SPF 和 DKIM
寄件者原則架構 (SPF) 和 DomainKeys 所識別的郵件 (DKIM) 用作驗證方法,以檢查宣稱來自某一特定網域的對內電子郵件是否已獲得該網域擁有者的授權。這有助於避免收件者收到詐騙電子郵件。ESET Mail Security 也會使用以網域為基礎的郵件驗證、報告及確認 (DMARC) 評估,以進一步強化 SPF 及 DKIM。
SPF
檢查會執行以驗證電子郵件是否由合法寄件者傳送。系統會針對寄件者網域的 SPF 記錄執行 DNS 查詢以取得 IP 位址的清單。如來自 SPF 記錄的任何 IP 位址符合寄件者的實際 IP 位址,則 SPF 檢查的結果即為通過。如果寄件者的實際 IP 位址不符合,則檢查結果即為失敗。不過,並非所有網域都有在 DNS 中指定的 SPF 記錄。如果 DNS 中並無 SPF 記錄,則結果則會是不適用。DNS 要求可能偶爾會逾時,在此情況下結果也是不適用。
DKIM
組織用於防止電子郵件詐騙,即根據 DKIM 標準將數位簽章新增至對外郵件的檔頭。這會涉及使用私密網域金鑰來加密您網域的對外郵件檔頭,以及將金鑰的公開版本新增至網域的 DNS 記錄。ESET Mail Security 可以擷取公開金鑰以解密對內檔頭,並確認郵件是否來自於您的網域,且在過程中尚未經過變更。
|
Exchange Server 2010 和更舊版本與 DKIM 不完全相容,因為數位簽章對內郵件中包含的檔頭可能會在 DKIM 驗證期間修改。 |
DMARC
採用兩個現有的機制 SPF 和 DKIM。您可以使用郵件傳輸防護規則以評估 [DMARC 結果] 及 [套用 DMARC 原則] 處理方法。
自動偵測 DNS 伺服器
- 使用您網路介面卡的設定。
DNS 伺服器 IP 位址
如果您想為 SPF 和 DKIM 使用特定 DNS 伺服器,請輸入您要使用的 DNS 伺服器之 IP 位址 (使用 IPv4 或 IPv6 格式)。
DNS 查詢逾時 (秒)
指定 DNS 回應的逾時。
若 SPF 檢查失敗,則自動拒絕郵件
若您的 SPF 檢查結果導致立即失敗,則電子郵件會在下載之前即遭到拒絕。
|
SPF 檢查會在 SMTP 層上完成。但是,在 SMTP 層或是規則評估期間可能自動遭拒。 如果您在 SMTP 層上使用自動拒絕,無法將遭拒絕的郵件列入 Events log。這是因為記錄會由規則處理方法完成,而自動拒絕則會在 SMTP 層上直接完成 - 這會在規則評估前發生。因為在評估之前,郵件會遭到拒絕,所以在規則評估期間,將不會記錄任何資訊。 您可以記錄遭拒絕的郵件,但您只能拒絕依規則處理方法的郵件。若要拒絕未通過 SPF 檢查的郵件並記錄遭拒絕的郵件,停用 [如果 SPF 檢查失敗則會自動拒絕郵件] 並針對 [郵件傳輸防護] 建立下列規則: 條件 •類型:SPF 結果 •作業:[是] •參數:失敗 處理方法 •類型:拒絕郵件 •類型:事件記錄 |
在 SPF 評估中使用 Helo 網域
使用 HELO 網域進行 SPF 評估。如果未指定 HELO 網域,將改為使用電腦主機名稱。
使用 From: 若「MAIL FROM」為空白,則加入檔頭
檔頭 MAIL FROM 可為空白,而且它很容易遭到偽造。當此選項啟用而 MAIL FROM 為空白時,系統會下載郵件並改為使用檔頭 From:。
若通過 SPF 檢查,則自動略過灰名單
並無理由對 SPF 檢查結果為「通過」的郵件使用灰名單。
SMTP 拒絕回應
您可以指定 [回應代碼]、[狀態碼] 和 [回應郵件],這些設定會定義拒絕郵件時,傳送至 SMTP 伺服器的 SMTP 暫時拒絕回應。您可以輸入下列格式的回應訊息:
回應代碼 |
狀態碼 |
回應訊息 |
|---|---|---|
550 |
5.7.1 |
SPF 檢查失敗 |