SPF 简介

摘要:

SPF 是发送方策略框架 (Sender Policy Framework) 的缩写,希望能成为一个防伪标准,来防止伪造邮件地址。这篇文章对 SPF 进行了简单介绍,并介绍了它的一些优点和不足。 
 

_________________ _________________ _________________

SPF 诞生于2003年,它的缔造者 Meng Weng Wong 结合了反向 MX 域名解析(Reverse MX) 和 DMP (Designated Mailer Protocol) 的优点而付予了 SPF 生命。 

SPF 使用电子邮件头部信息中的 return-path (或 MAIL FROM) 字段,因为所有的 MTA 都可以处理包含这些字段的邮件。不过微软也提出了一种叫做 PRA (Purported Responsible Address)的方法。PRA 对应于 MUA (比如 thunderbird) 使用的终端用户的地址。 

这样,当我们把 SPF 和 PRA 结合起来的时候,就可以得到所谓的“Sender ID”了。Sender ID 允许电子邮件的接收者通过检查 MAIL FROM 和 PRA 来验证邮件的合法性。有的说法认为,MAIL FROM 检查由 MTA 进行,而 PRA 检查由 MUA 来完成。 

事实上,SPF 需要 DNS 以某种特定的方式来工作。也就是必须提供所谓的“反向 MX 解析”记录,这些记录用来解析来自给定域名的邮件对应的发送主机。这和目前使用的 MX 记录不通,后者是用来解析给定域名对应的接收邮件的主机的。  

SPF 有哪些需求?

要想用 SPF 来保护你的系统,你必须:

  1. 配置 DNS,添加 TXT 记录,用于容纳 SPF 问询的信息。
  2. 配置你的电子邮件系统(qmail, sendmail)使用 SPF,也就是说对服务器上每封进入的邮件进行验证。

上述第一步要在邮件服务器所属的域名服务器上进行调整,下一节中,我们将讨论这个记录的细节内容。你首先需要确定的一点是你的域名服务器(bind,djbdns)所使用的语法。但别担心,SPF 的官方网站提供了一个很好用的向导来指导你如何添加记录。  

SPF 的 TXT 记录

SPF 记录包含在一个 TXT 记录之中,格式如下:

		v=spf1 [[pre] type [ext] ] ... [mod]


每个参数的含义如下表所示:

参数 描述
v=spf1 SPF 的版本。如果使用 Sender ID 的话,这个字段就应该是 v=spf2
pre 定义匹配时的返回值。

可能的返回值包括:
返回值 描述
+ 缺省值。在测试完成的时候表示通过。
- 表示测试失败。这个值通常是 -all,表示没有其他任何匹配发生。
~ 表示软失败,通常表示测试没有完成。
? 表示不置可否。这个值也通常在测试没有完成的时候使用。
type 定义使用的确认测试的类型。 

可能的值包括:
候选值 描述
include 包含一个给定的域名的测试
以 include:domain 的形式书写。 
 
all 终止测试序列。
比如,如果选项是 -all,那么到达这条记录也就意味着测试失败了。但是如果无法确定,可以使用"?all"来表示,这样,测试将被接受。 
 
ip4 使用 IPv4 进行验证。
这个可以以 ip4:ipv4 或 ip4:ipv4/cidr 的形式使用。建议使用这个参数,以减少域名服务器的负荷。 
 
ip6 使用 IPv6 进行验证。
 
a 使用一个域名进行验证。
这将引起对域名服务器进行一次 A RR 查询。
可以按照 a:domain, a:domain/cidr 或 a/cidr 的形式来使用。 
 
mx 使用 DNS MX RR 进行验证。
MX RR 定义了收信的 MTA,这可能和发信的 MTA 是不同的,这种情况基于 mx 的测试将会失败。 
可以用 mx:domain, mx:domain/cidr 或 mx/cidr 这些形式进行 mx 验证。 
 
ptr 使用域名服务器的 PTR RR 进行验证。
这时,SPF 使用 PTR RR 和反向图进行查询。如果返回的主机名位于同一个域名之内,就验证通过了。
这个参数的写法是 ptr:domain 
 
exist 验证域名的存在性。
可以写成 exist:domain 的形式。
 
ext 定义对 type 的可选扩展。如果没有这个字段,那么仅使用单个记录进行问询。
mod 这是最后的类型指示,作为记录的一个修正值。
 
修正值 描述
redirect 重定向查询,使用给出的域名的 SPF 记录。
以 redirect=domain 的方式使用。
 
exp 这条记录必须是最后一条,允许给出一条定制的失败消息。
IN TXT "v=spf1 mx -all exp=getlost.example.com" getlost IN TXT "You are not authorized to send mail for the domain"

