Я установил запись SPF DNS для нашего домена. Я использовал наш внешний IP-адрес, и, похоже, он работает нормально, когда я отправляю электронное письмо внешним получателям из моего Outlook, SPF проходит, поскольку IP-адрес исходного сервера совпадает.
Теперь у нас также есть 8 веб-серверов, которые отправляют электронную почту через один и тот же сервер Exchange 2016, однако SPF дает сбой, потому что IP-адрес отправителя является внутренним сетевым IP-адресом веб-сервера (например, 192.168.1.14 и т. Д.) . Я не могу представить, чтобы наша внутренняя подсеть была помещена в запись SPF.
Что мне не хватает?
Нет, вам не следует добавлять сети RFC1918 в свою запись SPF. Вместо этого вы должны настроить свой сервер Exchange на опустить проверки SPF и разрешить ретрансляцию для ваших веб-серверов. Если вы доверяете своим веб-приложениям, вы можете просто разрешить анонимную ретрансляцию с ваших веб-серверов.
Анонимное реле является общим требованием для многих предприятий, у которых есть внутренние веб-серверы, серверы баз данных, приложения для мониторинга или другие сетевые устройства, которые генерируют сообщения электронной почты, но не могут фактически отправлять эти сообщения.
В Exchange Server вы можете создать выделенный соединитель приема в транспортной службе переднего плана на сервере почтовых ящиков, который разрешает анонимную ретрансляцию из определенного списка узлов внутренней сети.
В статье это описывается более подробно, но здесь приводится сводка команд оболочки Exchange Management Shell, используемых для разрешения анонимной ретрансляции с двух серверов (192.168.1.14 и 192.168.1.15):
New-ReceiveConnector -Name "Web Servers Relay" -TransportRole FrontendTransport `
-Custom -Bindings 0.0.0.0:25 -RemoteIpRanges 192.168.1.14,192.168.1.15
Set-ReceiveConnector "Web Servers Relay" -PermissionGroups AnonymousUsers
Get-ReceiveConnector "Web Servers Relay" `
| Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" `
-ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
Если вы не хотите разрешать анонимную ретрансляцию, ваши веб-приложения должны будут использовать SMTP с аутентификацией, но, поскольку ваше первоначальное предложение заключалось в добавлении этих серверов в запись SPF, использование анонимной ретрансляции, вероятно, вам подходит.