Ste*_*ier 33 security email-server exchange-2013
我有一个关于我们的 Exchange Server 的问题:您认为拒绝以我们自己的域结尾的传入外部电子邮件是否是个好主意?
喜欢来自fake@example.com?
因为如果它来自我们公司的真实发件人,电子邮件就永远不会来自外部?
如果是,那么最好的方法是什么?
小智 53
是的,如果您知道您的域的电子邮件只能来自您自己的服务器,那么您应该阻止来自不同服务器的该域的任何电子邮件。即使发件人的电子邮件客户端在另一台主机上,他们也应该登录到您的服务器(或您使用的任何电子邮件服务器)来发送电子邮件。
更进一步,您可以将服务器配置为检查 SPF 记录。这是阻止此类电子邮件活动的主机数量。SPF 记录是 DNS 记录、TXT 记录,它提供有关允许哪些服务器为您的域发送电子邮件的规则。如何启用 SPF 记录检查取决于您的电子邮件服务,并且超出了此处涵盖的范围。幸运的是,大多数托管环境和软件都有使用 SPF 记录的文档。您可能想了解更多关于 SPF 的一般信息。这是维基百科文章:https : //en.wikipedia.org/wiki/Sender_Policy_Framework
Mar*_*son 31
已经有这样做的标准了。它被称为 DMARC。您可以使用 DKIM 签名来实现它(无论如何,这是一个好主意)。
高级概述是您使用 DKIM 标头对离开您的域的每封电子邮件进行签名(无论如何这是一个好习惯)。然后,您将 DMARC 配置为拒绝从您拥有的域发送到您的邮件服务器的每封电子邮件,该电子邮件未使用有效的 DKIM 标头进行签名。
这意味着您仍然可以让外部服务将电子邮件发送到您的域(如托管服务台软件等),但可以阻止鱼叉式网络钓鱼尝试。
DMARC 的另一个好处是您可以收到失败报告,因此您可以根据需要管理异常处理。
不利的一面是,您需要确保事先彻底整理好所有内容,否则您可能会开始丢弃合法电子邮件。
Pet*_*een 11
这样的阻止可能会减少垃圾邮件并可能使社会工程变得更加困难,但它也可能阻止合法邮件。示例包括邮件转发服务、邮件列表、邮件客户端配置错误的用户、直接从网络主机发送邮件而不涉及您的主邮件服务器的 Web 应用程序等。
Dkim 可以通过提供一种方法来识别从您的网络发送、循环通过邮件列表或转发器然后在您的邮件中收到的消息,从而在一定程度上缓解这种情况,但这不是一个完美的治疗方法,某些邮件列表会破坏 dkim 签名并且您仍然存在追踪所有合法邮件始发点并确保它们通过 dkim 签名者的问题。
谨慎行事,尤其是在现有域上实施此操作时。