 

嘿!我是 ISP

ISP 实施 SPF 可能对于他们处于漫游状态(roaming)的用户带来一些麻烦,当这些用户习惯使用 POP-before-Relay 这样的方式处理邮件,而不是 SASL SMTP 的时候问题就会出现。 

嗯,如果你是一个被垃圾邮件、地址欺骗所困扰的 ISP 的话,你就必须考虑你的邮件策略、开始使用 SPF 了。 

这里是你可以考虑的几个步骤。

  1. 首先设置你的 MTA 使用 SASL,比如,你可以在端口 25 和 587 使用它。
  2. 告诉你的用户你已经使用了这个策略。
  3. 给你的用户一个宽限期,也就是说,把你的 SPF 记录加入到域名服务器之中,但使用“软失败”(~all)而不是“失败”(-all)。

这样,你就保护了你的服务器、你的客户和整个世界免受垃圾邮件之类的困扰了。

SPF 的官方站点上有很多信息,还等什么呢?  

有什么需要担心的?

SPF 是一个对于欺骗的完美保护。但它有一个局限:传统的邮件转发方式不再有效了。你不能仅仅从你的 MTA 接受邮件并简单地重新发送它了。你必须重写发送地址。常见的 MTA 的补丁可以在 SPF 的网站找到。换句话说,如果你把 SPF 记录加入到了域名服务器,你就必须更新你的 MTA 来进行发送地址改写,即使你还没有对 SPF 记录进行检查。  

结论

你可能觉得 SPF 的实施有点难以理解。不过这确实不算复杂,而且还有一个不错的向导来帮你完成这个转换(参见参考文献)。

如果你被垃圾邮件所困扰的话,SPF 将可以帮助你,保护你的域名免受伪造邮件地址的影响,你所要做的仅仅是在域名服务器上添加一行文本并配置你的电子邮件服务器而已。

SPF 的优点有很多。不过,像我对一些人所说的,这不是一夜之间就可以达到的,SPF 的好处将通过日积月累来表现出来,当其他人都使用它的时候就能明显地看到了。

我也提到了 Sender ID,这和 SPF 有关,但我没有去解释它。可能你已经知道原因了,微软的策略一向如此---软件专利。

我们仅仅希望给你一个 SPF 的简短说明。如果你对此感兴趣,想要了解更多信息的话,你可以看看参考文献,本文的内容就来自于此。 

域名十种删除类型Delete、Pre、Sna-Pre、JM-Pre、Xw-Pre、Name-Pre、Netcn-Pre、Other-Pre、Bizcn-Pre、Gd-Pre

过期删除域名中,会看到域名有十种删除类型Delete、Pre、Sna-Pre、JM-Pre、Xw-Pre、Name-Pre、Netcn-Pre、Other-Pre、Bizcn-Pre、Gd-Pre,请务必认真仔细了解以下九种删除类型的介绍说明,避免在域名预定过程中产生不必要的误会。

删除类型:Delete

介绍说明:“Delete”是正常过期删除域名,域名因过期后未续费,从而进入删除列表。
注册时间:等同于新注册,注册时间抢注成功后重新计算
域名过户:得标后需要0-3天内会完成域名过户,特殊情况除外
得标后是否会被赎回:绝对不会,正常删除后原所有者并无权限赎回
关于转出:域名注册满60天即可转出 [所有新注域名都有这个限制,注册局的限制] 预定通道:不限

删除类型:Pre

介绍说明:“Pre”过期提前释放的域名,是属于某国外注册商,由于域名过期后但注册者未续费,注册商提前开放预定。
注册时间:域名注册时间与以前的不变
得标过户:需要0-20天,特殊情况除外
得标后是否会被赎回:基本不会,但是不排除意外情况
关于转出:得标满60天即可转出
预定通道:1号通道

