本節我們來配置DNS域名解析。
因爲本次Exchange部署在Azure公有云上,所有用戶訪問通過公網來進行連接,所以這裏主要是公網DNS配置。
1.DNS正向解析
對於Exchange來說。如果郵件客戶端僅僅使用MAPI模式連接,則需要配置mail、autodiscover、解析以及主域名的MX記錄解析。如果需要其他如POP、SMTP、IMAP等服務時,有時爲了區分服務DNS解析,也可以分別配置。
![clip_image001[4]](http://s3.51cto.com/wyfs02/M00/83/F3/wKiom1eA7-3zGWULAAB0jSnDEto632.png "clip_image001[4]")
另外,這裏設置了一條TXT解析:v=spf1 ip4: 13.78.59.202/32 –all
對於郵件服務來說,SPF(ender Policy Framework發信者策略架構)是必要的。
MX記錄的作用是給寄信者指明某個域名的郵件服務器有哪些。SPF的作用跟MX相反,它向收信者表明,哪些郵件服務器是經過某個域名認可會發送郵件的。
所以SPF反垃圾郵件的主要作用是針對那些發信人僞造域名的垃圾郵件。
比如,我這裏的郵件服務器,我可以把發送域設置成microsoft.com來僞造微軟發送郵件,如果沒有SPF攔截,接收者可以收到僞造的來自microsoft.com的郵件,如果郵件被用來欺詐,這是多麼可怕的事情。所以在垃圾郵件越來越氾濫的今天,SPF策略的試用就原來越廣泛了。
下面我們來驗證下DNS解析是否生效:
a. 驗證域名
![clip_image002[4]](http://s3.51cto.com/wyfs02/M00/83/F3/wKiom1eA7-7CZej6AAA7Nrur4qs921.png "clip_image002[4]")
b. 驗證MX記錄
![clip_image003[4]](http://s3.51cto.com/wyfs02/M02/83/F1/wKioL1eA7-6RLsr3AAAcal-3cus601.png "clip_image003[4]")
c. 驗證SPF記錄
![clip_image004[4]](http://s3.51cto.com/wyfs02/M02/83/F3/wKiom1eA7-7jRkbgAAAbdEQJ31g089.png "clip_image004[4]")
DNS配置完畢後,我們可以來測試outlook的登錄了。
![clip_image005[4]](http://s3.51cto.com/wyfs02/M02/83/F2/wKioL1eA7--ylbzgAAC-FLuALjk739.png "clip_image005[4]")
登錄正常
![clip_image006[4]](http://s3.51cto.com/wyfs02/M00/83/F3/wKiom1eA7-_js8FNAAChmOUd9Lw784.png "clip_image006[4]")
OWA也登錄正常
![clip_image007[4]](http://s3.51cto.com/wyfs02/M01/83/F3/wKiom1eA7_CwrnYwAABxtT-Yv5I880.png "clip_image007[4]")
2.反向DNS解析
前面我們配置了正向DNS解析,提供了從域名到IP的解析。而反向DNS解析則相反,提供從IP到域名的解析。對於郵件系統來說,DNS反向解析用來阻攔垃圾郵件。特別是發往國外的郵件,如果沒有配置好反向DNS解析,很容易被認爲是垃圾郵件而被阻攔。
下面我們來爲Exchange 2016郵件系統配置反向DNS解析。
a. 設置Azure的反向DNS解析
Azure的反向DNS解析是免費的,可以爲Azure域及外域配置反向解析
打開Azure Powershell
輸入以下命令,這裏使用mail前綴作爲IP反向解析的域名,注意指定域名中的最後一個點
Set-AzureService -ServiceName “HHCLOUD-EXJP” -ReverseDnsFqdn “mail.hhcloud.pw.”
![clip_image009[4]](http://s3.51cto.com/wyfs02/M02/83/F2/wKioL1eA7_DjAqIUAABzkuLB5II600.jpg "clip_image009[4]")
可以用以下命令確認下配置
Get-AzureService -ServiceName “HHCLOUD-EXJP” | Select ReverseDnsFqdn
![clip_image011[4]](http://s3.51cto.com/wyfs02/M00/83/F2/wKioL1eA7_HR-Q9oAABrY2iULHw948.jpg "clip_image011[4]")
b. nslookup驗證
我們可以用nslookup -type=ptr 來驗證下
![clip_image012[4]](http://s3.51cto.com/wyfs02/M01/83/F2/wKioL1eA7_HTDa55AAAcx55_juk729.png "clip_image012[4]")
c.修改HELO/EHLO響應地址
我們進入ECP發送連接器,選擇之前創建的發送連接器
![clip_image014[4]](http://s3.51cto.com/wyfs02/M01/83/F3/wKiom1eA7_LTKSKaAAA9_YP9k4c177.jpg "clip_image014[4]")
進入屬性頁,我們可以看到HELO/EHLO的響應地址爲空
![clip_image016[4]](http://s3.51cto.com/wyfs02/M01/83/F2/wKioL1eA7_KT2FtQAACLwF1osE8328.jpg "clip_image016[4]")
現在我們修改爲綁定的反向DNS域名
![clip_image017[4]](http://s3.51cto.com/wyfs02/M01/83/F3/wKiom1eA7_PBFyLRAAAxf3r-ZVQ806.png "clip_image017[4]")
這樣,Exchange的發送HELO/EHLO響應就和反向DNS解析地址相匹配了。