Назад | Перейти на главную страницу

Конфигурация DNS и SPF для Microsoft Exchange

Мы начали получать спам с поддельными адресами из нашего собственного домена. Поэтому я пытаюсь исправить свои записи PTR, SPF и т. Д., Чтобы предотвратить это. Мы запускаем Exchange 2010 на месте с одним сервером, настроенным для выполнения всех ролей. Наш сертификат SAN для Exchange включает: webmail.domain.org и autodiscover.domain.org

В настоящее время у меня есть следующие записи во внешнем DNS (запись SPF была создана с помощью мастера Microsoft Sender ID Framework Wizard):

domain.org A 123.123.123.123

mail.domain.org A 123.123.123.234
mail.domain.org PTR 123.123.123.234
domain.org MX 0 mail.domain.org

webmail.domain.org A 123.123.123.234
webmail.domain.org PTR 123.123.123.234

autodiscover.domain.org A 123.123.123.234
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org

domain.org TXT "v=spf1 mx ip4:123.123.123.234 a:webmail.domain.org ptr:webmail.domain.org ptr:99-99-99-99.static.virginm.net mx:mail.domain.org a:99-99-99-99.static.virginm.net ~all"

Если я выполняю обратный поиск с помощью DNS-сервера Google, я получаю ответ от нашего интернет-провайдера, подобный следующему:

99-99-99-99.static.virginm.net

Что не соответствует домену, представленному моим почтовым сервером.

В моем внутреннем DNS есть следующие записи:

domain.org A 192.168.0.123

mail.domain.org A 192.168.0.234

webmail.domain.org A 192.168.0.234
mailserver.domain.internal PTR 192.168.0.234

autodiscover.domain.org CNAME webmail.domain.org
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org

Мои вопросы:

1) Нужно ли мне добавлять запись MX во внутренний DNS?

2) Нужно ли мне спрашивать у своего интернет-провайдера, могут ли они изменить свой PTR на mail.domain.org?

3) Наши пользователи получают доступ к OWA через webmail.domain.org. Должен ли я изменить свою запись MX на webmail.domain.org и полностью избавиться от mail.domain.org? Если нет, нужен ли mail.domain.org в моем сертификате SAN?

4) Мой ответ FQDN на HELO / EHLO: mailserver.domain.internal. Нужно ли мне изменить это, чтобы оно соответствовало домену в моем сертификате или моей записи MX? или оставить как есть?

5) Нужно ли мне создавать другую запись SPF с внутренними IP-адресами и добавлять ее во внутренний DNS?

6) Правильна ли созданная мной SPF-запись?

7) Есть ли что-то еще, что мне нужно изменить, о чем я не спрашивал? ржунимагу

Я постарался дать как можно больше информации, но если вам что-то еще нужно, спрашивайте.

Я вроде как понимаю, к чему вы клоните. Позвольте мне добавить свои два цента:

  1. Нужно ли мне добавлять запись MX во внутренний DNS?

Нет. Это не имеет никакого отношения к внешней по отношению к внутренней или внутренней по отношению к внешней доставке электронной почты.

  1. Нужно ли мне спрашивать у своего интернет-провайдера, могут ли они изменить свой PTR на mail.domain.org?

Это рекомендуется, чтобы при отправке вашим сервером электронной почты запись обратного DNS соответствовала полному доменному имени в HELO / EHLO, которое предоставляет ваш сервер (это полное доменное имя, настроенное на вашем коннекторе отправки).

  1. Наши пользователи получают доступ к OWA через webmail.domain.org. Должен ли я изменить свою запись MX на webmail.domain.org и полностью избавиться от mail.domain.org? Если нет, нужен ли mail.domain.org в моем сертификате SAN?

Это не имеет отношения к отправке или получению электронной почты вашим сервером.
К какому URL / FQDN ваши пользователи подключаются для доступа к своим почтовым ящикам, здесь не имеет значения.

  1. Мой ответ FQDN на HELO / EHLO: mailserver.domain.internal. Нужно ли мне изменить это, чтобы оно соответствовало домену в моем сертификате или моей записи MX?

Вам следует изменить это полное доменное имя в коннекторе отправки, хотя оно не имеет никакого отношения к вашей записи MX. (Запись MX указывает, какой сервер получает электронной почты для вашего домена, а не того, какой сервер отправляет электронную почту для вашего домена.)

  1. Нужно ли мне создавать другую запись SPF с внутренними IP-адресами и добавлять ее во внутренний DNS?

Нет. Это не имеет никакого отношения к внешней по отношению к внутренней или внутренней по отношению к внешней доставке электронной почты.

  1. Правильная ли созданная мной запись SPF? См. Ответ Даниила: Вероятно, вам удастся обойтись более простой записью SPF.

Вот проблема, которую я вижу в вашем подходе: если вы не собираетесь жестко отклонять обратный DNS или сбой проверки записи SPF, вы не сможете полностью предотвратить эти поддельные электронные письма. Если вы выполните жесткое отклонение, вы потеряете много законной электронной почты, потому что обратные записи DNS и SPF не используются повсеместно (и / или часто выполняются неправильно).
Вы можете уменьшить количество спама и поддельных писем, настроив параметры Sender ID и Sender Reputation в настройках Anti-spam в Exchange, но вы не собираетесь полностью предотвращать их, если вы не отклоните электронные письма (но опять же, это, вероятно, приведет к тому, что законные электронные письма также будут отклонены).

Возможно, я совершенно не согласен с моей логикой, так что, возможно, кто-то еще может взвесить свой опыт.

Также смотрите здесь, любезно предоставлено TheCleaner:

http://exchangepedia.com/2008/09/how-to-prevent-annoying-spam-from-your-own-domain.html

Обычно достаточно этой строки:

domain.com. IN TXT "v=spf1 mx a ~all"
                           ^1 ^2
  1. Это позволяет всем серверам, указанным как MX для domain.com для отправки электронных писем для этого домена.
  2. Это позволяет серверу с IP domain.com для отправки электронных писем для этого домена.

Так …

  1. Нет
  2. Нет, но было бы хорошо.
  3. Нет для всех.
  4. Измени это.
  5. Нет, внутренние имена хостов и IP-адреса не попадают в запись SPF
  6. Сократите его, как показано выше
  7. Может быть ;)