郵件安全中的SPF是什么，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

創(chuàng)新互聯(lián)公司電話聯(lián)系：13518219792，為您提供成都網(wǎng)站建設(shè)網(wǎng)頁設(shè)計及定制高端網(wǎng)站建設(shè)服務(wù)，創(chuàng)新互聯(lián)公司網(wǎng)頁制作領(lǐng)域十載，包括茶樓設(shè)計等多個領(lǐng)域擁有多年設(shè)計經(jīng)驗，選擇創(chuàng)新互聯(lián)公司，為網(wǎng)站保駕護航。

什么是SPF  
就是Sender Policy Framework。SPF可以防止別人偽造你來發(fā)郵件，是一個反偽造性郵件的解決方案。當(dāng)你定義了你的domain name的SPF記錄之后，接收郵件方會根據(jù)你的SPF記錄來確定連接過來的IP地址是否被包含在SPF記錄里面，如果在，則認為是一封正確的郵件，否則 則認為是一封偽造的郵件。

下面為SPF的詳細介紹，

一 句型

在一條SPF記錄中,按照排列的先后順序,對所給出的機制進行驗證.如果在SPF記錄中,沒有機制或修改符,默認結(jié)果是中性(Neutral);如果域沒有SPF記錄,結(jié)果是:”無”(None);如果在DNS解析期間,有一個臨時錯誤,會報”臨時錯誤”(TempError)(以前的規(guī)劃中稱作”錯誤”(error));如果SPF記錄句型錯誤,比如寫法錯誤或者使用了未知句型,會報”永久錯誤”(PermError)(以前稱作”unknown”)

1 機制

1.1 機制表示

1.1.1 all

這個機制總是匹配的,通常用在記錄的結(jié)尾.例:

“v=spf1 mx –all” 允許所有該域的MX郵件服務(wù)器發(fā)送郵件,禁止所有其他的.

“v=spf1 –all” 該域根本不能發(fā)送郵件

“v=spf1 +all” 任何服務(wù)器都可以發(fā)送郵件

1.1.2 ip4

“v=spf1 ip4:192.168.0.1/16 –all” 允許192.168.0.1到192.168.255.255的服務(wù)器發(fā)送郵件

“v=spf1 ip4:192.168.0.1 –all” 允許192.168.0.1發(fā)送郵件,與“v=spf1 ip4:192.168.0.1/32 –all”同意

1.1.3 ip6

單個IP,于ip4不同,/128為默認前綴 例:

"v=spf1 ip6:1080::8:800:200C:417A/96 -all"

允許1080::8:800:0000:0000 和 1080::8:800:FFFF:FFFF之間的主機發(fā)送

"v=spf1 ip6:1080::8:800:68.0.3.1/96 -all"

允許 1080::8:800:0000:0000 和1080::8:800:FFFF:FFFF之間的主機發(fā)送

1.1.4 a

例:假設(shè)當(dāng)前域為example.com

"v=spf1 a -all" 當(dāng)前域被使用

"v=spf1 a:example.com -all"當(dāng)前域被使用

Equivalent if the current-domain is example.com.

"v=spf1 a:mailers.example.com -all" 指定mailers.example.com的主機IP可以外發(fā)郵件

"v=spf1 a/24 a:offsite.example.com/24 -all" 如果example.com解析到192.0.2.1,那么全部的C類地址192.0.2.0/24將作為可外發(fā) 郵件的IP地址;同樣,如果offsite.example.com有多個A記錄地址,每一個IP地址也會被擴展到CIDR子網(wǎng),作為可外發(fā)郵件IP地址.

1.1.5 mx

所有域的MX記錄對應(yīng)的A記錄,按照MX記錄的優(yōu)先級進行驗證.如果發(fā)送IP在這些記錄中,則機制匹配.如果域未指定,默認為當(dāng)前域.

A記錄需要精確匹配發(fā)送郵件的IP地址.如果有CIDR前綴,則需要逐個對應(yīng)IP地址驗證.

例:

v=spf1 mx mx:deferrals.domain.com -all"

Perhaps a domain sends mail through its MX servers plus another set of servers whose job is to retry mail for deferring domains.

也許一個域可以通過他的MX服務(wù)器發(fā)送郵件,而另外也可以通過deferrals.domain.com的MX服務(wù)器發(fā)送郵件.

"v=spf1 mx/24 mx:offsite.domain.com/24 -all"

也許一個域的MX服務(wù)器在一個IP接收郵件,而用臨近的另一IP發(fā)送郵件.

1.1.7 prt

發(fā)送IP的PTR記錄至少有一個和給定域相匹配.盡量避免使用這種機制,因耗費大量的DNS查詢

例子:

"v=spf1 ptr -all"

"v=spf1 ptr:otherdomain.com -all"

1.1.8 exists

對被提供的域進行A記錄查詢,如果有結(jié)果,則匹配.如果結(jié)果是”-“,會被當(dāng)作127.0.0.2對待.

