邮箱域名的 spf 记录 (邮箱反向解析 DNS 记录) 添加方法(常用的域名提供商的解析方法)
当您使用中网科技旗下 (中国万维网 WWW.C3W.CN ) 自带的 DNS 时, 就可以使用这个功能;
域名管理下面的 mydns 中的 txt 记录就是 spf 记录; 加入代码 v=spf1 include:spf.c3w.cn -all 请将 c3w.cn 改成您自己的域名.
具体的设置办法也可以看网上的关于 spf 的资料.
什么是 SPF
就是 Sender Policy Framework.SPF 可以防止别人伪造你来发邮件, 是一个反伪造性邮件的解决方案. 当你定义了你的 domain name 的 SPF 记录之后, 接收邮件方会根据你的 SPF 记录来确定连接过来的 IP 地址是否被包含在 SPF 记录里面, 如果在, 则认为是一封正确的邮件, 否则则认为是一封伪造的邮件. 关于更详细的信息请参考 RFC4408(http://www.ietf.org/rfc/rfc4408.txt)
如何增加 SPF 记录
非常简单, 在 DNS 里面添加 TXT 记录即可. 登陆 http://www.openspf.org / 在里面输入你的域名, 点击 Begin, 然后会自动得到你域名的一些相关信息.
a 你域名的 A 记录, 一般选择 yes, 因为他有可能发出邮件.
mx 一般也是 yes,MX 服务器会有退信等.
ptr 选择 no, 官方建议的.
a: 有没有其他的二级域名? 比如: mail.abc.com 和 www 不在一台 server 上, 则填入 mail.abc.com. 否则清空.
mx: 一般不会再有其他的 mx 记录了.
ip4: 你还有没有其他的 ip 发信? 可能你的 smtp 服务器是独立出来的, 那么就填入你的 IP 地址或者网段.
include: 如果有可能通过一个 isp 来发信, 这个有自己的 SPF 记录, 则填入这个 isp 的域名, 比如: hichina.com
~all: 意思是除了上面的, 其他的都不认可. 当然是 yes 了.
好了, 点击 Continue.....
自动生成了一条 SPF 记录, 比如 abc.com 的是
v=spf1 a mx ~all
并且在下面告诉你如何在你的 bind 里面添加一条
abc.com. IN TXT "v=spf1 a mx ~all"
加入你的 bind, 然后 ndc reload 即可.
检查一下:
dig -t txt extmail.org
如果您的域名是由中网旗下中国万维网 WWW.C3W.CN 的 DNS 务器进行解析的, 可以在域名管理内的 MYDNS 内设置. 设置完毕后您即可以通过使用 spf 策略进行垃圾邮件验证了
用户在使用企业邮箱过程中可能会遇到如下问题,
- # 给外域发信收到退信, 退信中包含 "SPF" 关键字.
- # 在确认没有给外域发信的情况下, 外域收到了来自伪造该域邮件地址的邮件.
这是因为用户域名没有添加 TXT 记录或者添加的 TXT 记录错误造成. SPF 记录可以防止别人伪造来发邮件, 当定义了域名的 SPF 记录之后, 接收邮件方会根据 SPF 记录来确定连接过来的 IP 地址是否被包含在 SPF 记录里面, 如果在, 则认为是一封正确的邮件, 否则则认为是一封伪造的邮件. 对互连互通的影响主要表现在邮件接收方需要 spf 记录检测, 如果没有的话, 有可能不接收邮件.
为了避免这种情况发生, 请您的企业邮箱管理员务必联系域名所属注册商添加 TXT 记录, TXT 记录值为: v=spf1 include:spf.263xmail.com ~all
>>如何查询域名的 SPF 记录?
先切换到 DOS 命令行状态(在点击 Windows 左下角的 "开始" 菜单选择运行, 输入 cmd, 点击确定), 在 DOS 命令下输入 nslookup, 然后按回车键, 再输入 set q=txt, 再按回车键, 再输入域名, 按回车键后即可显示域名目前的 TXT 记录. 例如:
- C:\>nslookup
- Default Server: ns.capital-online.com.cn
- Address: 211.150.125.210
- > set type=txt
- > net263.com
- Server: ns.capital-online.com.cn
- Address: 211.150.125.210
- net263.com text =
- "v=spf1 include:spf.263xmail.com ~all"
- net263.com nameserver = ns.capital-online.com.cn
- net263.com nameserver = nsb.capital-online.com.cn
- ns.capital-online.com.cn internet address = 211.150.125.210
- nsb.capital-online.com.cn internet address = 211.150.124.82
- >
>>如何添加 SPF 记录?
