DNS設置SPF記錄全攻略
阿新 • • 發佈:2019-01-17
server 麻煩 建議 不能 保護 政策 protocol sin 除了
郵箱域名的spf記錄(郵箱反向解析DNS記錄)添加方法(常用的域名提供商的解析方法)
當您使用中網科技旗下(中國萬維網 WWW.C3W.CN )自帶的DNS時,就可以使用這個功能;
域名管理下面的mydns中的txt記錄就是spf記錄;加入代碼 v=spf1 include:spf.c3w.cn -all 請將c3w.cn改成您自己的域名。
具體的設置辦法也可以看網上的關於spf的資料。
什麽是SPF
就是Sender Policy Framework。SPF可以防止別人偽造你來發郵件,是一個反偽造性郵件的解決方案。當你定義了你的domain name的SPF記錄之後,接收郵件方會根據你的SPF記錄來確定連接過來的IP地址是否被包含在SPF記錄裏面,如果在,則認為是一封正確的郵件,否則則認為是一封偽造的郵件。關於更詳細的信息請參考RFC4408(http://www.ietf.org/rfc/rfc4408.txt)
如何增加SPF記錄
非常簡單,在DNS裏面添加TXT記錄即可。登陸http://www.openspf.org/在裏面輸入你的域名,點擊Begin,然後會自動得到你域名的一些相關信息。
a 你域名的A記錄,一般選擇yes,因為他有可能發出郵件。
mx 一般也是yes,MX服務器會有退信等。
ptr 選擇no,官方建議的。
a: 有沒有其他的二級域名?比如:mail.abc.com和www不在一臺server上,則填入mail.abc.com。否則清空。
mx: 一般不會再有其他的mx記錄了。
ip4: 你還有沒有其他的ip發信?可能你的smtp服務器是獨立出來的,那麽就填入你的IP地址或者網段。
include: 如果有可能通過一個isp來發信,這個有自己的SPF記錄,則填入這個isp的域名,比如:hichina.com
~all: 意思是除了上面的,其他的都不認可。當然是yes了。
好了,點擊Continue…..
自動生成了一條SPF記錄,比如abc.com的是
v=spf1 a mx ~all
並且在下面告訴你如何在你的bind裏面添加一條
abc.com. IN TXT “v=spf1 a mx ~all”
加入你的bind,然後ndc reload即可。
檢查一下:
dig -t txt extmail.org
如果您的域名是由中網旗下中國萬維網WWW.C3W.CN 的DNS務器進行解析的,可以在域名管理內的MYDNS內設置。設置完畢後您即可以通過使用spf策略進行垃圾郵件驗證了
用戶在使用企業郵箱過程中可能會遇到如下問題,
# 給外域發信收到退信,退信中包含“SPF”關鍵字。
# 在確認沒有給外域發信的情況下,外域收到了來自偽造該域郵件地址的郵件。
這是因為用戶域名沒有添加TXT記錄或者添加的TXT記錄錯誤造成。 SPF記錄可以防止別人偽造來發郵件,當定義了域名的SPF記錄之後,接收郵件方會根據SPF記錄來確定連接過來的IP地址是否被包含在SPF記錄裏面,如果在,則認為是一封正確的郵件,否則則認為是一封偽造的郵件。對互連互通的影響主要表現在郵件接收方需要spf記錄檢測,如果沒有的話,有可能不接收郵件。
為了避免這種情況發生,請您的企業郵箱管理員務必聯系域名所屬註冊商添加TXT記錄,TXT記錄值為:v=spf1 include:spf.263xmail.com ~all
>>如何查詢域名的SPF記錄?
先切換到DOS命令行狀態(在點擊Windows左下角的“開始”菜單選擇運行,輸入cmd,點擊確定),在DOS命令下輸入nslookup,然後按回車鍵,再輸入set q=txt,再按回車鍵,再輸入域名,按回車鍵後即可顯示域名目前的TXT記錄。 例如:
C:\>nslookup
Default Server: ns.capital-online.com.cn
Address: 211.150.125.210
> set type=txt
> net263.com
Server: ns.capital-online.com.cn
Address: 211.150.125.210
net263.com text =
“v=spf1 include:spf.263xmail.com ~all”
net263.com nameserver = ns.capital-online.com.cn
net263.com nameserver = nsb.capital-online.com.cn
ns.capital-online.com.cn internet address = 211.150.125.210
nsb.capital-online.com.cn internet address = 211.150.124.82
>
>>如何添加SPF記錄?
