[玩转系统] Exchange Online 保护中的 SPF、DKIM 和 DMARC

作者：精品下载站日期：2024-12-14 07:03:28 浏览：14 分类：玩电脑

Exchange Online 保护中的 SPF、DKIM 和 DMARC

在之前的两篇博文中，我解释了如何将 Exchange Online Protection 实施为本地 Exchange 环境的邮件卫生解决方案（针对入站和出站邮件流）。

在这篇博文中，我将更详细地介绍如何配置 Exchange Online Protection

SPF、DKIM 和 DMARC

当 Exchange Online Protection 完全启动并运行时，您可以继续配置 SPF、DKIM 和 DMARC 以进行邮件身份验证。这将确保您的电子邮件域更难被欺骗，并且接收电子邮件系统知道您的电子邮件的来源是可信的来源。

SPF

SPF 已存在多年，在我之前的博客文章中，我已经提到了与 Exchange Online Protection 一起使用所需的 SPF 记录。如果您想了解有关实施 SPF 的更多信息，请查看我的 Exchange 2016 中的 SenderID、SPF、DKIM 和 DMARC - 第一部分博客文章。

仅使用 Exchange Online Protection 时，您的 SPF 记录将类似于 v=spf1 include:spf.protection.outlook.com -all。

德基姆

Exchange Online Protection 的优点在于它支持开箱即用的 DKIM 签名和验证。您唯一需要做的就是在 Exchange 管理中心启用它！

错误消息如下（用于搜索引擎目的）：
此配置不存在 CNAME 记录。请先发布以下两条CNAME记录。
selector1-domain-com._domainkey.tenantname.onmicrosoft.com
选择器2-域-com._domainkey.tenantname.onmicrosoft.com

当您不是 DKIM 专家时，描述不太清楚，但您需要创建以下 CNAME 记录：

Selector1._domainkey.domain.com CNAME 选择器1-domain-com._domainkey.tenant.onmicrosoft.com
Selector2._domainkey.domain.com CNAME 选择器2-domain-com._domainkey.tenant.onmicrosoft.com

创建 DNS 记录后，您可以使用 MXToolbox 检查它们是否有效：

如果电子邮件是通过 Exchange Online Protection 从本地 Exchange 服务器发送到 Gmail 等，您可以检查标头。如果配置正确，您可以看到 SPF 检查通过，您可以看到 EOP 创建的 DKIM 签名，还可以看到身份验证结果。身份验证结果下应显示 spf=pass 和 dkim=pass，如以下屏幕截图所示（单击放大）：

有关 DKIM 和 Exchange 的更多信息，请查看我的 Exchange 2016 中的 SenderID、SPF、DKIM 和 DMARC - 第 II 部分博文。

DMARC

正确配置 DKIM 和 SPF 后，您可以在公共 DNS 中创建 DMARC 记录。 DMARC 策略将告诉接收邮件服务器如何处理不符合其他设置的电子邮件。例如，如果电子邮件来自未在 SPF 记录中列出的邮件服务器，则很可能是欺骗性的。如果 DKIM 签名丢失，则可能是欺骗性的；如果 DKIM 签名无效，则消息可能会被篡改。如果是这种情况，您可以定义一个策略来拒绝此类消息。 DNS 记录将如下所示：

v=DMARC1;p=reject;sp=reject;pct=100;rua=mailto:[email protected]

RUA 是 DMARC 报告发送到的电子邮件地址，因此在 Exchange 服务器上拥有这样的邮箱是一件好事。

在配置了 SPF、DKIM 和 DMARC 的情况下，当从 Exchange 服务器通过 EOP 向 Gmail 发送电子邮件时，您可以在电子邮件标题中看到类似以下屏幕截图的信息（点击放大）：