SPF 记录添加方法(请确认您的域名注册商)
中国频道 中国万网
新网互联 新网
中企动力, 广东互易
中资源, 新网, 时代互联, 商务中国, 其他域名服务提供商
1. 中国频道
登录中国频道的域名管理平台 (通过 http://www.dns-diy.com 登录) 后, 需要在 "IP 地址 / 主机名" 的位置添加直接输入 v=spf1 include:spf.263xmail.com ~all, 不需要加 "", 然后直接点击" 新增 " 按钮即可.
添加 SPF 记录
2. 中国万网
在万网的域名管理平台(通过 http://diy.hichina.com 登录), 点击左侧的 "DNS 记录报告" 按钮, 在 "TXT(正文字串)" 中 "正文内容" 的位置直接输入 "v=spf1 include:spf.263xmail.com ~all", 必须带上 ""号, 然后点击" 创建 " 按钮即可.
添加 SPF 记录
3. 新网互联
在新网互联的域名管理平台(登录到 http://www.dns.com.cn 网站, 点击服务中心栏目中的 "域名管理" 链接, 输入域名及域名的管理密码, 然后点击登录), 点击 "MyDNS 功能" 进入到 MYDNS 后, 选择 "到专业版", 在纯域名的列表中选择添加记录的类型为 TXT, 顺序为 0, 在指向中输入 v=spf1 include:spf.263xmail.com ~all, 不需要加 "".
添加 SPF 记录
4. 新网
登录新网的域名管理平台(http://www.xinnet.com 网站), 选择添加记录的类型为 TXT, 在内容中输入 v=spf1 include:spf.263xmail.com ~all.
添加 SPF 记录
5. 中企动力, 广东互易
可以添加 TXT 记录, 请用户直接联系自己的域名服务商添加.
6. 中资源, 新网, 时代互联, 商务中国, 以及其他域名服务提供商
上述几家域名服务提供商暂不支持 TXT 记录的添加, 对于域名 DNS 是这几家公司的, 用户可按如下方法进行操作:
1)联系域名的 DNS 服务提供商将域名的所有解析记录导出.
2)将导出的解析记录提供给 263 客服, 先由 263 客服联系技术工程师将用户原记录解析添加到 263 公司的 DNS 服务器里面, 同时为用户添加一条 TXT 记录.
3)待 263 客服确认已经将解析添加完毕后, 用户再联系域名的服务提供商, 将域名的 DNS 更改以下这组 DNS: ns.263idc.NET,nsb.263idc.NET
如用户 DNS 为其他服务商, 且与域名服务提供商确认无法添加 TXT 记录的, 也可按如上方法处理.
转载 SPF 详解 收藏
什么是 SPF?
这里的 SPF 不是防晒指数, 而是指 Sender Policy Framework. 翻译过来就是发信者策略架构, 比较拗口, 通常都直接称为 SPF.
SPF 是跟 DNS 相关的一项技术, 它的内容写在 DNS 的 txt 类型的记录里面. mx 记录的作用是给寄信者指明某个域名的邮件服务器有哪些. SPF 的作用跟 mx 相反, 它向收信者表明, 哪些邮件服务器是经过某个域名认可会发送邮件的.
由定义可以看出, SPF 的作用主要是反垃圾邮件, 主要针对那些发信人伪造域名的垃圾邮件.
例如: 当 coremail 邮件服务器收到自称发件人是 spam@gmail.com 的邮件, 那么到底它是不是真的 gmail.com 的邮件服务器发过来的呢? 那么我们可以查询 gmail.com 的 SPF 记录.
关于 SPF 的一些知识
当前市场上很多邮件系统和供应商都已经开始支持 SPF, 比如 163.com, 那么该如何得到 163.com 的 SPF 值呢? 在 CMD 环境中, 键入:
- nslookup
- set type=txt
- 163.com
就会得到以下的结果:
163.com text ="v=spf1 include:spf.163.com -all"
其中:="v=spf1 include:spf.163.com -all" 就是 163.com 的 SPF 值. 这个数据中说明了 163.com 有效合法服务器都有哪些!
