邮件域名查询官网_网络渗透,如何设置发送者策略框架 (Sender Policy Framework, SPF): 完整教程

当邮件经过间接邮件流时（例如转发时），SPF 检查可能会失败。由于中间主机的 IP 地址与源主机不同，并且可能不在白名单中，因此邮件可能无法通过接收服务器上的 SPF 验证。幸运的是，一种称为链 (ARC) 的新协议可以解决这个问题：什么是身份验证接收链 (ARC)。ARC 会保留 SPF 验证结果并将其传送到下游主机节点，以便终端服务器可以访问它。

最后，SPF 没有报告/反馈功能。这使得它难以实施和维护。

SPF、DKIM 和 DMARC 的比较

现代电子邮件身份验证解决方案通常包括 DKIM、DMARC 和 SPF。这三者相结合可以为企业电子邮件提供完整的反欺骗保护，并最大限度地降低相关风险。

DKIM 是 Mail 的缩写。它是一种电子邮件身份验证机制，用于检测伪造的电子邮件标头和内容。DKIM 可让收件人检查电子邮件标头和内容在传输过程中是否被篡改。要了解更多信息，请参阅：。

DMARC 是 DMARC-based 的缩写。它是一种确定电子邮件是否来自假定发件人的机制。它以 SPF 和 DKIM 为基础，并添加了域对齐检查和报告功能。要了解更多信息，请参阅：DMARC。

如上所述，SPF、DKIM 和 DMARC 在电子邮件身份验证中扮演着不同的角色。同时，当它们协同工作时，可以提供针对电子邮件冒充的完整保护。简单来说：SPF 验证电子邮件的来源；DKIM 确保电子邮件标题和内容未被篡改；DMARC 在 SPF 和 DKIM 之上添加了其他功能，例如：

使用 SPF、DKIM 和 DMARC，用户可以从 SPF 和 DMARC 开始，然后扩展到完整的 SPF、DKIM 和 DMARC 实施。

SPF 的工作原理：SPF 说明

要使 SPF 发挥作用，域管理员需要与电子邮件服务提供商合作。在域管理员方面，在 DNS 中发布 SPF 记录以指定发件人白名单，哪些主机可以代表域名发送电子邮件；接收电子邮件的服务器负责执行检查：对于每封电子邮件，它从 DNS 获取 SPF 记录并检查发件人是否在列表中。

请考虑以下情形：

当邮件发送服务连接到托管目标邮箱的服务器时：

例如，假设 SPF 记录如下：

v=spf1 ip4:192.168.0.1 -all

该记录指定只有来自 IP 地址 192.168.0.1 的邮件才能通过 SPF 检查，来自其他任何 IP 地址的邮件都将无法通过 SPF 检查。因此，来自 IP 地址为 1.2.3.4 的恶意服务器的邮件将无法通过 SPF 检查。

您可以将 SPF 记录视为合法 IP 地址的白名单。当且仅当电子邮件来自这些 IP 地址之一时，SPF 才会让其通过。所有其他主机都无法使用您的域名发送电子邮件。SPF 检查的结果将由 DMARC 用于进一步处理。

如果您使用 Gmail，那么很容易查看邮件是否通过了 SPF 检查。登录 Gmail 的网页版，点击要检查的电子邮件，然后使用“显示”功能查看邮件的详细信息。以下是示例：

在上面的例子中，电子邮件通过了 SPF 检查，如突出显示的区域所示。

什么是 SPF 记录？

SPF 记录是 TXT 资源记录类型的发件人策略框架记录，发布在指定域名的 DNS 中。其目的是指定允许代表该域名发送邮件的发件人列表。

值得注意的是，曾经有一种 SPF 资源记录类型，但它已于 2014 年弃用。SPF 记录必须作为 TXT 记录在 DNS 中发布。

SPF 记录由域管理员发布，并由电子邮件服务提供商检查。

SPF 记录语法

每条 SPF 记录以版本号开头，即 v=spf1，后面跟着一个组，可能还有 and。SPF 中的 、 、 and 可用于灵活定义 IP 地址列表。

防晒指数

这是用于指定 IP 地址范围的一种方法。有 8 种方法可用：

防晒指数

指定评估结果。这些值均可与上述任意值组合使用。

防晒指数

广泛部署的有两种：

请注意和的工作方式不同：

SPF 记录示例

以下是典型的 SPF 记录：

v=spf1 a mx include:_spf.example.com -all

此 SPF 记录允许以下 IP 地址代表域发送电子邮件：

阻止域发送任何邮件的特殊 SPF 记录如下：

v=spf1 -all

此记录阻止任何 IP 地址代表域发送邮件。

上述 SPF 记录应该发布到不发送邮件的域名，包括停放域名（ ）。否则，这些域名可能会受到钓鱼诈骗的攻击，如果这些域名以后被用来发送邮件，最终会降低域名声誉和邮件送达率。

请记住：您必须包含为您的组织发送邮件的所有 IP 地址；否则，某些邮件将无法通过 SPF 检查。

如何生成/创建 SPF 记录

有两种方法可以生成 SPF 记录：手动或使用 SPF 记录生成器等工具。

如果您想手动创建 SPF 记录，您可以从 v=spf1 开始，然后将所有有效的发件人添加到记录中，最后在末尾添加 -all 以完成记录。

或者，您可以使用 SPF 记录生成器来创建 SPF 记录。请参阅下面的部分。

SPF 记录生成器/创建器

使用 SPF 记录生成器，只需输入适当的设置，例如合法发件人等，然后单击 SPF 按钮，即可生成 SPF 记录。此方法不容易出错，因此建议使用。

一体化 DMARC/DKIM/SPF 向导

如果您同时实施 DKIM 和 DMARC 与 SPF，则可以使用一体化 DMARC/DKIM/SPF 向导，它提供端到端指导以帮助实施完整的反欺骗保护。