良いアイデア？独自のドメインが終了する受信メールを拒否しますか？（偽物でなければならないため）

Exchange Serverについて質問があります。末尾に独自のドメインがある外部の受信電子メールを拒否するのは良い考えだと思いますか？

からの外部メールが好きfake@example.comですか？

なぜなら、もしそれが私たちの会社の本当の送信者からだとしたら、そのメールは決して外部から届かないからでしょうか？

はいの場合、これを行う最善の方法は何ですか？

はい、ドメインのメールが自分のサーバーからのみ送信されることがわかっている場合は、別のサーバーから送信されたそのドメインのメールをブロックする必要があります。送信者のメールクライアントが別のホスト上にある場合でも、サーバー（または使用するメールサーバー）にログインしてメールを送信する必要があります。

さらに一歩進んで、SPFレコードをチェックするようにサーバーを構成できます。これは、その種の電子メール活動を妨げるホストの数です。SPFレコードはDNSレコード、TXTレコードであり、ドメインにメールを送信できるサーバーに関するルールを提供します。SPFレコードチェックを有効にする方法は、電子メールサービスによって異なり、ここで扱う内容の範囲外です。幸いなことに、ほとんどのホスティング環境とソフトウェアには、SPFレコードを操作するためのドキュメントがあります。SPF全般について詳しく知りたい場合があります。ウィキペディアの記事は次のとおりです。https：//en.wikipedia.org/wiki/Sender_Policy_Framework

これを行うための標準がすでにあります。DMARCと呼ばれます。DKIM署名で実装します（とにかく実装することをお勧めします）。

高レベルの概要は、ドメインをDKIMヘッダーで残すすべての電子メールに署名することです（とにかく良い方法です）。次に、DMARCを設定して、有効なDKIMヘッダーで署名されていない、所有するドメインからのメールサーバーにヒットするすべてのメールを拒否します。

つまり、外部サービスでドメインにメールを配信することはできますが（ホストされたヘルプデスクソフトウェアなど）、スピアフィッシングの試みをブロックできます。

DMARCのもう1つの優れた点は、障害レポートが配信されるため、必要に応じて例外処理を管理できることです。

欠点は、事前にすべてを完全に整理しておく必要があること、または正当なメールをドロップし始める可能性があることです。

このようなブロックはスパムを減らし、ソーシャルエンジニアリングを困難にする可能性がありますが、正当なメールもブロックする可能性があります。例には、メール転送サービス、メーリングリスト、誤って設定されたメールクライアントを持つユーザー、メインのメールサーバーなどを介さずにWebホストから直接メールを送信するWebアプリケーションが含まれます。

Dkimは、ネットワークから送信され、メーリングリストまたはフォワーダーでループされ、その後メールで受信されたメッセージを識別する方法を提供することにより、これをある程度緩和できますが、完全な解決策ではありません。そして、あなたはまだすべての正当なメール発信ポイントを追跡し、それらがdkim署名者を通過することを確認する問題を抱えています。

特に既存のドメインでこれを実装する場合は、慎重に検討してください。

たぶんですが、そのような変更を行う前に考慮する必要がある場合があります。

1）社内のだれかが、外部からのサービス（Survey Monkey、Constant Contactなど）を使用して、ドメインから「送信元」であると思われるメールを送信していますか？彼らが今日それをやっていなくても、彼らは将来それをするかもしれませんか？

2）ユーザーに転送する外部アドレスはありますか？たとえば、Gmailアカウント「mycompany.sales@gmail.com」が「sales@mycompany.com」に転送され、ユーザー「bob@mycompany.com」が「mycompany.sales@gmail.com」に送信すると仮定します。その場合、メッセージは「外部」から到着しますが、「@ mycompany.com」の差出人アドレスを使用します。

3）ユーザーのいずれかが、リストへのメッセージの元の「差出人」アドレスを保持する外部配布リストに登録していますか？たとえば、Bobが「foo-list@lists.apple.com」に登録してメッセージを送信すると、From：bob@mycompany.com To：foo-list@lists.appleのような受信メッセージを受信します。 comの送信者：

サーバーが（ "Sender："ではなく） "From："ヘッダーを単純に見ると、外部から受信しているためにこのメッセージを拒否する可能性があります。

上記のすべての理由により、「...当社の実際の送信者から、電子メールは決して外部から送信されない」という包括的なポリシーを持つことは、常に実行可能ではありません。

PowerShellでこれを行うには、受信コネクタのアクセス許可を更新して、匿名ユーザーを権限のあるドメイン送信者として送信しないようにします。

Get-ReceiveConnector <identity> | Remove-AdPermission -User "NT AUTHORITY\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-DomainSender

ただし、ステータス電子メールを送信する必要があるリモートアプリケーションサーバーがある場合、これらは一般に差出人アドレスでドメイン名を使用するため、問題が発生します。特定のIPアドレス用に追加の受信コネクタを作成して、それらを誤って除外しないようにすることができます。

GMailには、メールアドレスが最初に確認された場合に、Gmail以外のドメインでメールを送信できる設定があります。あなたの決定はそれらの電子メールをブロックします。

このGMail機能を使用する可能性のあるユーザーがいるかどうか、およびそれらに対応することが理にかなっているかどうかは、社内の行動に大きく依存します。

エンベロープは適切なSPFパス（つまり、侵害されたサーバーを使用するスパマー）を持っている可能性があり、エンベロープ内の電子メールを偽造するため、SPFはこれを解決しません。必要なのは、自分のドメインの電子メールメッセージのブロックであり、エンベロープに送信元の電子メールサーバーが受け入れられないことです。