SPF記錄添加方法(請確認您的域名註冊商)
中國頻道 中國萬網
新網互聯 新網
中企動力、廣東互易
中資源、新網、時代互聯、商務中國、其他域名服務提供商
1. 中國頻道
登錄中國頻道的域名管理平臺(通過http://www.dns-diy.com登錄)後,需要在“IP地址/主機名”的位置添加直接輸入v=spf1 include:spf.263xmail.com ~all,不需要加”",然後直接點擊“新增”按鈕即可。
添加SPF記錄
2. 中國萬網
在萬網的域名管理平臺(通過http://diy.hichina.com登錄),點擊左側的“DNS記錄報告”按鈕,在”TXT(正文字串)”中“正文內容”的位置直接輸入”v=spf1 include:spf.263xmail.com ~all”,必須帶上”"號,然後點擊“創建”按鈕即可。
添加SPF記錄
3. 新網互聯
在新網互聯的域名管理平臺(登錄到 http://www.dns.com.cn網站,點擊服務中心欄目中的“ 域名管理”鏈接,輸入域名及域名的管理密碼,然後點擊登錄),點擊“MyDNS功能”進入到MYDNS後,選擇“到專業版”,在純域名的列表中選擇添加記錄的類型為TXT,順序為0,在指向中輸入v=spf1 include:spf.263xmail.com ~all,不需要加”"。
添加SPF記錄
4. 新網
登錄新網的域名管理平臺(http://www.xinnet.com網站),選擇添加記錄的類型為TXT,在內容中輸入v=spf1 include:spf.263xmail.com ~all。
添加SPF記錄
5. 中企動力、廣東互易
可以添加TXT記錄,請用戶直接聯系自己的域名服務商添加。
6. 中資源、新網、時代互聯、商務中國、以及其他域名服務提供商
上述幾家域名服務提供商暫不支持TXT記錄的添加,對於域名DNS是這幾家公司的,用戶可按如下方法進行操作:
1)聯系域名的DNS服務提供商將域名的所有解析記錄導出。
2)將導出的解析記錄提供給263客服,先由263客服聯系技術工程師將用戶原記錄解析添加到263公司的DNS服務器裏面,同時為用戶添加一條TXT記錄。
3)待263客服確認已經將解析添加完畢後,用戶再聯系域名的服務提供商,將域名的DNS更改以下這組DNS: ns.263idc.net、nsb.263idc.net
如用戶DNS為其他服務商,且與域名服務提供商確認無法添加TXT記錄的,也可按如上方法處理。
轉載 SPF詳解 收藏
什麽是SPF?
這裏的SPF不是防曬指數,而是指Sender Policy Framework。翻譯過來就是發信者策略架構,比較拗口,通常都直接稱為SPF。
SPF是跟DNS相關的一項技術,它的內容寫在DNS的txt類型的記錄裏面。mx記錄的作用是給寄信者指明某個域名的郵件服務器有哪些。SPF的作用跟mx相反,它向收信者表明,哪些郵件服務器是經過某個域名認可會發送郵件的。
由定義可以看出,SPF的作用主要是反垃圾郵件,主要針對那些發信人偽造域名的垃圾郵件。
例如:當coremail郵件服務器收到自稱發件人是[email protected]的郵件,那麽到底它是不是真的gmail.com的郵件服務器發過來的呢?那麽我們可以查詢gmail.com的SPF記錄。
關於SPF的一些知識
當前市場上很多郵件系統和供應商都已經開始支持SPF,比如163.com,那麽該如何得到163.com的SPF值呢?在CMD環境中,鍵入:
nslookup
set type=txt
163.com
就會得到以下的結果:
163.com text =”v=spf1 include:spf.163.com -all”
其中:=”v=spf1 include:spf.163.com -all” 就是163.com的SPF值。這個數據中說明了163.com有效合法服務器都有哪些!
