有時候我們系統(tǒng)發(fā)現(xiàn)有的企業(yè)網(wǎng)站建設(shè)完成后,但是域名的SPF不符合要求,將可能導(dǎo)致郵件無法正常送達(dá)。所以我們建議檢查并按要求設(shè)置SPF,會有助于提升郵件的到達(dá)率。那么怎么配置SPF呢?請參考以下方法:不過需要說明的是目前我們所了解的騰訊的企業(yè)郵箱和中資源的無限暢郵都提供此服務(wù)!
什么是SPF??
(Sender Policy Framework) 的縮寫,一種以IP地址認(rèn)證電子郵件發(fā)件人身份的技術(shù),是非常高效的垃圾郵件解決方案。
接收郵件方會首先檢查域名的SPF記錄,來確定發(fā)件人的IP地址是否被包含在SPF記錄里面,如果在,就認(rèn)為是一封正確的郵件,否則會認(rèn)為是一封偽造的郵件進行退回。?
如何設(shè)置企業(yè)郵箱的SPF呢?
?SPF是通過域名的TXT記錄來進行設(shè)置的。
為了提升域名郵箱發(fā)送外域(@ccxcn.com以外的郵箱)郵件的成功率,建議您給自己的域名設(shè)置一條TXT記錄來避免這種情況。
TXT記錄值為:v=spf1 include:spf.mail.ccxcn.com ~all
如圖:萬網(wǎng)的設(shè)置頁面
1.從diy.hichina.com處登錄域名管理系統(tǒng);
2.在TXT(正文字串)處設(shè)置一條TXT記錄,如下:
SPF 有哪些需求
要想用 SPF 來保護你的系統(tǒng),你必須:
配置 DNS,添加 TXT 記錄,用于容納 SPF 問詢的信息。
配置你的電子郵件系統(tǒng)(qmail, sendmail)使用 SPF,也就是說對服務(wù)器上每封進入的郵件進行驗證。
上述第一步要在郵件服務(wù)器所屬的域名服務(wù)器上進行調(diào)整,下一節(jié)中,我們將討論這個記錄的細(xì)節(jié)內(nèi)容。你首先需要確定的一點是你的域名服務(wù)器(bind,djbdns)所使用的語法。但別擔(dān)心,SPF 的官方網(wǎng)站提供了一個很好用的向?qū)碇笇?dǎo)你如何添加記錄。
SPF 的 TXT 記錄
SPF 記錄包含在一個 TXT 記錄之中,格式如下:
v=spf1 [[pre] type [ext] ] ... [mod]
每個參數(shù)的含義如下表所示: 參數(shù) 描述
v=spf1 SPF 的版本。如果使用 Sender ID 的話,這個字段就應(yīng)該是 v=spf2
pre 定義匹配時的返回值。
可能的返回值包括: 返回值 描述
+ 缺省值。在測試完成的時候表示通過。
- 表示測試失敗。這個值通常是 -all,表示沒有其他任何匹配發(fā)生。
~ 表示軟失敗,通常表示測試沒有完成。
? 表示不置可否。這個值也通常在測試沒有完成的時候使用。
type 定義使用的確認(rèn)測試的類型。
可能的值包括: 候選值 描述
include 包含一個給定的域名的測試
以 include:domain 的形式書寫。
all 終止測試序列。
比如,如果選項是 -all,那么到達(dá)這條記錄也就意味著測試失敗了。但是如果無法確定,可以使用"?all"來表示,這樣,測試將被接受。
ip4 使用 IPv4 進行驗證。
這個可以以 ip4:ipv4 或 ip4:ipv4/cidr 的形式使用。建議使用這個參數(shù),以減少域名服務(wù)器的負(fù)荷。
ip6 使用 IPv6 進行驗證。
a 使用一個域名進行驗證。
這將引起對域名服務(wù)器進行一次 A RR 查詢。
可以按照 a:domain, a:domain/cidr 或 a/cidr 的形式來使用。
mx 使用 DNS MX RR 進行驗證。
MX RR 定義了收信的 MTA,這可能和發(fā)信的 MTA 是不同的,這種情況基于 mx 的測試將會失敗。
可以用 mx:domain, mx:domain/cidr 或 mx/cidr 這些形式進行 mx 驗證。
ptr 使用域名服務(wù)器的 PTR RR 進行驗證。
這時,SPF 使用 PTR RR 和反向圖進行查詢。如果返回的主機名位于同一個域名之內(nèi),就驗證通過了。
這個參數(shù)的寫法是 ptr:domain
exist 驗證域名的存在性。
可以寫成 exist:domain 的形式。
ext 定義對 type 的可選擴展。如果沒有這個字段,那么僅使用單個記錄進行問詢。
mod 這是最后的類型指示,作為記錄的一個修正值。
修正值 描述
redirect 重定向查詢,使用給出的域名的 SPF 記錄。
以 redirect=domain 的方式使用。
exp 這條記錄必須是最后一條,允許給出一條定制的失敗消息。
IN TXT "v=spf1 mx -all exp=getlost.example.com"
getlost IN TXT "You are not authorized to send mail for the domain"
存在的問題:
嘿!我是 ISP
ISP 實施 SPF 可能對于他們處于漫游狀態(tài)(roaming)的用戶帶來一些麻煩,當(dāng)這些用戶習(xí)慣使用 POP-before-Relay 這樣的方式處理郵件,而不是 SASL SMTP 的時候問題就會出現(xiàn)。
嗯,如果你是一個被垃圾郵件、地址欺騙所困擾的 ISP 的話,你就必須考慮你的郵件策略、開始使用 SPF 了。
這里是你可以考慮的幾個步驟。
首先設(shè)置你的 MTA 使用 SASL,比如,你可以在端口 25 和 587 使用它。
告訴你的用戶你已經(jīng)使用了這個策略(spf.ccxcn.com給出了一個通知的例子,參見參考文獻(xiàn))。
給你的用戶一個寬限期,也就是說,把你的 SPF 記錄加入到域名服務(wù)器之中,但使用“軟失敗”(~all)而不是“失敗”(-all)。
這樣,你就保護了你的服務(wù)器、你的客戶和整個世界免受垃圾郵件之類的困擾了。
SPF 的官方站點上有很多信息,還等什么呢?
