Конфигурация SPF на бирже гибрид

Я новичок в гибридной конфигурации Exchange. Я изо всех сил пытаюсь найти ответ на ситуацию ниже.

У нас есть гибридная система Exchange, и мы используем Messagelab в качестве интеллектуального хоста для фильтрации спама. Проверяя конфигурацию SPF, вижу странную вещь:

в общедоступном DNS SPF настроен как v=spf1 include:spf.messsagelab.com –all
В O365 -> Домен SPF настроен как v=spf1 include:spf.protection.outlook.com –all

Я подозреваю, что конфигурация должна быть одинаковой как для общедоступного DNS, так и для O365. Я прав, что говорю это?

SPF перечисляет хосты, которым разрешено отправлять электронную почту из домена. Общедоступный DNS вашего домена должен включать все серверы и службы, которые вы хотите использовать для отправки электронной почты. Для получения общей информации прочтите Как Office 365 использует платформу политики отправителя (SPF) для предотвращения спуфинга

Если вы используете Messagelab для исходящий электронной почты, вы должны указать его в SPF на общедоступном DNS, т.е. include:spf.messsagelab.com. Если вся почта из Office 365 должна сначала проходить через Messagelab, вам не нужно include:spf.protection.outlook.com.

В обоих случаях будет безопасно иметь их обоих в списке:

v=spf1 include:spf.messsagelab.com include:spf.protection.outlook.com –all

Обратите внимание, что -all вызовет жесткий сбой SPF, что означает, что сообщения могут быть отклонены, а не просто помечены как спам, например SOFTFAIL сделал бы, если бы у вас был ~all вместо этого.

Если вы используете Messagelab только для входящий почта, тебе нужно иметь spf.protection.outlook.com включены. Затем вам нужно отключить проверку SPF в Office 365 (как это уже сделано в Messagelab).

Office 365 для администраторов > Центр администрирования Exchange > защита > спам-фильтр
редактировать По умолчанию > продвинутые варианты > Отметить как спам > Запись SPF: жесткий сбой: Выключено

и / или внесите Messagelab в белый список (поскольку он не будет указан как разрешенный отправитель для проверяемого домена):

Office 365 для администраторов > Центр администрирования Exchange > защита > фильтр подключения
редактировать По умолчанию > фильтрация подключений > Список разрешенных IP-адресов

Если в обеих средах разрешена отправка почты извне, вам необходимо изменить свои общедоступные записи SPF на: v = spf1 include: spf.messagelabs.com include: spf.protection.outlook.com -all

В Office365 вам говорят, какой должна быть запись SPF - единственное, что имеет значение, - это то, что находится в общедоступном DNS.

Ответ зависит от того, как вы маршрутизируете исходящую электронную почту. Если у вас есть исходящая электронная почта, идущая из Office365 для всех пользователей, вам необходимо изменить запись, чтобы она была только записью Microsoft SPF. Если у вас все происходит только через Message Labs, оставьте все в покое. Если это смесь, в зависимости от того, где находится пользователь, вам понадобится и то, и другое.