web-dev-qa-db-ja.com

MicrosoftExchangeのDNSおよびSPF構成

自分のドメインからスプーフィングされたアドレスでスパムを受信し始めました。だから私はそれを防ぐために私のPTRとSPFレコードなどを正しく取得しようとしています。 1台のサーバーがすべての役割を実行するように構成されたExchange2010をサイトで実行しています。 SAN Exchangeの証明書には、webmail.domain.orgとautodiscover.domain.orgが含まれます。

現在、外部DNSに次のレコードがあります(SPFレコードはMicrosoftのSender ID Framework Wizardを使用して生成されました)。

domain.org A 123.123.123.123

mail.domain.org A 123.123.123.234
mail.domain.org PTR 123.123.123.234
domain.org MX 0 mail.domain.org

webmail.domain.org A 123.123.123.234
webmail.domain.org PTR 123.123.123.234

autodiscover.domain.org A 123.123.123.234
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org

domain.org TXT "v=spf1 mx ip4:123.123.123.234 a:webmail.domain.org ptr:webmail.domain.org ptr:99-99-99-99.static.virginm.net mx:mail.domain.org a:99-99-99-99.static.virginm.net ~all"

GoogleのDNSサーバーを使用して逆ルックアップを実行すると、ISPから次のような応答が返されます。

99-99-99-99.static.virginm.net

これは、私のメールサーバーによって提示されているドメインと一致しません。

私の内部DNSには次のレコードがあります。

domain.org A 192.168.0.123

mail.domain.org A 192.168.0.234

webmail.domain.org A 192.168.0.234
mailserver.domain.internal PTR 192.168.0.234

autodiscover.domain.org CNAME webmail.domain.org
_autodiscover._tcp.domain.org SRV 0 0 443 webmail.domain.org

私の質問は次のとおりです。

1)内部DNSにMXレコードを追加する必要がありますか?

2)ISPにPTRをmail.domain.orgに変更できるかどうかを尋ねる必要がありますか?

3)ユーザーはwebmail.domain.org経由でOWAにアクセスします。 MXレコードをwebmail.domain.orgに変更し、mail.domain.orgを完全に削除する必要がありますか?そうでない場合、mail.domain.orgは私のSAN証明書にある必要がありますか?

4)HELO/EHLOに対する私のFQDN応答は、mailserver.domain.internalです。証明書またはMXレコードのドメインと一致するようにこれを変更する必要がありますか?またはそのままにしますか?

5)内部IPアドレスを使用して別のSPFレコードを作成し、それを内部DNSに追加する必要がありますか?

6)生成したSPFレコードは正しいですか?

7)他に変更が必要なもので、質問していないものはありますか?笑

できるだけ多くの情報を提供するように努めましたが、他に何か必要な場合はお問い合わせください。

2
Daniel

私はあなたがこれでどこに行くのかちょっとわかります。私の2セントを追加さ​​せてください:

  1. 内部DNSにMXレコードを追加する必要がありますか?

いいえ。これは、外部から内部へ、または内部から外部への電子メール配信とは関係ありません。

  1. PTRをmail.domain.orgに変更できるかどうかISPに問い合わせる必要がありますか?

サーバーが電子メールを送信するときに、逆引きDNSレコードがサーバーが提供するHELO/EHLOのFQDN(送信コネクタで構成されたFQDN)と一致するようにすることをお勧めします。

  1. ユーザーはwebmail.domain.org経由でOWAにアクセスします。 MXレコードをwebmail.domain.orgに変更し、mail.domain.orgを完全に削除する必要がありますか?そうでない場合、mail.domain.orgは私のSAN証明書にある必要がありますか?

これは、サーバーが電子メールを送受信することには関係ありません。
メールボックスにアクセスするためにユーザーが接続するURL/FQDNはここでは重要ではありません。

  1. HELO/EHLOに対する私のFQDN応答は、mailserver.domain.internalです。証明書またはMXレコードのドメインと一致するようにこれを変更する必要がありますか?

MXレコードとの関連性はありませんが、送信コネクタでこのFQDNを変更する必要があります。 (MXレコードは、ドメインの電子メールを送信するサーバーではなく、ドメインの受信電子メールを指定します。)

  1. 内部IPアドレスを使用して別のSPFレコードを作成し、それを内部DNSに追加する必要がありますか?

いいえ。これは、外部から内部へ、または内部から外部への電子メール配信とは関係ありません。

  1. 私が生成したSPFレコードは正しいですか ダニエルの答えを参照 :おそらくもっと単純なSPFレコードで逃げることができます。

あなたのアプローチで私が見た問題は次のとおりです。逆引きDNSまたはSPFレコードチェックの失敗に対してハードリジェクションを実行しない限り、これらのなりすましメールを完全に防ぐことはできません。厳しい拒否を実行すると、逆引きDNSおよびSPFレコードが普遍的に実装されていない(および/または多くの場合正しく実装されていない)ため、多くの正当な電子メールが失われます。
Exchangeのスパム対策設定で送信者IDと送信者レピュテーションの設定を調整することでスパムとなりすましメールの量を減らすことができるかもしれませんが、完全に拒否しない限りそれらを完全に防ぐことはできません。電子メール(ただし、これにより、正当な電子メールも拒否される可能性があります)。

私は自分の論理に完全に依存していない可能性があるので、他の誰かが彼らの専門知識を検討することができるかもしれません。

また、TheCleanerの厚意により、ここを参照してください。

http://exchangepedia.com/2008/09/how-to-prevent-annoying-spam-from-your-own-domain.html

6
joeqwerty

通常、この行で十分です。

domain.com. IN TXT "v=spf1 mx a ~all"
                           ^1 ^2
  1. domain.comのMXとしてリストされているすべてのサーバーが、このドメインの電子メールを送信できるようにします。
  2. これにより、IPがdomain.comのサーバーがこのドメインの電子メールを送信できるようになります。

そう …

  1. 番号
  2. いいえ、でもそれは良いことです。
  3. いいえ、すべてに。
  4. それを変更。
  5. いいえ、内部ホスト名とIPアドレスはSPFレコードに含まれません
  6. 上記のように短くします
  7. 多分 ;)
4
Daniel