郵件安全中的SPF是什么，很多新手對此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

目前創(chuàng)新互聯(lián)已為上千多家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)頁空間、網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計(jì)、點(diǎn)軍網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

什么是SPF  
就是Sender Policy Framework。SPF可以防止別人偽造你來發(fā)郵件，是一個(gè)反偽造性郵件的解決方案。當(dāng)你定義了你的domain name的SPF記錄之后，接收郵件方會(huì)根據(jù)你的SPF記錄來確定連接過來的IP地址是否被包含在SPF記錄里面，如果在，則認(rèn)為是一封正確的郵件，否則 則認(rèn)為是一封偽造的郵件。

下面為SPF的詳細(xì)介紹，

一 句型

在一條SPF記錄中,按照排列的先后順序,對所給出的機(jī)制進(jìn)行驗(yàn)證.如果在SPF記錄中,沒有機(jī)制或修改符,默認(rèn)結(jié)果是中性(Neutral);如果域沒有SPF記錄,結(jié)果是:”無”(None);如果在DNS解析期間,有一個(gè)臨時(shí)錯(cuò)誤,會(huì)報(bào)”臨時(shí)錯(cuò)誤”(TempError)(以前的規(guī)劃中稱作”錯(cuò)誤”(error));如果SPF記錄句型錯(cuò)誤,比如寫法錯(cuò)誤或者使用了未知句型,會(huì)報(bào)”永久錯(cuò)誤”(PermError)(以前稱作”unknown”)

1 機(jī)制

1.1 機(jī)制表示

1.1.1 all

這個(gè)機(jī)制總是匹配的,通常用在記錄的結(jié)尾.例:

“v=spf1 mx –all” 允許所有該域的MX郵件服務(wù)器發(fā)送郵件,禁止所有其他的.

“v=spf1 –all” 該域根本不能發(fā)送郵件

“v=spf1 +all” 任何服務(wù)器都可以發(fā)送郵件

1.1.2 ip4

“v=spf1 ip4:192.168.0.1/16 –all” 允許192.168.0.1到192.168.255.255的服務(wù)器發(fā)送郵件

“v=spf1 ip4:192.168.0.1 –all” 允許192.168.0.1發(fā)送郵件,與“v=spf1 ip4:192.168.0.1/32 –all”同意

1.1.3 ip6

單個(gè)IP,于ip4不同,/128為默認(rèn)前綴 例:

"v=spf1 ip6:1080::8:800:200C:417A/96 -all"

允許1080::8:800:0000:0000 和 1080::8:800:FFFF:FFFF之間的主機(jī)發(fā)送

"v=spf1 ip6:1080::8:800:68.0.3.1/96 -all"

允許 1080::8:800:0000:0000 和1080::8:800:FFFF:FFFF之間的主機(jī)發(fā)送

1.1.4 a

例:假設(shè)當(dāng)前域?yàn)閑xample.com

"v=spf1 a -all" 當(dāng)前域被使用

"v=spf1 a:example.com -all"當(dāng)前域被使用

Equivalent if the current-domain is example.com.

"v=spf1 a:mailers.example.com -all" 指定mailers.example.com的主機(jī)IP可以外發(fā)郵件

"v=spf1 a/24 a:offsite.example.com/24 -all" 如果example.com解析到192.0.2.1,那么全部的C類地址192.0.2.0/24將作為可外發(fā) 郵件的IP地址;同樣,如果offsite.example.com有多個(gè)A記錄地址,每一個(gè)IP地址也會(huì)被擴(kuò)展到CIDR子網(wǎng),作為可外發(fā)郵件IP地址.

1.1.5 mx

所有域的MX記錄對應(yīng)的A記錄,按照MX記錄的優(yōu)先級(jí)進(jìn)行驗(yàn)證.如果發(fā)送IP在這些記錄中,則機(jī)制匹配.如果域未指定,默認(rèn)為當(dāng)前域.

A記錄需要精確匹配發(fā)送郵件的IP地址.如果有CIDR前綴,則需要逐個(gè)對應(yīng)IP地址驗(yàn)證.

例:

v=spf1 mx mx:deferrals.domain.com -all"

Perhaps a domain sends mail through its MX servers plus another set of servers whose job is to retry mail for deferring domains.

也許一個(gè)域可以通過他的MX服務(wù)器發(fā)送郵件,而另外也可以通過deferrals.domain.com的MX服務(wù)器發(fā)送郵件.

"v=spf1 mx/24 mx:offsite.domain.com/24 -all"

也許一個(gè)域的MX服務(wù)器在一個(gè)IP接收郵件,而用臨近的另一IP發(fā)送郵件.

1.1.7 prt

發(fā)送IP的PTR記錄至少有一個(gè)和給定域相匹配.盡量避免使用這種機(jī)制,因耗費(fèi)大量的DNS查詢

例子:

"v=spf1 ptr -all"

"v=spf1 ptr:otherdomain.com -all"

1.1.8 exists

對被提供的域進(jìn)行A記錄查詢,如果有結(jié)果,則匹配.如果結(jié)果是”-“,會(huì)被當(dāng)作127.0.0.2對待.

在下面的例子中,發(fā)件IP地址為1.2.3.4,當(dāng)前域?yàn)閑xample.com

"v=spf1 exists:example.net -all"

如果example.net不能解析,結(jié)果失敗.如果可以解析.機(jī)制匹配.

