我可以缩小Office365下Outlook使用的SPF范围吗?
假设我可以缩小Office365下Outlook使用的SPF范围吗?,outlook,office365,spf,Outlook,Office365,Spf,假设 使用Outlook Online services的域的SPF记录通常涉及include:SPF.protection.Outlook.com机制,该机制反过来会级联成大量的IP地址,这些IP地址可能由Microsoft的分布式主机使用。 这可能意味着,如果在世界其他地方使用这些服务的任何帐户被泄露,他们可以使用任何合法Outlook Online域的伪造发件人地址发送垃圾邮件或类似邮件内容,并且仍然通过SPF? 问题 鉴于Outlook Online/Office365的广泛应用,这似乎
使用Outlook Online services的域的SPF记录通常涉及
include:SPF.protection.Outlook.com这可能意味着,如果在世界其他地方使用这些服务的任何帐户被泄露,他们可以使用任何合法Outlook Online域的伪造发件人地址发送垃圾邮件或类似邮件内容,并且仍然通过SPF?
问题
鉴于Outlook Online/Office365的广泛应用,这似乎是一个相当大的IP范围,可能会损害SPF。有没有办法限制域可以通过Outlook Online发送的IP地址范围的哪些部分,从而将域的SPF记录中的IP范围限制为不太公开的范围 附录
关于@Synchro的有用答案,我可以看出,同时使用DKIM和DMARC将有助于缓解SPF太容易通过的事实,但DKIM不是一件容易实现的小事,如果我使DMARC僵化,我还需要用DKIM覆盖SPF中的其他机制。我的问题仍然是,是否有一种方法可以在Office365下使用一组较窄的传出主机,可能带有相应的子集“include”,就像
include:spf.protection.outlook.cominclude:outlook.cominclude可以让O365为您的域进行DKIM签名,尽管这是可行的。是的,您的假设是正确的,但是,创建其IP范围的子集并不安全,因为它们可能随时更改,以及您的消息使用的源IP,即,O365的SPF记录是动态的。这是在SPF中使用
include您可以让O365为您的域进行DKIM签名,尽管这很简单。简短的回答是:不,您不应该这样做。 基本上,您信任Microsoft来管理IP范围,并以这样的方式验证域所有权,即除了您自己的租户之外,租户中的其他人不可能代表您发送。大量子网部分地能够高效路由,并在数据中心发生故障时能够进行故障转移 这与其他可以代表您发送电子邮件的服务没有什么不同,例如Oracle Eloqua(9.344个单独的IPv4地址)和MailChimp(22.528个单独的IPv4地址)以及Google(322.816个单独的IPv4地址)都倾向于包含大量的子网。有一个很好的工具来检查SPF,看看它是由什么组成的 如@Synchro的回答中所述,这些子网是动态/灵活的,由服务所有者管理 我不确定我是否理解您的附录和@Synchro关于DMARC的回答。dMARC的工作方式是:查找SPF或DKM上的强>传递,以考虑电子邮件验证的< /强>。还有更多的问题,比如域上的对齐,但这只是这个问题的一部分范围。因此,作为对SPF的补充,只有在删除Office 365的SPF include并完全依赖DKIM身份验证以满足DMARC要求的情况下,这才有效 就我个人而言,我喜欢两者的冗余,因为SPF和DKIM在某些场景中都可能被破坏,比如邮件列表或转发规则。在Office 365中为每个域设置DKIM实际上非常简单
最后,SPF并不是反欺骗的圣杯,因此您应该研究DMARC。SPF在返回路径头上检查,而不是在收件人看到的电子邮件地址上检查。因此,您的域在通过返回路径电子邮件地址中使用的域上的SPF时,很容易被欺骗,除非您使用限制性的DMARC策略(并且接收服务器实际上遵守DMARC策略)。简短回答:不,您不应该希望这样。 基本上,您信任Microsoft来管理IP范围,并以这样的方式验证域所有权,即除了您自己的租户之外,租户中的其他人不可能代表您发送。大量子网部分地能够高效路由,并在数据中心发生故障时能够进行故障转移 这与其他可以代表您发送电子邮件的服务没有什么不同,例如Oracle Eloqua(9.344个单独的IPv4地址)和MailChimp(22.528个单独的IPv4地址)以及Google(322.816个单独的IPv4地址)都倾向于包含大型和大型的电子邮件