在下面的例子中,發(fā)件IP地址為1.2.3.4,當(dāng)前域為example.com

"v=spf1 exists:example.net -all"

如果example.net不能解析,結(jié)果失敗.如果可以解析.機制匹配.

1.1.10 include

句型：include:

指定的域被查詢后匹配.如果查詢無匹配或者有錯誤,接著開始下一個機制處理.警告:如果指定域不是合法有效的SPF記錄,返回”永久性錯誤”結(jié)果.某些郵件接收者會基于此錯誤,拒絕接受郵件.

例:

在下面的例子中,發(fā)信IP是1.2.3.4,當(dāng)前域是example.com

“v=spf1 include:example.net –all”

如果example.net沒有SPF記錄,結(jié)果是”永久錯誤”(PermError)

假設(shè)example.net的SPF記錄是”v=spf1 a –all”

查詢exapmle.net的A記錄,如果匹配1.2.3.4,結(jié)果是”通過”(Pass);如果不匹配,,則include整體匹配失敗,后面的-all將不再驗證,最后總的結(jié)果還是”失敗”(Fail).

這個機制會涉及信任關(guān)系,可能會有越權(quán)行為,可能被人假冒.因此可以設(shè)置為中性,在include前加上標識符?

“v=spf1 ?include:example.net –all”

該機制一般不宜選擇.

1.2 標識符

作為機制的前綴,表明機制的狀態(tài).機制的默認標識符為”+”

"+" Pass (通過)

"-" Fail (失敗)

"~" SoftFail (軟失敗)

"?" Neutral (中性)

2修改符

在一個SPF記錄中,每個修改符只能使用一次,不能重復(fù)使用.未知修改符將會在驗證時忽略。

1.2.1 redirect

句型: redirect=

將會用指定域代替當(dāng)前域

在下面的例子里:當(dāng)前域為example.com,發(fā)信IP是1.2.3.4

“v=spf1 redirect=example.net”

如果example.net沒有SPF記錄,返回”unknown”的錯誤

假設(shè)example.net的SPF記錄是”v=spf1 a –all”

查詢example.net的A記錄,如果匹配1.2.3.4,則”通過”(Pass);如果不匹配,該行為失敗,接著開始執(zhí)行-all機制.

1.2.2 exp

句型: exp=

提供解釋性的語句.如果SMTP接收者拒絕一個信息,它可以包含一個返回給發(fā)信者的解釋信息.SPF記錄里可以包含一個解釋字符串給發(fā)送者,告之相關(guān)的錯誤信息或需要訪問的幫助頁面等.

二 處理過程

三 錯誤代碼

驗證SPF記錄的結(jié)果只能有如下幾在種:

結(jié)果	解釋	可做行為
Pass	SPF記錄指定,主機被允許發(fā)送	接受
Fail	SPF記錄指定,主機不被允許發(fā)送	拒絕
SoftFail	SPF記錄指定,主機不被允許發(fā)送,但可以再發(fā)送	接受但做標記
Neutral	SPF記錄詳盡,但不能確認其有效性	接受
None	無SPF記錄或SPF記錄驗證無結(jié)果	接受
PermError	永久錯誤(例如不正確的格式記錄)	未指明
TempError	臨時錯誤發(fā)生	接受或拒絕

設(shè)置SPF記錄

SPF記錄類似類似這樣：

v=spf1 a mx mx:mail.jefflei.com ip4:202.96.88.88 ~all

這條SPF記錄具體的說明了允許發(fā)送 @yourdomain.com 的IP地址是：

• a （這個a是指 yourdomain.com 解析出來的IP地址，若沒有配置應(yīng)取消）

• mx （yourdomain.com 對應(yīng)的mx，即 mail.yourdomain.com的A記錄所對應(yīng)的ip）

• mx:mail.jefflei.com （如果沒有配置過mail.jefflei.com這條MX記錄也應(yīng)取消）

• ip4:202.96.88.88 （直接就是 202.152.186.85 這個IP地址）

其他還有些語法如下：

- Fail, 表示沒有其他任何匹配發(fā)生

~ 代表軟失敗，通常用于測試中

? 代表忽略

如果外發(fā)的ip不止一個，那么必須要包含多個

可以通過這個網(wǎng)站的向?qū)ё詣由蒘PF記錄：http://www.openspf.org/ ,Godaddy域名解析面板的TXT記錄也提供了設(shè)置SPF記錄的向?qū)?，設(shè)置很方便。

檢測SPF記錄設(shè)置是否正確

發(fā)信到 check-auth@verifier.port25.com ，如果收到的信息是 ：SPF check: pass 就說明設(shè)置成功了。

查看域名的SPF記錄

Windows下，開始菜單—>運行—>輸入cmd ，然后回車，在命令行下輸入：

nslookup -type=txt 域名

就可以看到域名設(shè)置的TXT記錄了。

Unix操作系統(tǒng)下用：

dig -t txt 域名

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進一步的了解或閱讀更多相關(guān)文章，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章標題：郵件安全中的SPF是什么-創(chuàng)新互聯(lián)
本文地址：http://weahome.cn/article/dgpdpj.html