有時候我們系統發現有的企業網站建設完成后,但是域名的SPF不符合要求,將可能導致郵件無法正常送達。所以我們建議檢查并按要求設置SPF,會有助于提升郵件的到達率。那么怎么配置SPF呢?請參考以下方法:不過需要說明的是目前我們所了解的騰訊的企業郵箱和中資源的無限暢郵都提供此服務!
什么是SPF??
(Sender Policy Framework) 的縮寫,一種以IP地址認證電子郵件發件人身份的技術,是非常高效的垃圾郵件解決方案。
接收郵件方會首先檢查域名的SPF記錄,來確定發件人的IP地址是否被包含在SPF記錄里面,如果在,就認為是一封正確的郵件,否則會認為是一封偽造的郵件進行退回。?
如何設置企業郵箱的SPF呢?
?SPF是通過域名的TXT記錄來進行設置的。
為了提升域名郵箱發送外域(@ccxcn.com以外的郵箱)郵件的成功率,建議您給自己的域名設置一條TXT記錄來避免這種情況。
TXT記錄值為:v=spf1 include:spf.mail.ccxcn.com ~all
如圖:萬網的設置頁面
1.從diy.hichina.com處登錄域名管理系統;
2.在TXT(正文字串)處設置一條TXT記錄,如下:
SPF 有哪些需求
要想用 SPF 來保護你的系統,你必須:
配置 DNS,添加 TXT 記錄,用于容納 SPF 問詢的信息。
配置你的電子郵件系統(qmail, sendmail)使用 SPF,也就是說對服務器上每封進入的郵件進行驗證。
上述第一步要在郵件服務器所屬的域名服務器上進行調整,下一節中,我們將討論這個記錄的細節內容。你首先需要確定的一點是你的域名服務器(bind,djbdns)所使用的語法。但別擔心,SPF 的官方網站提供了一個很好用的向導來指導你如何添加記錄。
SPF 的 TXT 記錄
SPF 記錄包含在一個 TXT 記錄之中,格式如下:
v=spf1 [[pre] type [ext] ] ... [mod]
每個參數的含義如下表所示: 參數 描述
v=spf1 SPF 的版本。如果使用 Sender ID 的話,這個字段就應該是 v=spf2
pre 定義匹配時的返回值。
可能的返回值包括: 返回值 描述
+ 缺省值。在測試完成的時候表示通過。
- 表示測試失敗。這個值通常是 -all,表示沒有其他任何匹配發生。
~ 表示軟失敗,通常表示測試沒有完成。
? 表示不置可否。這個值也通常在測試沒有完成的時候使用。
type 定義使用的確認測試的類型。
可能的值包括: 候選值 描述
include 包含一個給定的域名的測試
以 include:domain 的形式書寫。
all 終止測試序列。
比如,如果選項是 -all,那么到達這條記錄也就意味著測試失敗了。但是如果無法確定,可以使用"?all"來表示,這樣,測試將被接受。
ip4 使用 IPv4 進行驗證。
這個可以以 ip4:ipv4 或 ip4:ipv4/cidr 的形式使用。建議使用這個參數,以減少域名服務器的負荷。
ip6 使用 IPv6 進行驗證。
a 使用一個域名進行驗證。
這將引起對域名服務器進行一次 A RR 查詢。
可以按照 a:domain, a:domain/cidr 或 a/cidr 的形式來使用。
mx 使用 DNS MX RR 進行驗證。
MX RR 定義了收信的 MTA,這可能和發信的 MTA 是不同的,這種情況基于 mx 的測試將會失敗。
可以用 mx:domain, mx:domain/cidr 或 mx/cidr 這些形式進行 mx 驗證。
ptr 使用域名服務器的 PTR RR 進行驗證。
這時,SPF 使用 PTR RR 和反向圖進行查詢。如果返回的主機名位于同一個域名之內,就驗證通過了。
這個參數的寫法是 ptr:domain
exist 驗證域名的存在性。
可以寫成 exist:domain 的形式。
ext 定義對 type 的可選擴展。如果沒有這個字段,那么僅使用單個記錄進行問詢。
mod 這是最后的類型指示,作為記錄的一個修正值。
修正值 描述
redirect 重定向查詢,使用給出的域名的 SPF 記錄。
以 redirect=domain 的方式使用。
exp 這條記錄必須是最后一條,允許給出一條定制的失敗消息。
IN TXT "v=spf1 mx -all exp=getlost.example.com"
getlost IN TXT "You are not authorized to send mail for the domain"
存在的問題:
嘿!我是 ISP
ISP 實施 SPF 可能對于他們處于漫游狀態(roaming)的用戶帶來一些麻煩,當這些用戶習慣使用 POP-before-Relay 這樣的方式處理郵件,而不是 SASL SMTP 的時候問題就會出現。
嗯,如果你是一個被垃圾郵件、地址欺騙所困擾的 ISP 的話,你就必須考慮你的郵件策略、開始使用 SPF 了。
這里是你可以考慮的幾個步驟。
首先設置你的 MTA 使用 SASL,比如,你可以在端口 25 和 587 使用它。
告訴你的用戶你已經使用了這個策略(spf.ccxcn.com給出了一個通知的例子,參見參考文獻)。
給你的用戶一個寬限期,也就是說,把你的 SPF 記錄加入到域名服務器之中,但使用“軟失敗”(~all)而不是“失敗”(-all)。
這樣,你就保護了你的服務器、你的客戶和整個世界免受垃圾郵件之類的困擾了。
SPF 的官方站點上有很多信息,還等什么呢?
