郵箱學堂:SPF詳解
阿新 • • 發佈:2017-09-18
解決 ipv ptr 目前 明顯 架構 div 郵件服務器 pat 【中國郵箱網 電子郵件頻道】
1月18日,什麽是SPF?關於SPF的一些基礎知識有哪些?SPF有哪些需求?什麽是SPF的TXT記錄?本文的微軟Exchange專家圍繞SPF做了非常詳細的介紹與分析。
什麽是SPF?
這裏的SPF不是防曬指數,而是指Sender Policy Framework。翻譯過來就是發信者策略架構,比較拗口,通常都直接稱為SPF。
SPF是跟DNS相關的一項技術,它的內容寫在DNS的txt類型的記錄裏面。mx記錄的作用是給寄信者指明某個域名的郵件服務器有哪些。SPF的作用跟mx相反,它向收信者表明,哪些郵件服務器是經過某個域名認可會發送郵件的。
嘿!我是 ISP
ISP 實施 SPF 可能對於他們處於漫遊狀態(roaming)的用戶帶來一些麻煩,當這些用戶習慣使用 POP-before-Relay 這樣的方式處理郵件,而不是 SASL SMTP 的時候問題就會出現。
嗯,如果你是一個被垃圾郵件、地址欺騙所困擾的 ISP 的話,你就必須考慮你的郵件策略、開始使用 SPF 了。
這裏是你可以考慮的幾個步驟。
首先設置你的 MTA 使用 SASL,比如,你可以在端口 25 和 587 使用它。
告訴你的用戶你已經使用了這個策略(spf.pobox.com 給出了一個通知的例子,參見參考文獻)。
給你的用戶一個寬限期,也就是說,把你的 SPF 記錄加入到域名服務器之中,但使用“軟失敗”(~all)而不是“失敗”(-all)。
這樣,你就保護了你的服務器、你的客戶和整個世界免受垃圾郵件之類的困擾了。
SPF 的官方站點上有很多信息,還等什麽呢?
有什麽需要擔心的?
SPF 是一個對於欺騙的完美保護。但它有一個局限:傳統的郵件轉發方式不再有效了。你不能僅僅從你的 MTA 接受郵件並簡單地重新發送它了。你必須重寫發送地址。常見的 MTA 的補丁可以在 SPF 的網站找到。換句話說,如果你把 SPF 記錄加入到了域名服務器,你就必須更新你的 MTA 來進行發送地址改寫,即使你還沒有對 SPF 記錄進行檢查。
結論
你可能覺得 SPF 的實施有點難以理解。不過這確實不算復雜,而且還有一個不錯的向導來幫你完成這個轉換(參見參考文獻)。
如果你被垃圾郵件所困擾的話,SPF 將可以幫助你,保護你的域名免受偽造郵件地址的影響,你所要做的僅僅是在域名服務器上添加一行文本並配置你的電子郵件服務器而已。
SPF 的優點有很多。不過,像我對一些人所說的,這不是一夜之間就可以達到的,SPF 的好處將通過日積月累來表現出來,當其他人都使用它的時候就能明顯地看到了。
我也提到了 Sender ID,這和 SPF 有關,但我沒有去解釋它。可能你已經知道原因了,微軟的策略一向如此---軟件專利。在參考文獻中,你可以看到 openspf.org 對於 Sender ID 的立場聲明。
我僅僅希望給你一個 SPF 的簡短說明。如果你對此感興趣,想要了解更多信息的話,你可以看看參考文獻,本文的內容就來自於此。
解決MT發送郵件通知給GMail遇到的SPF校驗問題
blog系統有一個很有用的功能就是郵件發送留言通知:但是發送到GMail郵箱的通知信十有八九都會被標記為垃圾郵件。原因就是SPF:Sender Policy Framework (SPF) 要做發送人校驗,而MT設置的發信人是留言者的郵件地址,而退信地址是MT系統所在服務器的郵箱。
Received-SPF: neutral (google.com: 60.195.249.163 is neither permitted nor denied by domain of [email protected])
我的WEB服務器上沒有任何郵件系統。所以無法通過SPF校驗,有嚴格的SPF校驗這也是GMail相對Spam比較少的原因。
如何解決呢:
1 增加郵件系統,設置MX記錄等,需要學不少東西;
2 簡單的就是先發到不支持SPF校驗的郵件系統上,然後再轉發給GMail,這時候的退信地址已經轉發郵箱了:
Received-SPF: pass (google.com: domain of #####@yeah.net designates 60.12.227.137 as permitted sender)
什麽是SPF?
