您好,
当mail from 与 from 地址不同时,需要我们将SPF和DMARC记录结合使用。
“Mail From”地址:标识发件人并指定在发送邮件时出现任何问题(例如未送达通知)的情况下发送退信通知的位置。它出现在邮件的信封部分,通常不会显示在终端用户的邮件应用中。我们也称它为5321.MailFrom地址或反向路径地址。
“From”地址:邮件应用“发件人”栏显示的地址。通过该地址我们可以判定编写邮件的人。我们也称它为5322.From地址。
通常情况下,SPF检查仅针对5321.MailFrom地址。这意味着当单独使用SPF时,5322.From地址将不会被验证。当一封邮件通过了SPF检查但却具有伪造的5322.From地址时,该邮件仍然会被正常接收。
以下是一封邮件信封部分:
S: Helo woodgrovebank.com
S: Mail from: phish@phishing.contoso.com
S: Rcpt to: astobes@tailspintoys.com
S: data
S: To: "Andrew Stobes" astobes@tailspintoys.com
S: From: "Woodgrove Bank Security" security@woodgrovebank.com
S: Subject: Woodgrove Bank - Action required
S:
S: Greetings User,
S:
S: We need to verify your banking details.
S: Please click the following link to verify that we have the right information for your account.
S:
S: http://short.url/woodgrovebank/updateaccount/12-121.aspx
S:
S: Thank you,
S: Woodgrove Bank
S: .
我们可以看到,表示发件来源的地址如下:
Mail from地址(5321.MailFrom):phish@phishing.contoso.com
From地址(5322.From):security@woodgrovebank.com
如果我们配置了SPF,则接收服务器会对Mail from里的地址phish@phishing.contoso.com执行检查。如果消息的发件域phishing.contoso.com为有效来源,则SPF检查通过。由于邮件客户端仅显示“From”地址,因此用户看到此消息来自security@woodgrovebank.com。如果仅使用SPF,woodgrovebank.com的有效性将不会验证。
使用DMARC时,接收服务器还会对“From”地址执行检查。在上面的示例中,如果woodgrovebank.com存在DMARC TXT记录,则对From地址的检查将失败。
过于Exchange中反垃圾邮件记录的更多介绍,请参考:
【教程】SPF,DKIM以及DMARC记录介绍
此致,
Manu Meng
如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.
