如何给邮件服务器添加SPF记录

[chyb]

1、什么是SPF？

SPF就是Sender Policy Framework。SPF可以防止别人伪造你来发邮件，是一个反伪造性邮件的解决方案。当你定义了你的domain name的SPF记录之后，接收邮件方会根据你的SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面，如果在，则认为是一封正确的邮件，否则则认为是一封伪造的邮件。关于更详细的信息请参考RFC4408（http://www.ietf.org/rfc/rfc4408.txt）

2、目前，SPF国内应用现状

目前包括新浪、尚易、263等主流的邮件运营商，都设置有自己的SPF，同时，作为运营企业邮箱的263网络通信针对终端客户，也有相关的263企业邮局SPF设置规范，其中TXT记录已经做为一项必不可少的增值服务提供给了终端客户。

相关邮件厂商的SPF设置规范：

263：v=spf1 include:spf.263xmail.com ~all

尚易：v=spf1 mx ptr ~all

新浪免费：v=spf1 include:spf.sinamail.sina.com.cn Call

搜狐免费：

"v=spf1 ip4:61.135.130.0/23 ip4:61.135.132.0/23 ip4:61.135.134.0/23 ip4:

61.135.145.0/23 ip4:61.135.150.0/23 ip4:220.181.26.0/24 ip4:222.28.152.128/25 ip

4:218.206.87.0/25 ip4:221.236.12.128 ip4:203.184.141.0/24 ip4:61.152.234.0/24 ~a

ll"

3、可以有效解决用户在使用企业邮箱过程中可能会遇到如下问题

给外域发信收到退信，退信中包含“SPF”关键字。

在确认没有给外域发信的情况下，外域收到了来自伪造该域邮件地址的邮件。

这是因为用户域名没有添加TXT记录或者添加的TXT记录错误造成。 SPF记录可以防止别人伪造来发邮件，当定义了域名的SPF记录之后，接收邮件方会根据SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面，如果在，则认为是一封正确的邮件，否则则认为是一封伪造的邮件。对互连互通的影响主要表现在邮件接收方需要spf记录检测，如果没有的话，有可能不接收邮件。

4、如何增加SPF记录？

在DNS里面添加TXT记录即可。登陆http://www.openspf.org/wizard.html 在里面输入你的域名，点击Begin，然后会自动得到你域名的一些相关信息。

a 你域名的A记录，一般选择yes，因为他有可能发出邮件。

mx 一般也是yes，MX服务器会有退信等。

ptr 选择no，官方建议的。

a：有没有其他的二级域名？比如：bbs.extmail.org和www不在一台server上，则填入bbs.extmail.org。否则清空。

mx: 一般不会再有其他的mx记录了。

ip4： 你还有没有其他的ip发信？可能你的smtp服务器是独立出来的，那么就填入你的IP地址或者网段。

include: 如果有可能通过一个isp来发信，这个有自己的SPF记录，则填入这个isp的域名，比如：sina.com

~all: 意思是除了上面的，其他的都不认可。当然是yes了。

好了，点击Continue…..

自动生成了一条SPF记录，比如extmail.org的是

v=spf1 a mx ~all

并且在下面告诉你如何在你的bind里面添加一条

extmail.org. IN TXT “v=spf1 a mx ~all”

加入你的bind，然后ndc reload即可。检查一下：dig -t txt extmail.org

SPF 简介
摘要:

SPF 是发送方策略框架 (Sender Policy Framework) 的缩写，希望能成为一个防伪标准，来防止伪造邮件地址。这篇文章对 SPF 进行了简单介绍，并介绍了它的一些优点和不足。 _________________ _________________ _________________

SPF 诞生于2003年，它的缔造者 Meng Weng Wong 结合了反向 MX 域名解析(Reverse MX) 和 DMP (Designated Mailer Protocol) 的优点而付予了 SPF 生命。SPF 使用电子邮件头部信息中的 return-path (或 MAIL FROM) 字段，因为所有的 MTA 都可以处理包含这些字段的邮件。不过微软也提出了一种叫做 PRA (Purported Responsible Address)的方法。PRA 对应于 MUA (比如 thunderbird) 使用的终端用户的地址。这样，当我们把 SPF 和 PRA 结合起来的时候，就可以得到所谓的“Sender ID”了。Sender ID 允许电子邮件的接收者通过检查 MAIL FROM 和 PRA 来验证邮件的合法性。有的说法认为，MAIL FROM 检查由 MTA 进行，而 PRA 检查由 MUA 来完成。事实上，SPF 需要 DNS 以某种特定的方式来工作。也就是必须提供所谓的“反向 MX 解析”记录，这些记录用来解析来自给定域名的邮件对应的发送主机。这和目前使用的 MX 记录不通，后者是用来解析给定域名对应的接收邮件的主机的。