那麽我們該如何創建呢?
進入域名解析創建一條TXT記錄填寫正確的SPF數據就可以生效了。
在MDaemon7.x中啟用SPF功能,並作適當調整就可以了。
另外8.x版本新增加了一個DomainKey簽名,不過MDaemon已經自動幫你創建。
另外給大家一個網址,很實用
http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/
這個網址是一個創建SenderID的向導網站,他能幫你創建一個SenderID值。
SenderID (寄件人身份識別技術)。
SPF(SenderPolicyFramework,寄件人政策架構)。
SenderID技術與SPF一樣,都是一種以IP(互聯網協定)位址認證電子郵件寄件人身份的技術。
SPF 簡介
SPF 是發送方策略框架 (Sender Policy Framework) 的縮寫,希望能成為一個防偽標準,來防止偽造郵件地址。這篇文章對 SPF 進行了簡單介紹,並介紹了它的一些優點和不足。
SPF 誕生於2003年,它的締造者 Meng Weng Wong 結合了反向 MX 域名解析(Reverse MX) 和 DMP (Designated Mailer Protocol) 的優點而付予了 SPF 生命。
SPF 使用電子郵件頭部信息中的 return-path (或 MAIL FROM) 字段,因為所有的 MTA 都可以處理包含這些字段的郵件。不過微軟也提出了一種叫做 PRA (Purported Responsible Address)的方法。PRA 對應於 MUA (比如 thunderbird) 使用的終端用戶的地址。
這樣,當我們把 SPF 和 PRA 結合起來的時候,就可以得到所謂的“Sender ID”了。Sender ID 允許電子郵件的接收者通過檢查 MAIL FROM 和 PRA 來驗證郵件的合法性。有的說法認為,MAIL FROM 檢查由 MTA 進行,而 PRA 檢查由 MUA 來完成。
事實上,SPF 需要 DNS 以某種特定的方式來工作。也就是必須提供所謂的“反向 MX 解析”記錄,這些記錄用來解析來自給定域名的郵件對應的發送主機。這和目前使用的 MX 記錄不通,後者是用來解析給定域名對應的接收郵件的主機的。
SPF 有哪些需求?
要想用 SPF 來保護你的系統,你必須:
1. 配置 DNS,添加 TXT 記錄,用於容納 SPF 問詢的信息。
2. 配置你的電子郵件系統(qmail, sendmail)使用 SPF,也就是說對服務器上每封進入的郵件進行驗證。
上述第一步要在郵件服務器所屬的域名服務器上進行調整,下一節中,我們將討論這個記錄的細節內容。你首先需要確定的一點是你的域名服務器(bind,djbdns)所使用的語法。但別擔心,SPF 的官方網站提供了一個很好用的向導來指導你如何添加記錄。
SPF 的 TXT 記錄
SPF 記錄包含在一個 TXT 記錄之中,格式如下:
v=spf1 [[pre] type [ext] ] … [mod]
每個參數的含義如下表所示:
參數 描述
v=spf1 SPF 的版本。如果使用 Sender ID 的話,這個字段就應該是 v=spf2
pre 定義匹配時的返回值。
可能的返回值包括:
返回值 描述
+ 缺省值。在測試完成的時候表示通過。
- 表示測試失敗。這個值通常是 -all,表示沒有其他任何匹配發生。
~ 表示軟失敗,通常表示測試沒有完成。
? 表示不置可否。這個值也通常在測試沒有完成的時候使用。
type 定義使用的確認測試的類型。
可能的值包括:
候選值 描述
include 包含一個給定的域名的測試
以 include:domain 的形式書寫。
all 終止測試序列。
比如,如果選項是 -all,那麽到達這條記錄也就意味著測試失敗了。但是如果無法確定,可以使用”?all”來表示,這樣,測試將被接受。
ip4 使用 IPv4 進行驗證。
這個可以以 ip4:ipv4 或 ip4:ipv4/cidr 的形式使用。建議使用這個參數,以減少域名服務器的負荷。
ip6 使用 IPv6 進行驗證。
a 使用一個域名進行驗證。
這將引起對域名服務器進行一次 A RR 查詢。
可以按照 a:domain, a:domain/cidr 或 a/cidr 的形式來使用。
mx 使用 DNS MX RR 進行驗證。
MX RR 定義了收信的 MTA,這可能和發信的 MTA 是不同的,這種情況基於 mx 的測試將會失敗。
可以用 mx:domain, mx:domain/cidr 或 mx/cidr 這些形式進行 mx 驗證。
