Java,Jsp,模式及框架
Web技术
Web服务器
浏览器相关
SQL语言
数据库
开发环境
软件开发及管理
网站SEO
短信及邮件服务
网页设计
电脑、硬件及网络
协同管理平台问题
电子商务
前沿技术及趋势
  当前位置:首页 - 知识积累 - 短信及邮件服务
邮件防伪SPF技术简介
时间:2009年05月20日 

什么是垃圾邮件、欺骗和网络钓鱼?
垃圾邮件是一些不请自来的商业邮件,也称为宣传邮件。
伪造是修改电子邮件“发件人”地址使其看上去来自一个合法地址的一种常见方法。
网络钓鱼是试图欺骗电子邮件的收件人透露其个人信息(如信用卡号码或帐户密码)的一种方法,这些电子邮件假装来自一个合法来源,例如银行、信用卡公司或网络商店。大多数钓鱼攻击通过电子邮件发起,邮件的“发件人”一行的发送人姓名经过了伪装或伪造。

邮件身份验证有何新进展?
在过去的 18 个月中,邮件身份验证已经飞快地从概念讨论和争论阶段演化到了实际应用阶段。已经出现了两种主要的验证方法。Sender ID Framework (SIDF) 是一个 Internet 协议 (IP),它通过合并以下两个提议开发而成:Sender Policy Framework (SPF) 和 Microsoft Caller ID for E-mail。对 SIDF 进行了补充的是称作 DKIM 的新出现的签名提议,它综合了 Yahoo! 的DomainKeys 和 Cisco 的 Identified Internet Mail (IIM) 规范。在这些解决方案之中,发件人 ID (Sender ID)——利用了 SPF 记录格式——已经在全球范围开始实施,它是免版税的,并且易于被 Internet 服务提供商 (ISP) 和各种规模的企业电子邮件环境实现。

目前,行业的电子邮件领导者(如 MSN Hotmail/AOL/GMail)以及 120 多万个域已经通过发布 SPF 记录和完成发件人 ID 检查,兑现了对基于 IP 的解决方案的承诺。尽早实施的好处包括:得到改进的垃圾邮件检测、得到增强的发件人声誉评分功能,以及可减少由于误报而导致的邮件发件人的抱怨。

什么是SPF?
SPF 是发送方策略框架 (Sender Policy Framework) 的缩写,正在逐步成为一个防伪标准,来防止伪造邮件地址。
您的域管理员或托管公司仅需在域名系统 (DNS) 中发布 SPF 记录。这些简单的文本记录标识了经过授权的电子邮件发送服务器(通过列出这些服务器的 IP 地址)。电子邮件接收系统会检查邮件是否来自经过正确授权的电子邮件发送服务器。检查步骤如下:

1. 发送人向接收方发送一封电子邮件
 
2. 邮件接收服务器接收电子邮件并执行如下操作:
   • 检查哪一个域声称发送了该邮件并检查该域的 SPF 记录的 DNS。
   • 确定发送服务器的 IP 地址是否与 SPF 记录中的某个已发布 IP 地址相匹配。
   • 对电子邮件进行打分:如果 IP 地址匹配,则邮件通过身份验证并获得一个正分。如果 IP 地址不匹配,则邮件无法通过身份验证并获得一个负分。然后,对现有的防垃圾邮件筛选策略和启发式筛选应用这些结果。

如何增加SPF记录
非常简单,在DNS里面添加TXT记录即可。登陆http://www.openspf.org/wizard.html 在里面输入你的域名,点击Begin,然后会自动得到你域名的一些相关信息。
a 你域名的A记录,一般选择yes,因为他有可能发出邮件。
mx 一般也是yes,MX服务器会有退信等。
ptr 选择no,官方建议的。

a 有没有其他的二级域名?比如:dns.kingstor.com和www不在一台server上,则填入dns.kingstor.com,否则清空。
mx: 一般不会再有其他的mx记录了。
ip4: 你还有没有其他的ip发信? 可能你的smtp服务器是独立出来的,那么就填入你的IP地址或者网段。
include: 如果有可能通过一个isp来发信,这个有自己的SPF记录,则填入这个isp的域名,比如:sina.com
~all: 意思是除了上面的,其他的都不认可。当然是yes了。

好了,点击Continue…

自动生成了一条SPF记录,比如kingstor.com的是
v=spf1 a mx ~all
并且在下面告诉你如何在你的DNS解析服务器里面添加一条TXT记录,我们的智能解析系统目前能够提供TXT记录解析
kingstor.com IN TXT "v=spf1 mx a:dns.kingstor.com ~all"
检查一下:
nslookup -qa=txt kingstor.com
以确认解析是否成功

补充:

C:\Documents and Settings\hongtao>nslookup -qt=TXT sina.com
Server:  b.center-dns.jsinfo.net
Address:  221.228.255.1

Non-authoritative answer:
sina.com        text =

        "v=spf1 include:spf.sinamail.sina.com.cn -all"

C:\Documents and Settings\hongtao>nslookup -qt=TXT gmail.com
Server:  b.center-dns.jsinfo.net
Address:  221.228.255.1

Non-authoritative answer:
gmail.com       text =

        "v=spf1 redirect=_spf.google.com"

C:\Documents and Settings\hongtao>nslookup -qt=TXT 21cn.com
Server:  b.center-dns.jsinfo.net
Address:  221.228.255.1

Non-authoritative answer:
21cn.com        text =

        "v=spf1 ip4:202.105.45.0/24 ip4:61.140.60.0/24 ip4:218.107.61.0/24  ip4:59.36.102.0/24 -all"

C:\Documents and Settings\hongtao>nslookup -qt=TXT sohu.com
Server:  b.center-dns.jsinfo.net
Address:  221.228.255.1

Non-authoritative answer:
sohu.com        text =

        "v=spf1 ip4:61.135.130.0/23 ip4:61.135.132.0/23 ip4:61.135.134.0/23 ip4:61.135.145.0/23 ip4:61.135.150.0/23 ip4:
220.181.26.0/24 ip4:222.28.152.128/25 ip4:218.206.87.0/25 ip4:221.236.12.128 ip4:203.184.141.0/24 ip4:61.152.234.0/24 ~all"

  万网管理后台,域名解析不能配置txt记录;但是域名主DNS在hichina的,从http://diy.hichina.com 可以添加txt记录。如:05info.net

其他:例

C:\Documents and Settings\hongtao>nslookup -qt=mx 05info.com
Server:  b.center-dns.jsinfo.net
Address:  221.228.255.1

Non-authoritative answer:
05info.com      MX preference = 1, mail exchanger = mail.05info.com

05info.com      nameserver = dns9.hichina.com
05info.com      nameserver = dns10.hichina.com
mail.05info.com internet address = 218.106.248.78
dns10.hichina.com       internet address = 218.244.147.64
dns10.hichina.com       internet address = 218.244.147.66
dns9.hichina.com        internet address = 218.30.103.208
dns9.hichina.com        internet address = 218.30.103.100

C:\Documents and Settings\hongtao>nslookup -qt=ptr 218.106.248.78
Server:  b.center-dns.jsinfo.net
Address:  221.228.255.1

Non-authoritative answer:
78.248.106.218.in-addr.arpa     name = mxvip28.hichina.com

248.106.218.in-addr.arpa        nameserver = dns2.hichina.com
248.106.218.in-addr.arpa        nameserver = dns1.hichina.com
dns1.hichina.com        internet address = 218.30.103.50
dns1.hichina.com        internet address = 218.30.103.49
dns2.hichina.com        internet address = 218.244.147.69
dns2.hichina.com        internet address = 218.244.147.40