SPF 有哪些需求？
要想用 SPF 来保护你的系统，你必须：

配置 DNS，添加 TXT 记录，用于容纳 SPF 问询的信息。配置你的电子邮件系统(qmail, sendmail)使用 SPF，也就是说对服务器上每封进入的邮件进行验证。
上述第一步要在邮件服务器所属的域名服务器上进行调整，下一节中，我们将讨论这个记录的细节内容。你首先需要确定的一点是你的域名服务器(bind，djbdns)所使用的语法。但别担心，SPF 的官方网站提供了一个很好用的向导来指导你如何添加记录。

SPF 的 TXT 记录
SPF 记录包含在一个 TXT 记录之中，格式如下：

v=spf1 [[pre] type [ext] ] ... [mod]
每个参数的含义如下表所示：

参数

描述

v=spf1

SPF 的版本。如果使用 Sender ID 的话，这个字段就应该是 v=spf2

定义匹配时的返回值。可能的返回值包括：

返回值

描述

缺省值。在测试完成的时候表示通过。

表示测试失败。这个值通常是 -all，表示没有其他任何匹配发生。

表示软失败，通常表示测试没有完成。

表示不置可否。这个值也通常在测试没有完成的时候使用。

type

定义使用的确认测试的类型。可能的值包括：

候选值

描述

include

包含一个给定的域名的测试
以 include:domain 的形式书写。

终止测试序列。
比如，如果选项是 -all，那么到达这条记录也就意味着测试失败了。但是如果无法确定，可以使用"?all"来表示，这样，测试将被接受。

使用 IPv4 进行验证。
这个可以以 ip4:ipv4 或 ip4:ipv4/cidr 的形式使用。建议使用这个参数，以减少域名服务器的负荷。

使用 IPv6 进行验证。

使用一个域名进行验证。
这将引起对域名服务器进行一次 A RR 查询。
可以按照 a:domain, a:domain/cidr 或 a/cidr 的形式来使用。

使用 DNS MX RR 进行验证。
MX RR 定义了收信的 MTA，这可能和发信的 MTA 是不同的，这种情况基于 mx 的测试将会失败。
可以用 mx:domain, mx:domain/cidr 或 mx/cidr 这些形式进行 mx 验证。

使用域名服务器的 PTR RR 进行验证。
这时，SPF 使用 PTR RR 和反向图进行查询。如果返回的主机名位于同一个域名之内，就验证通过了。
这个参数的写法是 ptr:domain

exist

验证域名的存在性。
可以写成 exist:domain 的形式。

定义对 type 的可选扩展。如果没有这个字段，那么仅使用单个记录进行问询。

这是最后的类型指示，作为记录的一个修正值。

修正值

描述

redirect

重定向查询，使用给出的域名的 SPF 记录。
以 redirect=domain 的方式使用。

这条记录必须是最后一条，允许给出一条定制的失败消息。

IN TXT "v=spf1 mx -all exp=getlost.example.com"getlost IN TXT "You are not authorized to send mail for the domain" 嘿！我是 ISP
ISP 实施 SPF 可能对于他们处于漫游状态(roaming)的用户带来一些麻烦，当这些用户习惯使用 POP-before-Relay 这样的方式处理邮件，而不是 SASL SMTP 的时候问题就会出现。嗯，如果你是一个被垃圾邮件、地址欺骗所困扰的 ISP 的话，你就必须考虑你的邮件策略、开始使用 SPF 了。这里是你可以考虑的几个步骤。

首先设置你的 MTA 使用 SASL，比如，你可以在端口 25 和 587 使用它。告诉你的用户你已经使用了这个策略(spf.pobox.com 给出了一个通知的例子，参见参考文献)。给你的用户一个宽限期，也就是说，把你的 SPF 记录加入到域名服务器之中，但使用“软失败”(~all)而不是“失败”(-all)。
这样，你就保护了你的服务器、你的客户和整个世界免受垃圾邮件之类的困扰了。

SPF 的官方站点上有很多信息，还等什么呢？

有什么需要担心的?
SPF 是一个对于欺骗的完美保护。但它有一个局限：传统的邮件转发方式不再有效了。你不能仅仅从你的 MTA 接受邮件并简单地重新发送它了。你必须重写发送地址。常见的 MTA 的补丁可以在 SPF 的网站找到。换句话说，如果你把 SPF 记录加入到了域名服务器，你就必须更新你的 MTA 来进行发送地址改写，即使你还没有对 SPF 记录进行检查。

结论
你可能觉得 SPF 的实施有点难以理解。不过这确实不算复杂，而且还有一个不错的向导来帮你完成这个转换(参见参考文献)。

如果你被垃圾邮件所困扰的话，SPF 将可以帮助你，保护你的域名免受伪造邮件地址的影响，你所要做的仅仅是在域名服务器上添加一行文本并配置你的电子邮件服务器而已。

SPF 的优点有很多。不过，像我对一些人所说的，这不是一夜之间就可以达到的，SPF 的好处将通过日积月累来表现出来，当其他人都使用它的时候就能明显地看到了。

我也提到了 Sender ID，这和 SPF 有关，但我没有去解释它。可能你已经知道原因了，微软的策略一向如此---软件专利。在参考文献中，你可以看到 openspf.org 对于 Sender ID 的立场声明。