那么我们该如何创建呢?
进入域名解析创建一条 TXT 记录填写正确的 SPF 数据就可以生效了.
在 MDaemon7.x 中启用 SPF 功能, 并作适当调整就可以了.
另外 8.x 版本新增加了一个 DomainKey 签名, 不过 MDaemon 已经自动帮你创建.
另外给大家一个网址, 很实用
http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/
这个网址是一个创建 SenderID 的向导网站, 他能帮你创建一个 SenderID 值.
- SenderID (寄件人身份识别技术).
- SPF(SenderPolicyFramework, 寄件人政策架构).
SenderID 技术与 SPF 一样, 都是一种以 IP(互联网协定)位址认证电子邮件寄件人身份的技术.
SPF 简介
SPF 是发送方策略框架 (Sender Policy Framework) 的缩写, 希望能成为一个防伪标准, 来防止伪造邮件地址. 这篇文章对 SPF 进行了简单介绍, 并介绍了它的一些优点和不足.
SPF 诞生于 2003 年, 它的缔造者 Meng Weng Wong 结合了反向 MX 域名解析(Reverse MX) 和 DMP (Designated Mailer Protocol) 的优点而付予了 SPF 生命.
SPF 使用电子邮件头部信息中的 return-path (或 MAIL FROM) 字段, 因为所有的 MTA 都可以处理包含这些字段的邮件. 不过微软也提出了一种叫做 PRA (Purported Responsible Address)的方法. PRA 对应于 MUA (比如 thunderbird) 使用的终端用户的地址.
这样, 当我们把 SPF 和 PRA 结合起来的时候, 就可以得到所谓的 "Sender ID" 了. Sender ID 允许电子邮件的接收者通过检查 MAIL FROM 和 PRA 来验证邮件的合法性. 有的说法认为, MAIL FROM 检查由 MTA 进行, 而 PRA 检查由 MUA 来完成.
事实上, SPF 需要 DNS 以某种特定的方式来工作. 也就是必须提供所谓的 "反向 MX 解析" 记录, 这些记录用来解析来自给定域名的邮件对应的发送主机. 这和目前使用的 MX 记录不通, 后者是用来解析给定域名对应的接收邮件的主机的.
SPF 有哪些需求?
要想用 SPF 来保护你的系统, 你必须:
1. 配置 DNS, 添加 TXT 记录, 用于容纳 SPF 问询的信息.
2. 配置你的电子邮件系统 (qmail, sendmail) 使用 SPF, 也就是说对服务器上每封进入的邮件进行验证.
上述第一步要在邮件服务器所属的域名服务器上进行调整, 下一节中, 我们将讨论这个记录的细节内容. 你首先需要确定的一点是你的域名服务器 (bind,djbdns) 所使用的语法. 但别担心, SPF 的官方网站提供了一个很好用的向导来指导你如何添加记录.
SPF 的 TXT 记录
SPF 记录包含在一个 TXT 记录之中, 格式如下:
v=spf1 [[pre] type [ext] ] ... [mod]
每个参数的含义如下表所示:
参数 描述
v=spf1 SPF 的版本. 如果使用 Sender ID 的话, 这个字段就应该是 v=spf2
pre 定义匹配时的返回值.
可能的返回值包括:
返回值 描述
+ 缺省值. 在测试完成的时候表示通过.
- 表示测试失败. 这个值通常是 -all, 表示没有其他任何匹配发生.
~ 表示软失败, 通常表示测试没有完成.
? 表示不置可否. 这个值也通常在测试没有完成的时候使用.
type 定义使用的确认测试的类型.
可能的值包括:
候选值 描述
include 包含一个给定的域名的测试
以 include:domain 的形式书写.
all 终止测试序列.
比如, 如果选项是 -all, 那么到达这条记录也就意味着测试失败了. 但是如果无法确定, 可以使用 "?all" 来表示, 这样, 测试将被接受.
ip4 使用 IPv4 进行验证.
