Eu tenho um problema interessante com o Exchange, onde parece verificar e carimbar mensagens falsificadas de domínios externos, mas não aquelas para as quais ele enviou a configuração. Por exemplo, posso falsificar uma mensagem de [email protected], onde example.com tem um registro SPF válido e o Exchange a verificará e a marcará como Lixo no Outlook. Quando eu envio um e-mail falsificado de 1 para minhaempresa.com, o Exchange não parece verificar o SPF, pois ele não é movido para Lixo Eletrônico.
O ambiente é o Exchange 2013 com dois registros SPF, um no DNS externo e outro no interno, com alguns IPs extras, para que as impressoras etc. possam funcionar. O registro interno foi necessário porque tanto o domínio interno quanto o externo são os mesmos. nslookup nos servidores de troca mostra o registro de texto para mydomain.com
v=spf1 include:spf.hes.trendmicro.com -all
v=spf1 ip4:10.0.0.1/16 ip4:$external include:spf.hes.trendmicro.com -all
A troca de SenderIdConfig é como abaixo
RunspaceId : e71ca342-a96a-4af4-a278-e423c3952af9
SpoofedDomainAction : StampStatus
TempErrorAction : StampStatus
BypassedRecipients : {}
BypassedSenderDomains : {}
Name : SenderIdConfig
Enabled : True
ExternalMailEnabled : True
InternalMailEnabled : False
Eu testei com InternalMailEnabled definido como $ true, mas isso não parece ajudar e, francamente, estou ficando sem idéias quanto ao que está acontecendo aqui.
Se alguém estiver interessado ou se fizer alguma diferença, estou falsificando as mensagens usando o mutt no meu próprio servidor, então definitivamente não é coberto pelos registros SPF de nenhuma maneira e a razão pela qual estou tentando fazer isso é que um scammer conseguiu falsificar seu caminho para quase obter algumas informações financeiras de um de nossos contadores, fingindo ser o CEO.
Se alguém puder fornecer alguns conselhos sobre o que eu posso mudar ou onde eu possa procurar mais informações sobre o que está acontecendo com as mensagens, eu ficaria muito grato.
Ok, isso não é estritamente uma resposta à pergunta original, mas alcançou o resultado original para mim, que foi impedir que as pessoas pudessem enganar o domínio das empresas ao enviar para a empresa.
A resposta a uma regra de transporte simples que especifica se uma mensagem "de" cabeçalho contém "@ company.com" e a mensagem é originária de fora da organização. Fazer algo para marcar é falsificado. Todo o crédito vai para Caltaru Mihai da Technet
Tags email spf exchange-2013 spoofing