Я пытаюсь настроить запись SPF для домена компании, сотрудники которой используют всевозможные SMTP-серверы.
Но я думаю, что эта линия уже противоречит сама себе? Это проблема?
Они используют несколько SMTP-серверов, отчасти потому, что они путешествуют, отчасти потому, что работают дома, отчасти потому, что они все равно не знают, что это значит. Есть ли способ решить эту проблему?
Они используют несколько SMTP-серверов, отчасти потому, что путешествуют, отчасти потому, что работают дома.
Это было очень распространено еще в 1990-х, когда одна и та же конфигурация SMTP использовалась для доставки почты между агенты передачи сообщений (MTA) и первоначальное представление от почтовый пользовательский агент (MUA). Также, чтобы бороться со спамом с взломанных компьютеров, интернет-провайдеры начали блокировать трафик на порт SMTP. TCP/25 для других пунктов назначения, кроме их собственного SMTP-сервера исходящей почты. Это привело к описанной ситуации, когда сотрудники меняли SMTP-сервер каждый раз при смене местоположения, но сегодня это все должно быть историей.
Разделение отправки сообщений от SMTP между MTA и необязательного требования аутентификации было впервые введено в RFC 2476 (Декабрь 1998 г.), а текущий обновленный стандарт находится в RFC 6409. Короче говоря, это означает, что ваш SMTP прослушивает порт. 587 с разными настройками для MUA. Эти соединения обычно аутентифицируются, шифруются и не блокируются интернет-провайдерами, что делает ненужным переключение серверов SMTP.
Использование раздельной отправки сообщений для всей исходящей почты - первый шаг к предотвращению подделки электронной почты; SPF, DKIM и DMARC - это инструменты, которые вы можете использовать только после того, как приостановите действия, которые не позволяют отличить поддельную почту от подлинной.
отчасти потому, что они все равно не знают, что это значит. Есть ли способ решить эту проблему?
Это работа отдела ИКТ! Сотрудникам не нужно знать, почему они должны использовать определенные настройки для своей электронной почты. Отдел ИКТ должен предоставить правильные настройки электронной почты и руководство по их использованию, и заявите, что это единственно правильные настройки для отправки электронной почты. Затем это можно сделать с помощью SPF, DKIM и DMARC; установка строгих политик остановит всю остальную почту из домена, так как она технически становится поддельной.
Это зависит. Ваши удаленные сотрудники используют ваш VPN-сервер или нет?
Если у вас есть VPN-сервер, то настройка SPF нормальна для обычного почтового SMTP / MX-сервера:
v=spf1 *.example.com -all
Если не VPN, то через SMTP MSA (агент отправки почты) через TCP-порт 576 с выходом в Интернет, настроенный для ретрансляции почты, часто требующий какой-либо формы поддержки защиты от спама (например, spamassassin), для чего требуется длинный список авторизованные удаленные IP-адреса:
v=spf1 ipv4:myserverip ?include:_spf.example.com -all
или подстановочный SPF (ни один из них не идеален):
v=spf1 * -all
В идеале VPN - лучшее и безопасное решение для удаленных сотрудников.