这个可以以 ip4:ipv4 或 ip4:ipv4/cidr 的形式使用. 建议使用这个参数, 以减少域名服务器的负荷.
ip6 使用 IPv6 进行验证.
a 使用一个域名进行验证.
这将引起对域名服务器进行一次 A RR 查询.
可以按照 a:domain, a:domain/cidr 或 a/cidr 的形式来使用.
mx 使用 DNS MX RR 进行验证.
MX RR 定义了收信的 MTA, 这可能和发信的 MTA 是不同的, 这种情况基于 mx 的测试将会失败.
可以用 mx:domain, mx:domain/cidr 或 mx/cidr 这些形式进行 mx 验证.
ptr 使用域名服务器的 PTR RR 进行验证.
这时, SPF 使用 PTR RR 和反向图进行查询. 如果返回的主机名位于同一个域名之内, 就验证通过了.
这个参数的写法是 ptr:domain
exist 验证域名的存在性.
可以写成 exist:domain 的形式.
ext 定义对 type 的可选扩展. 如果没有这个字段, 那么仅使用单个记录进行问询.
mod 这是最后的类型指示, 作为记录的一个修正值.
修正值 描述
redirect 重定向查询, 使用给出的域名的 SPF 记录.
以 redirect=domain 的方式使用.
exp 这条记录必须是最后一条, 允许给出一条定制的失败消息.
- IN TXT "v=spf1 mx -all exp=getlost.example.com"
- getlost IN TXT "You are not authorized to send mail for the domain"
嘿! 我是 ISP
ISP 实施 SPF 可能对于他们处于漫游状态 (roaming) 的用户带来一些麻烦, 当这些用户习惯使用 POP-before-Relay 这样的方式处理邮件, 而不是 SASL SMTP 的时候问题就会出现.
嗯, 如果你是一个被垃圾邮件, 地址欺骗所困扰的 ISP 的话, 你就必须考虑你的邮件策略, 开始使用 SPF 了.
这里是你可以考虑的几个步骤.
1. 首先设置你的 MTA 使用 SASL, 比如, 你可以在端口 25 和 587 使用它.
2. 告诉你的用户你已经使用了这个策略(spf.pobox.com 给出了一个通知的例子, 参见参考文献).
3. 给你的用户一个宽限期, 也就是说, 把你的 SPF 记录加入到域名服务器之中, 但使用 "软失败"(~all)而不是 "失败"(-all).
这样, 你就保护了你的服务器, 你的客户和整个世界免受垃圾邮件之类的困扰了.
SPF 的官方站点上有很多信息, 还等什么呢?
有什么需要担心的?
SPF 是一个对于欺骗的完美保护. 但它有一个局限: 传统的邮件转发方式不再有效了. 你不能仅仅从你的 MTA 接受邮件并简单地重新发送它了. 你必须重写发送地址. 常见的 MTA 的补丁可以在 SPF 的网站找到. 换句话说, 如果你把 SPF 记录加入到了域名服务器, 你就必须更新你的 MTA 来进行发送地址改写, 即使你还没有对 SPF 记录进行检查.
结论
你可能觉得 SPF 的实施有点难以理解. 不过这确实不算复杂, 而且还有一个不错的向导来帮你完成这个转换(参见参考文献).
如果你被垃圾邮件所困扰的话, SPF 将可以帮助你, 保护你的域名免受伪造邮件地址的影响, 你所要做的仅仅是在域名服务器上添加一行文本并配置你的电子邮件服务器而已.
SPF 的优点有很多. 不过, 像我对一些人所说的, 这不是一夜之间就可以达到的, SPF 的好处将通过日积月累来表现出来, 当其他人都使用它的时候就能明显地看到了.
我也提到了 Sender ID, 这和 SPF 有关, 但我没有去解释它. 可能你已经知道原因了, 微软的策略一向如此 - 软件专利. 在参考文献中, 你可以看到 openspf.org 对于 Sender ID 的立场声明.
下一篇文章中, 我们将讨论 MTA 的设置, 我们到时再见.
我仅仅希望给你一个 SPF 的简短说明. 如果你对此感兴趣, 想要了解更多信息的话, 你可以看看参考文献, 本文的内容就来自于此.