1.1.10 include

句型：include:<domain>

指定的域被查詢后匹配.如果查詢無匹配或者有錯(cuò)誤,接著開始下一個(gè)機(jī)制處理.警告:如果指定域不是合法有效的SPF記錄,返回”永久性錯(cuò)誤”結(jié)果.某些郵件接收者會(huì)基于此錯(cuò)誤,拒絕接受郵件.

例:

在下面的例子中,發(fā)信IP是1.2.3.4,當(dāng)前域是example.com

“v=spf1 include:example.net –all”

如果example.net沒有SPF記錄,結(jié)果是”永久錯(cuò)誤”(PermError)

假設(shè)example.net的SPF記錄是”v=spf1 a –all”

查詢exapmle.net的A記錄,如果匹配1.2.3.4,結(jié)果是”通過”(Pass);如果不匹配,,則include整體匹配失敗,后面的-all將不再驗(yàn)證,最后總的結(jié)果還是”失敗”(Fail).

這個(gè)機(jī)制會(huì)涉及信任關(guān)系,可能會(huì)有越權(quán)行為,可能被人假冒.因此可以設(shè)置為中性,在include前加上標(biāo)識(shí)符?

“v=spf1 ?include:example.net –all”

該機(jī)制一般不宜選擇.

1.2 標(biāo)識(shí)符

作為機(jī)制的前綴,表明機(jī)制的狀態(tài).機(jī)制的默認(rèn)標(biāo)識(shí)符為”+”

"+" Pass (通過)

"-" Fail (失敗)

"~" SoftFail (軟失敗)

"?" Neutral (中性)

2修改符

在一個(gè)SPF記錄中,每個(gè)修改符只能使用一次,不能重復(fù)使用.未知修改符將會(huì)在驗(yàn)證時(shí)忽略。

1.2.1 redirect

句型: redirect=<domain>

將會(huì)用指定域代替當(dāng)前域

在下面的例子里:當(dāng)前域?yàn)閑xample.com,發(fā)信IP是1.2.3.4

“v=spf1 redirect=example.net”

如果example.net沒有SPF記錄,返回”unknown”的錯(cuò)誤

假設(shè)example.net的SPF記錄是”v=spf1 a –all”

查詢example.net的A記錄,如果匹配1.2.3.4,則”通過”(Pass);如果不匹配,該行為失敗,接著開始執(zhí)行-all機(jī)制.

1.2.2 exp

句型: exp=<domain>

提供解釋性的語句.如果SMTP接收者拒絕一個(gè)信息,它可以包含一個(gè)返回給發(fā)信者的解釋信息.SPF記錄里可以包含一個(gè)解釋字符串給發(fā)送者,告之相關(guān)的錯(cuò)誤信息或需要訪問的幫助頁面等.

二 處理過程

三 錯(cuò)誤代碼

驗(yàn)證SPF記錄的結(jié)果只能有如下幾在種:

結(jié)果	解釋	可做行為
Pass	SPF記錄指定,主機(jī)被允許發(fā)送	接受
Fail	SPF記錄指定,主機(jī)不被允許發(fā)送	拒絕
SoftFail	SPF記錄指定,主機(jī)不被允許發(fā)送,但可以再發(fā)送	接受但做標(biāo)記
Neutral	SPF記錄詳盡,但不能確認(rèn)其有效性	接受
None	無SPF記錄或SPF記錄驗(yàn)證無結(jié)果	接受
PermError	永久錯(cuò)誤(例如不正確的格式記錄)	未指明
TempError	臨時(shí)錯(cuò)誤發(fā)生	接受或拒絕

設(shè)置SPF記錄

SPF記錄類似類似這樣：

v=spf1 a mx mx:mail.jefflei.com ip4:202.96.88.88 ~all

這條SPF記錄具體的說明了允許發(fā)送 @yourdomain.com 的IP地址是：

• a （這個(gè)a是指 yourdomain.com 解析出來的IP地址，若沒有配置應(yīng)取消）

• mx （yourdomain.com 對應(yīng)的mx，即 mail.yourdomain.com的A記錄所對應(yīng)的ip）

• mx:mail.jefflei.com （如果沒有配置過mail.jefflei.com這條MX記錄也應(yīng)取消）

• ip4:202.96.88.88 （直接就是 202.152.186.85 這個(gè)IP地址）

其他還有些語法如下：

- Fail, 表示沒有其他任何匹配發(fā)生

~ 代表軟失敗，通常用于測試中

? 代表忽略

如果外發(fā)的ip不止一個(gè)，那么必須要包含多個(gè)

可以通過這個(gè)網(wǎng)站的向?qū)ё詣?dòng)生成SPF記錄：http://www.openspf.org/ ,Godaddy域名解析面板的TXT記錄也提供了設(shè)置SPF記錄的向?qū)?，設(shè)置很方便。

檢測SPF記錄設(shè)置是否正確

發(fā)信到 check-auth@verifier.port25.com ，如果收到的信息是 ：SPF check: pass 就說明設(shè)置成功了。

查看域名的SPF記錄

Windows下，開始菜單—>運(yùn)行—>輸入cmd ，然后回車，在命令行下輸入：

nslookup -type=txt 域名

就可以看到域名設(shè)置的TXT記錄了。

Unix操作系統(tǒng)下用：

dig -t txt 域名

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。

本文題目：郵件安全中的SPF是什么
URL標(biāo)題：http://www.rwnh.cn/article8/igpdip.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供全網(wǎng)營銷推廣、企業(yè)網(wǎng)站制作、域名注冊、定制網(wǎng)站、軟件開發(fā)、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)