ptr 使用域名服務器的 PTR RR 進行驗證。
這時,SPF 使用 PTR RR 和反向圖進行查詢。如果返回的主機名位於同一個域名之內,就驗證通過了。
這個參數的寫法是 ptr:domain
exist 驗證域名的存在性。
可以寫成 exist:domain 的形式。
ext 定義對 type 的可選擴展。如果沒有這個字段,那麽僅使用單個記錄進行問詢。
mod 這是最後的類型指示,作為記錄的一個修正值。
修正值 描述
redirect 重定向查詢,使用給出的域名的 SPF 記錄。
以 redirect=domain 的方式使用。
exp 這條記錄必須是最後一條,允許給出一條定制的失敗消息。
IN TXT “v=spf1 mx -all exp=getlost.example.com”
getlost IN TXT “You are not authorized to send mail for the domain”
嘿!我是 ISP
ISP 實施 SPF 可能對於他們處於漫遊狀態(roaming)的用戶帶來一些麻煩,當這些用戶習慣使用 POP-before-Relay 這樣的方式處理郵件,而不是 SASL SMTP 的時候問題就會出現。
嗯,如果你是一個被垃圾郵件、地址欺騙所困擾的 ISP 的話,你就必須考慮你的郵件策略、開始使用 SPF 了。
這裏是你可以考慮的幾個步驟。
1. 首先設置你的 MTA 使用 SASL,比如,你可以在端口 25 和 587 使用它。
2. 告訴你的用戶你已經使用了這個策略(spf.pobox.com 給出了一個通知的例子,參見參考文獻)。
3. 給你的用戶一個寬限期,也就是說,把你的 SPF 記錄加入到域名服務器之中,但使用“軟失敗”(~all)而不是“失敗”(-all)。
這樣,你就保護了你的服務器、你的客戶和整個世界免受垃圾郵件之類的困擾了。
SPF 的官方站點上有很多信息,還等什麽呢?
有什麽需要擔心的?
SPF 是一個對於欺騙的完美保護。但它有一個局限:傳統的郵件轉發方式不再有效了。你不能僅僅從你的 MTA 接受郵件並簡單地重新發送它了。你必須重寫發送地址。常見的 MTA 的補丁可以在 SPF 的網站找到。換句話說,如果你把 SPF 記錄加入到了域名服務器,你就必須更新你的 MTA 來進行發送地址改寫,即使你還沒有對 SPF 記錄進行檢查。
結論
你可能覺得 SPF 的實施有點難以理解。不過這確實不算復雜,而且還有一個不錯的向導來幫你完成這個轉換(參見參考文獻)。
如果你被垃圾郵件所困擾的話,SPF 將可以幫助你,保護你的域名免受偽造郵件地址的影響,你所要做的僅僅是在域名服務器上添加一行文本並配置你的電子郵件服務器而已。
SPF 的優點有很多。不過,像我對一些人所說的,這不是一夜之間就可以達到的,SPF 的好處將通過日積月累來表現出來,當其他人都使用它的時候就能明顯地看到了。
我也提到了 Sender ID,這和 SPF 有關,但我沒有去解釋它。可能你已經知道原因了,微軟的策略一向如此—軟件專利。在參考文獻中,你可以看到 openspf.org 對於 Sender ID 的立場聲明。
下一篇文章中,我們將討論 MTA 的設置,我們到時再見。
我僅僅希望給你一個 SPF 的簡短說明。如果你對此感興趣,想要了解更多信息的話,你可以看看參考文獻,本文的內容就來自於此。
解決MT發送郵件通知給GMail遇到的SPF校驗問題
blog系統有一個很有用的功能就是郵件發送留言通知:但是發送到GMail郵箱的通知信十有八九都會被標記為垃圾郵件。原因就是 SPF:Sender Policy Framework (SPF) 要做發送人校驗,而MT設置的發信人是留言者的郵件地址,而退信地址是MT系統所在服務器的郵箱。
Received-SPF: neutral (google.com: 60.195.249.163 is neither permitted nor denied by domain of [email protected])
我的WEB服務器上沒有任何郵件系統。所以無法通過SPF校驗,有嚴格的SPF校驗這也是GMail相對Spam比較少的原因。
如何解決呢:
1 增加郵件系統,設置MX記錄等,需要學不少東西;
2 簡單的就是先發到不支持SPF校驗的郵件系統上,然後再轉發給GMail,這時候的退信地址已經轉發郵箱了:
Received-SPF: pass (google.com: domain of #####@yeah.net designates 60.12.227.137 as permitted sender)
什麽是SPF?