有什么需要擔(dān)心的?
SPF 是一個對于欺騙的完美保護。但它有一個局限:傳統(tǒng)的郵件轉(zhuǎn)發(fā)方式不再有效了。你不能僅僅從你的 MTA 接受郵件并簡單地重新發(fā)送它了。你必須重寫發(fā)送地址。常見的 MTA 的補丁可以在 SPF 的網(wǎng)站找到。換句話說,如果你把 SPF 記錄加入到了域名服務(wù)器,你就必須更新你的 MTA 來進行發(fā)送地址改寫,即使你還沒有對 SPF 記錄進行檢查。
結(jié)論
你可能覺得 SPF 的實施有點難以理解。不過這確實不算復(fù)雜,而且還有一個不錯的向?qū)韼湍阃瓿蛇@個轉(zhuǎn)換(參見參考文獻(xiàn))。
如果你被垃圾郵件所困擾的話,SPF 將可以幫助你,保護你的域名免受偽造郵件地址的影響,你所要做的僅僅是在域名服務(wù)器上添加一行文本并配置你的電子郵件服務(wù)器而已。
SPF 的優(yōu)點有很多。不過,像我對一些人所說的,這不是一夜之間就可以達(dá)到的,SPF 的好處將通過日積月累來表現(xiàn)出來,當(dāng)其他人都使用它的時候就能明顯地看到了。
我也提到了 Sender ID,這和 SPF 有關(guān),但我沒有去解釋它??赡苣阋呀?jīng)知道原因了,微軟的策略一向如此---軟件專利。在參考文獻(xiàn)中,你可以看到 openspf.org 對于 Sender ID 的立場聲明。
解決MT發(fā)送郵件通知給GMail遇到的SPF校驗問題
blog系統(tǒng)有一個很有用的功能就是郵件發(fā)送留言通知:但是發(fā)送到GMail郵箱的通知信十有八九都會被標(biāo)記為垃圾郵件。原因就是SPF:Sender Policy Framework (SPF) 要做發(fā)送人校驗,而MT設(shè)置的發(fā)信人是留言者的郵件地址,而退信地址是MT系統(tǒng)所在服務(wù)器的郵箱。
Received-SPF: neutral (google.com: 60.195.249.163 is neither permitted nor denied by domain of apache@localhost.localdomain)
我的WEB服務(wù)器上沒有任何郵件系統(tǒng)。所以無法通過SPF校驗,有嚴(yán)格的SPF校驗這也是GMail相對Spam比較少的原因。
如何解決呢:
1 增加郵件系統(tǒng),設(shè)置MX記錄等,需要學(xué)不少東西;
2 簡單的就是先發(fā)到不支持SPF校驗的郵件系統(tǒng)上,然后再轉(zhuǎn)發(fā)給GMail,這時候的退信地址已經(jīng)轉(zhuǎn)發(fā)郵箱了:
Received-SPF: pass (ccxcn.com: domain of #####@yeah.net designates 60.12.227.137 as permitted sender)
您的域管理員或托管公司僅需在域名系統(tǒng)?(DNS) 中發(fā)布 SPF 記錄。這些簡單的文本記錄標(biāo)識了經(jīng)過授權(quán)的電子郵件發(fā)送服務(wù)器(通過列出這些服務(wù)器的 IP 地址)。電子郵件接收系統(tǒng)會檢查郵件是否來自經(jīng)過正確授權(quán)的電子郵件發(fā)送服務(wù)器。檢查步驟如下,發(fā)送人向接收方發(fā)送一封電子郵件后,郵件接收服務(wù)器接收電子郵件并執(zhí)行如下操作:
· 檢查哪一個域聲稱發(fā)送了該郵件并檢查該域的 SPF 記錄的 DNS。
· 確定發(fā)送服務(wù)器的 IP 地址是否與 SPF 記錄中的某個已發(fā)布 IP 地址相匹配。
· 對電子郵件進行打分:如果 IP 地址匹配,則郵件通過身份驗證并獲得一個正分。如果 IP 地址不匹配,則郵件無法通過身份驗證并獲得一個負(fù)分。然后,對現(xiàn)有的防垃圾郵件篩選策略和啟發(fā)式篩選應(yīng)用這些結(jié)果。
本文作者來自北京傳誠信,轉(zhuǎn)載請注明出處:北京傳誠信(js-hbsb.cn)