解决 MT 发送邮件通知给 GMail 遇到的 SPF 校验问题
blog 系统有一个很有用的功能就是邮件发送留言通知: 但是发送到 GMail 邮箱的通知信十有八九都会被标记为垃圾邮件. 原因就是 SPF:Sender Policy Framework (SPF) 要做发送人校验, 而 MT 设置的发信人是留言者的邮件地址, 而退信地址是 MT 系统所在服务器的邮箱.
Received-SPF: neutral (google.com: 60.195.249.163 is neither permitted nor denied by domain of apache@localhost.localdomain)
我的 web 服务器上没有任何邮件系统. 所以无法通过 SPF 校验, 有严格的 SPF 校验这也是 GMail 相对 Spam 比较少的原因.
如何解决呢:
1 增加邮件系统, 设置 MX 记录等, 需要学不少东西;
2 简单的就是先发到不支持 SPF 校验的邮件系统上, 然后再转发给 GMail, 这时候的退信地址已经转发邮箱了:
Received-SPF: pass (google.com: domain of #####@yeah.NET designates 60.12.227.137 as permitted sender)
什么是 SPF?
SPF 是发送方策略框架 (Sender Policy Framework) 的缩写, 正在逐步成为一个防伪标准, 来防止伪造邮件地址.
您的域管理员或托管公司仅需在域名系统 (DNS) 中发布 SPF 记录. 这些简单的文本记录标识了经过授权的电子邮件发送服务器(通过列出这些服务器的 IP 地址). 电子邮件接收系统会检查邮件是否来自经过正确授权的电子邮件发送服务器. 检查步骤如下, 发送人向接收方发送一封电子邮件后, 邮件接收服务器接收电子邮件并执行如下操作:
? 检查哪一个域声称发送了该邮件并检查该域的 SPF 记录的 DNS.
? 确定发送服务器的 IP 地址是否与 SPF 记录中的某个已发布 IP 地址相匹配.
? 对电子邮件进行打分: 如果 IP 地址匹配, 则邮件通过身份验证并获得一个正分. 如果 IP 地址不匹配, 则邮件无法通过身份验证并获得一个负分. 然后, 对现有的防垃圾邮件筛选策略和启发式筛选应用这些结果.
如何给邮件服务器增加 SPF 设置, 请参考 chicheng 的文章: 为你的 mail server 增加 SPF 记录
什么是 SPF
就是 Sender Policy Framework.SPF 可以防止别人伪造你来发邮件, 是一个反伪造性邮件的解决方案. 当你定义了你的 domain name 的 SPF 记录之后, 接收邮件方会根据你的 SPF 记录来确定连接过来的 IP 地址是否被包含在 SPF 记录里面, 如果在, 则认为是一封正确的邮件, 否则则认为是一封伪造的邮件. 关于更详细的信息请参考 RFC4408(http://www.ietf.org/rfc/rfc4408.txt
如何增加 SPF 记录
非常简单, 在 DNS 里面添加 TXT 记录即可. 登陆 http://www.openspf.org/wizard.html 在里面输入你的域名, 点击 Begin, 然后会自动得到你域名的一些相关信息.
a 你域名的 A 记录, 一般选择 yes, 因为他有可能发出邮件.
mx 一般也是 yes,MX 服务器会有退信等.
ptr 选择 no, 官方建议的.
a: 有没有其他的二级域名? 比如: bbs.extmail.org 和 www 不在一台 server 上, 则填入 bbs.extmail.org. 否则清空.
mx: 一般不会再有其他的 mx 记录了.
ip4: 你还有没有其他的 ip 发信? 可能你的 smtp 服务器是独立出来的, 那么就填入你的 IP 地址或者网段.
include: 如果有可能通过一个 isp 来发信, 这个有自己的 SPF 记录, 则填入这个 isp 的域名, 比如: sina.com
~all: 意思是除了上面的, 其他的都不认可. 当然是 yes 了.
好了, 点击 Continue.....
自动生成了一条 SPF 记录, 比如 extmail.org 的是
v=spf1 a mx ~all
并且在下面告诉你如何在你的 bind 里面添加一条
extmail.org. IN TXT "v=spf1 a mx ~all"
加入你的 bind, 然后 ndc reload 即可.
检查一下:
dig -t txt extmail.org
来源: http://www.bubuko.com/infodetail-2923872.html