Одним из немаловажных аспектов настройки почтового сервера является защита от спама и фишинга. Причем важно недопустить прием не только писем, отправленных злоумышленниками от имени других, вполне легитимных почтовых доменов, но и от своего домена. Ибо не редки случаи, когда злоумышленники рассылают фишинговые письма с адресов, которые для пользователя однозначно являются доверенными, например посылают письмо главному бухгалтеру от имени генерального директора. То есть в поле MAIL FROM протокола SMTP подставляется вполне действительный адрес, расположенный на почтовом сервере жертвы.

Первое, что сразу приходит в голову, это соответствующая настройка SPF-записей. Однако, как показывает практика, этого не достаточно. Безусловно, SPF-записи нужны, и я бы рекомендовал их настраивать довольно жестко: 

v=spf1 +mx -all. 

Но помимо SPF стоит явно заблокировать собственные же домены командой:

Set-SenderFilterConfig -BlockedDomainsAndSubdomains @{Add=”r2ddd.ru”,”r2ddd.net”}

на пограничном транспортном сервере Exchange Server (лично для себя я именно так и настроил). При этом это не повлияет на отправку почты на другие почтовые домены, поскольку сообщения, приходящие внутренних с транспортных серверов (роль HT) даже если фильтрация отправителей включена как для внешних, так и для внутренних подключений (проверено экспериментальным путем).

Проверить, включена ли фильтрация отправителей для внутренних подключений можно командой:

Get-SenderFilterConfig | Format-List InternalMailEnabled

Если будет возвращено значение false, то фильтрация отправителей для внутренних отправителей отключена.

Вот таким вот нехитрым образом можно защитить своих пользователей от получения поддельных писем с доверенных (внутренних) адресов.