有什么需要擔心的?
SPF 是一個對于欺騙的完美保護。但它有一個局限:傳統的郵件轉發方式不再有效了。你不能僅僅從你的 MTA 接受郵件并簡單地重新發送它了。你必須重寫發送地址。常見的 MTA 的補丁可以在 SPF 的網站找到。換句話說,如果你把 SPF 記錄加入到了域名服務器,你就必須更新你的 MTA 來進行發送地址改寫,即使你還沒有對 SPF 記錄進行檢查。
結論
你可能覺得 SPF 的實施有點難以理解。不過這確實不算復雜,而且還有一個不錯的向導來幫你完成這個轉換(參見參考文獻)。
如果你被垃圾郵件所困擾的話,SPF 將可以幫助你,保護你的域名免受偽造郵件地址的影響,你所要做的僅僅是在域名服務器上添加一行文本并配置你的電子郵件服務器而已。
SPF 的優點有很多。不過,像我對一些人所說的,這不是一夜之間就可以達到的,SPF 的好處將通過日積月累來表現出來,當其他人都使用它的時候就能明顯地看到了。
我也提到了 Sender ID,這和 SPF 有關,但我沒有去解釋它。可能你已經知道原因了,微軟的策略一向如此---軟件專利。在參考文獻中,你可以看到 openspf.org 對于 Sender ID 的立場聲明。
解決MT發送郵件通知給GMail遇到的SPF校驗問題
blog系統有一個很有用的功能就是郵件發送留言通知:但是發送到GMail郵箱的通知信十有八九都會被標記為垃圾郵件。原因就是SPF:Sender Policy Framework (SPF) 要做發送人校驗,而MT設置的發信人是留言者的郵件地址,而退信地址是MT系統所在服務器的郵箱。
Received-SPF: neutral (google.com: 60.195.249.163 is neither permitted nor denied by domain of apache@localhost.localdomain)
我的WEB服務器上沒有任何郵件系統。所以無法通過SPF校驗,有嚴格的SPF校驗這也是GMail相對Spam比較少的原因。
如何解決呢:
1 增加郵件系統,設置MX記錄等,需要學不少東西;
2 簡單的就是先發到不支持SPF校驗的郵件系統上,然后再轉發給GMail,這時候的退信地址已經轉發郵箱了:
Received-SPF: pass (ccxcn.com: domain of #####@yeah.net designates 60.12.227.137 as permitted sender)
您的域管理員或托管公司僅需在域名系統?(DNS) 中發布 SPF 記錄。這些簡單的文本記錄標識了經過授權的電子郵件發送服務器(通過列出這些服務器的 IP 地址)。電子郵件接收系統會檢查郵件是否來自經過正確授權的電子郵件發送服務器。檢查步驟如下,發送人向接收方發送一封電子郵件后,郵件接收服務器接收電子郵件并執行如下操作:
· 檢查哪一個域聲稱發送了該郵件并檢查該域的 SPF 記錄的 DNS。
· 確定發送服務器的 IP 地址是否與 SPF 記錄中的某個已發布 IP 地址相匹配。
· 對電子郵件進行打分:如果 IP 地址匹配,則郵件通過身份驗證并獲得一個正分。如果 IP 地址不匹配,則郵件無法通過身份驗證并獲得一個負分。然后,對現有的防垃圾郵件篩選策略和啟發式篩選應用這些結果。
本文作者來自北京傳誠信,轉載請注明出處:北京傳誠信(wtkaisuo.com)
