更改为 webmail.domain.org 并完全摆脱 mail.domain.org 吗?如果没有,mail.domain.org 是否需要在我的 SAN 证书上?
这与您的服务器发送或接收电子邮件无关。
您的用户为了访问他们的邮箱而连接到哪个 URL/FQDN 在这里并不重要。
- 我对 HELO/EHLO 的 FQDN 响应是:mailserver.domain.internal。我是否需要更改它以匹配我的证书或我的 MX 记录上的域?
您应该在发送连接器上更改此 FQDN,尽管它与您的 MX 记录没有任何相关性。(MX 记录指定哪个服务器为您的域接收电子邮件,而不是哪个服务器为您的域发送电子邮件。)
- 我是否需要使用内部 IP 地址创建不同的 SPF 记录并将其添加到我的内部 DNS 中?
不。这与外部到内部或内部到外部的电子邮件传递没有任何关系。
- 我生成的 SPF 记录是否正确 参见 Daniel 的回答:您可能可以使用更简单的 SPF 记录。
这是我在您的方法中看到的问题:除非您要对反向 DNS 或 SPF 记录检查失败执行硬拒绝,否则您不会完全阻止这些欺骗性电子邮件。如果您执行硬拒绝,那么您将丢失大量合法电子邮件,因为反向 DNS 和 SPF 记录并未普遍实施(和/或经常实施不正确)。
您可以通过在 Exchange 的反垃圾邮件设置中调整发件人 ID 和发件人信誉设置来减少垃圾邮件和欺骗性电子邮件的数量,但除非您硬拒绝电子邮件,否则您不会完全阻止它们(但同样,这可能会导致合法的电子邮件也被拒绝)。
我可能完全不符合我的逻辑,所以也许其他人可以用他们的专业知识来权衡。
另外,请参阅此处,由 TheCleaner 提供:
http://exchangepedia.com/2008/09/how-to-prevent-annoying-spam-from-your-own-domain.html
| 归档时间: |
|
| 查看次数: |
5547 次 |
| 最近记录: |