SPF 是發送方策略框架 (Sender Policy Framework) 的縮寫,正在逐步成為一個防偽標準,來防止偽造郵件地址。
您的域管理員或托管公司僅需在域名系統 (DNS) 中發布 SPF 記錄。這些簡單的文本記錄標識了經過授權的電子郵件發送服務器(通過列出這些服務器的 IP 地址)。電子郵件接收系統會檢查郵件是否來自經過正確授權的電子郵件發送服務器。檢查步驟如下,發送人向接收方發送一封電子郵件後,郵件接收服務器接收電子郵件並執行如下操作:
? 檢查哪一個域聲稱發送了該郵件並檢查該域的 SPF 記錄的 DNS。
? 確定發送服務器的 IP 地址是否與 SPF 記錄中的某個已發布 IP 地址相匹配。
? 對電子郵件進行打分:如果 IP 地址匹配,則郵件通過身份驗證並獲得一個正分。如果 IP 地址不匹配,則郵件無法通過身份驗證並獲得一個負分。然後,對現有的防垃圾郵件篩選策略和啟發式篩選應用這些結果。
如何給郵件服務器增加SPF設置,請參考chicheng的文章:為你的mail server增加SPF記錄
什麽是SPF
就是Sender Policy Framework。SPF可以防止別人偽造你來發郵件,是一個反偽造性郵件的解決方案。當你定義了你的domain name的SPF記錄之後,接收郵件方會根據你的SPF記錄來確定連接過來的IP地址是否被包含在SPF記錄裏面,如果在,則認為是一封正確的郵件,否則則認為是一封偽造的郵件。關於更詳細的信息請參考RFC4408(http://www.ietf.org/rfc/rfc4408.txt
如何增加SPF記錄
非常簡單,在DNS裏面添加TXT記錄即可。登陸http://www.openspf.org/wizard.html 在裏面輸入你的域名,點擊Begin,然後會自動得到你域名的一些相關信息。
a 你域名的A記錄,一般選擇yes,因為他有可能發出郵件。
mx 一般也是yes,MX服務器會有退信等。
ptr 選擇no,官方建議的。
a: 有沒有其他的二級域名?比如:bbs.extmail.org和www不在一臺server上,則填入bbs.extmail.org。否則清空。
mx: 一般不會再有其他的mx記錄了。
ip4: 你還有沒有其他的ip發信?可能你的smtp服務器是獨立出來的,那麽就填入你的IP地址或者網段。
include: 如果有可能通過一個isp來發信,這個有自己的SPF記錄,則填入這個isp的域名,比如:sina.com
~all: 意思是除了上面的,其他的都不認可。當然是yes了。
好了,點擊Continue…..
自動生成了一條SPF記錄,比如extmail.org的是
v=spf1 a mx ~all
並且在下面告訴你如何在你的bind裏面添加一條
extmail.org. IN TXT “v=spf1 a mx ~all”
加入你的bind,然後ndc reload即可。
檢查一下:
dig -t txt extmail.orgDNS設置SPF記錄全攻略