好主意? 拒绝传入的电子邮件与我们自己的域名结束? (因为他们一定是假的)

我有一个关于我们的Exchange服务器的问题:你认为这是一个好主意,拒绝传入的外部电子邮件,在我们自己的域名在结尾?

像来自fake@example.com外部电子邮件fake@example.com

因为如果它是来自我们公司的真正发件人,这封电子邮件永远不会从外面来?

如果是的话,这样做的最好方法是什么?

是的,如果您知道您的域名的电子邮件只应来自您自己的服务器,那么您应该阻止来自不同服务器的该域名的任何电子邮件。 即使发件人的电子邮件客户端在另一个主机上,他们也应该login到您的服务器(或者您使用的任何电子邮件服务器)来发送电子邮件。

更进一步,您可以configuration您的服务器来检查SPFlogging。 这是多less主机阻止这种电子邮件活动。 SPFlogging是一个DNSlogging,一个TXTlogging,它给出了哪些服务器可以为您的域发送电子邮件的规则。 如何启用SPFlogging检查将取决于您的电子邮件服务,并将超出这里涵盖的范围。 幸运的是,大多数托pipe环境和软件都会有用于处理SPFlogging的文档。 一般来说,您可能想了解有关SPF的更多信息。 这里是维基百科的文章: https : //en.wikipedia.org/wiki/Sender_Policy_Framework

已经有一个标准。 这就是所谓的DMARC 。 你用DKIM签名实现它(这是一个好主意,无论如何)。

高层次的概述是你签署每一个电子邮件,离开你的域与DKIM头(这是不错的做法)。 然后,您将DMARCconfiguration为拒绝来自您拥有的未使用有效的DKIM标头签名的域中的邮件服务器的每封电子邮件。

这意味着您仍然可以通过外部服务将电子邮件发送到您的域名(例如托pipe的帮助台软件等),但可以阻止鱼叉式networking钓鱼尝试。

DMARC的另外一个好处就是您可以获得失败报告,因此您可以根据需要pipe理exception处理。

不利的一面是,您需要确保您事先已经彻底清理了所有的东西,否则您可能会开始丢弃合法的电子邮件。

这样的块可能会减less垃圾邮件,并可能使社会工程更难,但也可能阻止合法的邮件。 示例包括邮件转发服务,邮件列表,邮件客户端configuration错误的用户,直接从主机发送邮件而不涉及主邮件服务器的web应用程序等等。

Dkim可以在一定程度上通过提供一种方法来识别从您的networking发送的消息,通过邮件列表或转发器,然后收到您的邮件,但这不是一个完美的治疗,一些邮件列表将打破dkim签名你仍然有追踪所有合法的邮件发送点,并确保他们通过dkim签名者的问题。

仔细研究,特别是如果在现有的领域实施。

也许,但是在你做出这样的改变之前,你需要考虑一些情况。

1)贵公司是否有人使用任何types的外部服务(例如Survey Monkey,Constant Contact等)发送显示为“来自”您的域名的电子邮件? 即使他们今天没有这样做,他们今后可能会这样做吗?

2)是否有任何外部地址转发给您的用户? 例如,假设gmail帐户“mycompany.sales@gmail.com”转发到“sales@mycompany.com”,您的用户“bob@mycompany.com”发送到“mycompany.sales@gmail.com”。 在这种情况下,邮件将从“外部”到达,但使用“@ mycompany.com”来自:地址。

3)您的任何用户是否订阅了外部通讯组列表,将邮件上的原始“发件人:”地址保留到列表中? 例如,如果Bob订阅“foo-list@lists.apple.com”并发送消息,他将收到一个类似以下内容的入站消息:From:bob@mycompany.com To:foo-list@lists.apple。 com发件人:

如果您的服务器天真地查看“From:”标题(而不是“Sender:”),则可能会拒绝此消息,因为您从外部接收该消息。

因为以上所有,“从我们公司真正的发件人那里得到的一个总体政策,电子邮件永远不会从外面来”并不总是可行的。

您可以在PowerShell中通过更新您的接收连接器权限来排除匿名用户作为权威域发件人进行发送:

 Get-ReceiveConnector <identity> | Remove-AdPermission -User "NT AUTHORITY\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-DomainSender 

但是,如果远程应用程序服务器需要向您发送状态电子邮件,则会出现问题,因为这些服务器通常在您的“发件人”地址中使用您的域名。 可以为其特定的IP地址创build一个额外的接收连接器,这样就不会无意中排除它们。

GMail有一个设置,允许您发送电子邮件与非GMail域提供的电子邮件地址得到第一次validation。 您的决定将阻止这些电子邮件。

您是否有可能使用此GMailfunction的用户以及是否有意义迎合他们,这很大程度上取决于公司内部的行为。

SPF不会治愈这个问题,因为信封里可能会有适当的SPF通行证(即垃圾邮件发送者使用妥协的服务器),同时他们将伪造邮件内的邮件。 您需要的是您自己的域名电子邮件上的一个阻止,该阻止对您信封上的始发电子邮件服务器不可接受。