首页
酷软
游戏
媒体
- 电影
- 剧集
- 动画
- 记录
- 综艺
- MV
- 有声世界
云资源
源码
更多
- 文库
- 系统
- web
- 站长帮
- 玩电脑
- 玩游戏
- 玩手机
- 涨姿势
- 玩软件
- 云图志
- 看漫画
- 微读书
- PS玩家
- 网文网语
- 硬件数码
- 编程开发
- 神秘之旅
- 福利线报
- 商业资源
- 网赚相关
- 健康加油站
赞助专区
云盘专区
资源阁
缘聚岛
BT种子库

[玩转系统] 趋势科技托管电子邮件安全：SPF DKIM 和 DMARC 第 II 部分

作者：精品下载站日期：2024-12-14 07:00:42 浏览：14 分类：玩电脑

趋势科技托管电子邮件安全：SPF DKIM 和 DMARC 第 II 部分

在我之前的博客中，我向您展示了如何在 Exchange 2010 环境中实施趋势科技托管电子邮件安全 (HES)。有趣的案例是，这是一个 Exchange 2010 混合环境，其中包含本地 Exchange 2010 中的邮箱以及 Exchange Online 中的邮箱。使用集中式邮件传输，因此进出 Office 365 的邮件始终通过 HES 和本地 Exchange 2010 服务器路由到 Exchange Online。在本博客中，我将重点介绍在趋势科技托管电子邮件安全中实施 SPF、DKIM 和 DMARC。

SPF

之前的博客文章“Exchange 2016 中的 SenderID、SPF、DKIM 和 DMARC - 第 I 部分”对 SPF 本身进行了更详细的介绍，可以在此处找到：https://jaapwesselius.com/2016/08/19/senderid- spf-dkim-and-dmarc-in-exchange-2016-part-i/.

在这种情况下，来自 inframan.nl 域（包括 Office 365）的邮件仅通过托管电子邮件安全环境进行路由，因此 SPF 记录非常简单：

v=spf1 包括：spf.hes.trendmicro.com ~全部

在您的公共域中设置此 TXT 记录，开始发送电子邮件，在检查标头信息时，您将在此处看到所有内容：

德基姆

DKIM 的配置工作要多一些，并且需要更多时间。上一个系列“Exchange 2016 中的 SenderID、SPF、DKIM 和 DMARC - 第二部分”的第二部分更详细地介绍了 DKIM，可以在此处找到：https://jaapwesselius.com/2016/08/22/senderid- spf-dkim-and-dmarc-in-exchange-2016-part-ii/

DKIM 是使用私钥对标头信息进行签名，并且要破译签名，您需要一个存储在公共 DNS 中的公钥，可供 Internet 上的每个邮件服务器访问。无需担心配置，HES 将提供所有详细信息。

在 HES 控制台中，选择出站保护，然后选择域名密钥识别邮件 (DKIM) 签名。

由于尚未配置任何内容，我们最终会看到一个空窗口。单击添加按钮。选中启用 DKIM 签名按钮。您可以检查哪些标头将被签名，您可以查看 HES 使用的选择器，并且可以更改等待时间。这是 HES 开始签署消息所需的时间，一旦 HES 注意到 DNS 中的公钥，等待时间就开始。默认值是 48 小时，但我已将其更改为 24 小时（因为 inframan 域的 TTL 只有 10 分钟）。

单击生成按钮时，将生成 DKIM 密钥对。私钥将由 HES 存储和使用，您必须使用分配的选择器密钥在公共 DNS 中输入公钥：

单击“添加”按钮将新的 DKIM 配置添加到 HES，片刻之后它将显示在 DKIM 主页中。它的状态将很快变为“活动”，DNS 记录状态条目也将如此。

您可以使用 MXToolbox (http://mxtoolbox.com/dkim.aspx) 检查您的 DKIM 记录是否正常。使用 MXToolbox 工具时，请确保使用正确的选择器键。

所以，现在我们必须（至少）再等 24 小时，看看一切是否顺利。因此，当向我的 Gmail 地址发送电子邮件并检查标头信息时，我们可以看到该邮件已经过 DKIM 签名，并且邮件验证已成功。

DMARC

最后一步是启用 DMARC。对于出站邮件，这不是一个大问题，因为出站电子邮件的验证是由收件人的电子邮件服务器执行的。您只需在公共 DNS 中设置 DMARC 记录即可。

笔记。 DMARC 本身已在之前的博文中进行了解释：Exchange 2016 中的 SenderID、SPF、DKIM 和 DMARC - 第 III 部分 - https://jaapwesselius.com/2016/08/23/senderid-spf-dkim-and-dmarc-in-交流-2016-第三部分/

此时我想启用 DMARC 验证，但不希望我的出站电子邮件被隔离或拒绝，因此我使用无作为策略。 DMARC 报告应发送到特殊的 dmarcreports 邮箱，因此我们在 DNS 中得到以下 DMARC 记录：

v=DMARC1;p=无;sp=无;pct=100;rua=mailto:[email protected]

使用 MXToolbox.com 检查记录时，记录正常：

最后的测试是向执行 DMARC 验证的邮件系统发送一封电子邮件，幸运的是 Gmail 会执行此操作（但 Office 365 也会执行此操作）。因此，当向我的 Gmail 帐户发送电子邮件并检查标头时，我们将看到 DMARC 验证成功：

概括

在之前的博文中，我已经解释了 SPF、DKIM 和 DMARC 的基础知识。在过去的两篇博客中，我向您展示了如何为出站电子邮件启用 SPF、DKIM 和 DMARC（针对我的本地 Exchange 2010 环境）。可以使用 GitHub 上找到的第三方解决方案在本地 Exchange 上执行 DKIM 签名，但使用在线解决方案（例如我的环境中趋势科技的托管电子邮件安全）可减少维护工作且复杂性较低。另一个优点是入站 DKIM 和 DMARC 验证，这是我下一篇博客的主题。