我试图了解 RFC7208 (SPF) 中定义的 HELO 身份的好处。
有一个邮件服务器,比如说mail.example.com。此服务器用作不同域的中继。
在第 2.4 节中:
如果“HELO”检查尚未执行或未通过将 check_host() 函数应用于“MAIL FROM”身份作为 <sender>,则 SPF 验证者必须检查“MAIL FROM”身份。
据我所知,如果HELO已经通过,则无需检查MAIL FROM。
2.3 节类似:
检查“HELO”可促进结果的一致性并可以减少 DNS 资源的使用。如果可以基于对“HELO”的检查对消息做出决定性的确定,则可以避免使用 DNS 资源来处理通常更复杂的“MAIL FROM”。
这不会导致未经检查的 MAIL FROM 身份吗?
问候,亚历克斯
一些可能的用途:
\n您可以尽早拒绝失败的 HELO 身份。由于HELOSMTP 命令在对话早期发生,因此您可以fail立即拒绝评估为的 HELO 身份。(我\xe2\x80\x99m在我自己的邮件主机上使用这个,并看到很多声称是这个邮件主机的客户很早就被拒绝了。)
您可以评估 HELO 身份和 MAIL FROM 身份,并使用两者来为某些 \xe2\x80\x98score\xe2\x80\x99 的合法性做出贡献。例如,您可以向 HELO和MAIL FROM 身份评估为的发件人分配更多信任pass。
如果您对 HELO 身份感到满意,您可以决定跳过 MAIL FROM 身份的评估pass或fail或softfail,作为快捷方式,可以这么说:如果您\xe2\x80\,则不必检查MAIL FROM x99对此不感兴趣。但请注意,HELO 身份很容易被伪造,就像 MAIL FROM 身份一样(发件人可以随意发送任何内容),因此通常您会MAIL FROM 身份感兴趣(并可能将其输入 DMARC 组件)。
另外,虽然不是直接回答您的问题,但请记住,当您的邮件服务器发送退回邮件(即带有空信封发件人 ( ) 的邮件)时,也会评估 HELO 身份来代替<>MAIL FROM 身份。因此,正确设置它无论如何都是一个要求。
这一切都取决于您的要求。它还取决于您的 SPF 实现允许什么(我自己的实现SPF Milter支持以上所有内容)。
\n在实践中,也许将 HELO 恒等式视为主要对负面结果 ( fail、softfail、permerror) 有用的东西,而不是对正面结果 ( pass) 有用的东西。当邮件服务器检查 HELO 身份并遇到否定结果时,它可以立即结束会话或将否定的 HELO 结果记录为标头中的最终 SPF 结果。在这样的策略下,在这些情况下确实不需要评估 MAIL FROM 身份。这样的政策确实会导致前面提到的 DNS 资源减少,因此我认为提供和检查 SPF HELO 身份能带来直接的实际好处。
| 归档时间: |
|
| 查看次数: |
210 次 |
| 最近记录: |