Exchange Serverについて質問があります。末尾に独自のドメインがある外部からの受信メールを拒否することは良い考えだと思いますか?
[email protected]
からの外部メールが好きですか?
私たちの会社の実際の送信者からのものである場合、電子メールは外部から送信されることはないでしょうか?
はいの場合、これを行う最良の方法は何ですか?
はい。ドメインのメールが自分のサーバーからのみ送信されることがわかっている場合、別のサーバーから送信されたそのドメインのメールはすべてブロックする必要があります。送信者の電子メールクライアントが別のホスト上にある場合でも、電子メールを送信するには、サーバー(または使用している電子メールサーバー)にログインしている必要があります。
さらに一歩進んで、SPFレコードをチェックするようにサーバーを構成できます。これは、この種の電子メールアクティビティを防ぐホストの数です。 SPFレコードはDNSレコードであり、a TXTレコードです。これは、ドメインにメールを送信できるサーバーに関するルールを提供します。SPFレコードチェックを有効にする方法は、メールサービスによって異なります。幸いなことに、ほとんどのホスティング環境とソフトウェアには、SPFレコードを操作するためのドキュメントがあります。SPF全般について詳しく知りたい場合があります。Wikipediaの記事は次のとおりです https:// en.wikipedia.org/wiki/Sender_Policy_Framework
これを行うための基準はすでにあります。 DMARCと呼ばれます 。 DKIM署名を使用して実装します(とにかく実装することをお勧めします)。
高レベルの概要では、DKIMヘッダーを使用してドメインから送信されるすべての電子メールに署名します(とにかくこれは良い習慣です)。次に、有効なDKIMヘッダーで署名されていない、所有しているドメインからメールサーバーにヒットするすべてのメールを拒否するようにDMARCを構成します。
つまり、ホストされているヘルプデスクソフトウェアなどの外部サービスからドメインにメールを配信できますが、スピアフィッシングの試みはブロックできます。
DMARCのもう1つの優れた点は、障害レポートが配信されるため、必要に応じて例外処理を管理できることです。
欠点は、事前にすべてを完全に整理したことを確認する必要があることです。そうしないと、正当な電子メールをドロップし始める可能性があります。
このようなブロックにより、スパムが減少し、ソーシャルエンジニアリングが困難になる可能性がありますが、正当なメールもブロックされる可能性があります。たとえば、メール転送サービス、メーリングリスト、メールクライアントの設定が不適切なユーザー、メインのメールサーバーなどを介さずにウェブホストから直接メールを送信するウェブアプリなどです。
Dkimは、ネットワークから送信され、メーリングリストまたはフォワーダーを介してループされ、その後メールで受信されたメッセージを識別する方法を提供することにより、これをある程度軽減できますが、完全な解決策ではないため、一部のメーリングリストはdkimの署名を壊しますまた、正当なすべてのメール発信ポイントを追跡し、それらがdkim署名者を通過するようにする問題が依然としてあります。
特に既存のドメインにこれを実装する場合は、慎重に検討してください。
たぶん、しかし、そのような変更を行う前に考慮する必要があるいくつかのケースがあります。
1)社内の誰かが何らかの種類の外部サービス(たとえば、Survey Monkey、Constant Contactなど)を使用して、ドメインの「から」のように見える電子メールを送信していますか?彼らが今日それをしていなくても、彼らは将来それをするかもしれませんか?
2)ユーザーに転送する外部アドレスはありますか?たとえば、Gmailアカウント「[email protected]」が「[email protected]」に転送し、ユーザー「[email protected]」が「[email protected]」に送信するとします。その場合、メッセージは「外部」から届きますが、「@ mycompany.com」のFrom:アドレスが使用されます。
3)リストへのメッセージの元の「From:」アドレスを保持する外部配布リストに登録しているユーザーはいますか?たとえば、ボブが「[email protected]」をサブスクライブしてメッセージを送信すると、次のような受信メッセージを受信します。差出人:[email protected]宛先:[email protected]。 com送信者:
サーバーが単純に「From:」ヘッダーを(「Sender:」ではなく)見ている場合、外部から受信しているため、このメッセージが拒否される可能性があります。
上記のすべてのため、「...私たちの会社の実際の送信者から、電子メールは決して外部から来ることはない」という包括的なポリシーを持つことは、常に実現可能であるとは限りません。
PowerShellでこれを行うには、受信コネクタのアクセス許可を更新して、匿名ユーザーを権限のあるドメイン送信者として送信しないようにします。
Get-ReceiveConnector <identity> | Remove-AdPermission -User "NT AUTHORITY\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-DomainSender
ただし、ステータスメールを送信する必要があるリモートアプリケーションサーバーがある場合、これらのサーバーは通常、送信元アドレスにドメイン名を使用するため、問題が発生します。特定のIPアドレス用に追加の受信コネクタを作成して、それらを誤って除外しないようにすることができます。
GMailには、Gmail以外のドメインのメールを送信できる設定があり、メールアドレスが最初に確認されます。あなたの決定はそれらの電子メールをブロックするでしょう。
このGMail機能を使用する可能性のあるユーザーがいるかどうか、およびそれらに対応することが理にかなっているかどうかは、社内の行動に大きく依存します。