我正在为我的SMTP服务器实施Forward Confirmed Reverse DNS。在阅读了一下之后,我发现最好对SMTP连接另一端的IP进行查找(而不是在邮件头中,因为IP更容易被欺骗)。获得主机名后,我可以将其与标题中的“来自”电子邮件域进行比较,并确定该电子邮件是否有效。
然而,我正在考虑进一步,并意识到这可能不是我想要查找的IP。如果电子邮件消息必须在途中通过多个SMTP服务器,那么SMTP连接另一端的IP不会将DNS反向DNS回到“最后一跳”SMTP服务器的域,而不是域的'来自'电子邮件地址?
如果以上情况属实,我如何知道哪些IP正确进行查找?
谢谢, -ben
答案 0 :(得分:3)
FCrDNS仅确认发送服务器已正确配置DNS。即,您从1.2.3.4获得传入连接,查找1.2.3.4以获取whatever.example.com,然后查找whatever.example.com。如果这导致1.2.3.4,则测试通过。
您不希望对邮件标题中实际存在的域名进行此检查。如果服务器为一百个域托管电子邮件,那么您描述的技术将至少失败99个,因为反向检查只能返回一个主机名。您不能假设example.com的合法邮件只会来自example.com域名上托管的服务器。
您可能想要执行的操作是SPF。
编辑:你可以在SPF之外进行适当的FCrDNS检查,但我发现它比它的价值更麻烦,因为那里有大量错误配置的服务器。您可能会花费大量时间来追踪误报。