SPF 是發送方策略框架 (Sender Policy Framework) 的縮寫,正在逐步成為一個防偽標準,來防止偽造郵件地址。
您的域管理員或托管公司僅需在域名系統 (DNS) 中發布 SPF 記錄。這些簡單的文本記錄標識了經過授權的電子郵件發送服務器(通過列出這些服務器的 IP 地址)。電子郵件接收系統會檢查郵件是否來自經過正確授權的電子郵件發送服務器。檢查步驟如下,發送人向接收方發送一封電子郵件後,郵件接收服務器接收電子郵件並執行如下操作:
• 檢查哪一個域聲稱發送了該郵件並檢查該域的 SPF 記錄的 DNS。
• 確定發送服務器的 IP 地址是否與 SPF 記錄中的某個已發布 IP 地址相匹配。
• 對電子郵件進行打分:如果 IP 地址匹配,則郵件通過身份驗證並獲得一個正分。如果 IP 地址不匹配,則郵件無法通過身份驗證並獲得一個負分。然後,對現有的防垃圾郵件篩選策略和啟發式篩選應用這些結果。
如何給郵件服務器增加SPF設置,請參考chicheng的文章:
《為你的mail server增加SPF記錄》
什麽是SPF
就是Sender Policy Framework。SPF可以防止別人偽造你來發郵件,是一個反偽造性郵件的解決方案。當你定義了你的domain name的SPF記錄之後,接收郵件方會根據你的SPF記錄來確定連接過來的IP地址是否被包含在SPF記錄裏面,如果在,則認為是一封正確的郵件,否則則認為是一封偽造的郵件。關於更詳細的信息請參考RFC4408(http://www.ietf.org/rfc/rfc4408.txt )
如何增加SPF記錄
非常簡單,在DNS裏面添加TXT記錄即可。登陸http://www.openspf.org/wizard.html 在裏面輸入你的域名,點擊Begin,然後會自動得到你域名的一些相關信息。
a 你域名的A記錄,一般選擇yes,因為他有可能發出郵件。
mx 一般也是yes,MX服務器會有退信等。
ptr 選擇no,官方建議的。
a: 有沒有其他的二級域名?比如:bbs.extmail.org和www不在一臺server上,則填入bbs.extmail.org。否則清空。
mx: 一般不會再有其他的mx記錄了。
ip4: 你還有沒有其他的ip發信?可能你的smtp服務器是獨立出來的,那麽就填入你的IP地址或者網段。
include: 如果有可能通過一個isp來發信,這個有自己的SPF記錄,則填入這個isp的域名,比如:sina.com
~all: 意思是除了上面的,其他的都不認可。當然是yes了。
好了,點擊Continue.....
自動生成了一條SPF記錄,比如extmail.org的是
v=spf1 a mx ~all
並且在下面告訴你如何在你的bind裏面添加一條
extmail.org. IN TXT "v=spf1 a mx ~all"
加入你的bind,然後ndc reload即可。
檢查一下:
dig -t txt extmail.org
每個參數的含義如下表所示:
| 參數 | 描述 | ||||||||||||||||||
| v=spf1 | SPF 的版本。如果使用 Sender ID 的話,這個字段就應該是 v=spf2 | ||||||||||||||||||
| pre | 定義匹配時的返回值。 可能的返回值包括:
|
||||||||||||||||||
| type | 定義使用的確認測試的類型。 可能的值包括:
|
||||||||||||||||||
| ext | 定義對 type 的可選擴展。如果沒有這個字段,那麽僅使用單個記錄進行問詢。 | ||||||||||||||||||
| mod | 這是最後的類型指示,作為記錄的一個修正值。
|
郵箱學堂:SPF詳解