删除类型:Sna-Pre

介绍说明:“Sna-Pre”过期提前释放的域名,是属于某国外注册商,由于域名过期后但注册者未续费,注册商提前开放预定。
注册时间:域名注册时间与以前的不变
得标过户:需要0-5天,特殊情况除外
得标后是否会被赎回:不会,目前还未遇到过
关于转出:得标后可立即转出
预定通道:1号通道

删除类型:JM-Pre

介绍说明:“JM-Pre”过期提前释放的域名,是属于本站站内,由于域名过期后但注册者未续费,注册商提前开放预定。
注册时间:域名注册时间与以前的不变
得标过户:需要0-7天,特殊情况除外
得标后是否会被赎回:得标60天内可能被赎回,几率非常小
关于转出/转入原注册商:得标满60天即可转出/转入原注册商
预定通道:1-6号通道

删除类型:Xw-Pre

介绍说明:“Xw-Pre”过期提前释放的域名,是属于某国内注册商,由于域名过期后但注册者未续费,注册商提前开放预定。
注册时间:域名注册时间与以前的不变
得标过户:需要35-42天,特殊情况除外
得标后是否会被赎回:得标35天内可能被赎回,概率比较小
关于转出:得标满35天即可转出,即域名完成过户后即可转出
预定通道:1-6号通道

删除类型:Name-Pre

介绍说明:“Name-Pre”提前释放拍卖域名,是平台,由用户提交或其它合作商过期提前释放拍卖的域名。
注册时间:域名注册时间与以前的不变
得标过户:付款完毕后0-7天完成过户,特殊情况除外
得标后是否会被赎回:得标60天内可能被赎回,几率非常小 (如果是用户发布的则不会被赎回)
关于转出:得标过户完成60天后才能正常转出
预定通道:1-6号通道

删除类型:Netcn-Pre

介绍说明:“Netcn-Pre”过期提前释放的域名,是属于国内注册商(阿里云/万网),由于域名过期后但注册者未续费,注册商提前开放预定。
注册时间:域名注册时间与以前的不变
得标过户:需要35-42天(cn后缀需要8天左右),特殊情况除外
得标后是否会被赎回:得标35天内可能被赎回,概率比较小
关于转出:得标满35天即可转出,即域名完成过户后即可转出
预定通道:1-6号通道

 

删除类型:Other-Pre

介绍说明:“Other-Pre”过期提前释放的域名,是属于国内外多个注册商,由于域名过期后但注册者未续费,注册商提前开放预定。
注册时间:域名注册时间与以前的不变
得标过户:需要35-42天,特殊情况除外
得标后是否会被赎回:得标35天内可能被赎回,概率比较小
关于转出:得标过户完成60天后才能正常转出
预定通道:1号,2号,4号通道

删除类型:Bizcn-Pre

介绍说明:“Bizcn-Pre”过期提前释放的域名,是属于某国内注册商,由于域名过期后但注册者未续费,注册商提前开放预定。
注册时间:域名注册时间与以前的不变
得标过户:需要30-35天,特殊情况除外
得标后是否会被赎回:得标35天内可能被赎回,概率比较小
关于转出:得标满35天即可转出,即域名完成过户后即可转出
预定通道:1-6号通道

删除类型:Gd-Pre

介绍说明:“Gd-Pre”过期提前释放的域名,是属于某国外注册商,由于域名过期后但注册者未续费,注册商提前开放预定。
注册时间:域名注册时间与以前的不变
得标过户:需要10-20天,特殊情况除外
得标后是否会被赎回:得标30天内可能被赎回,概率比较小
关于转出:得标满70天即可转出
预定通道:1号,2号通道

配置DNS辅助服务器

配置DNS辅助服务器
 
在前面的博文中,我们介绍了如何在DNS服务器中创建常用的DNS记录,本文中我们要为大家介绍如何配置DNS的辅助服务器,同时也要介绍一下和辅助区域类似的存根区域。
DNS辅助服务器是一种容错设计,考虑的是一旦DNS主服务器出现故障或因负载太重无法及时响应客户机请求,辅助服务器将挺身而出为主服务器排忧解难。辅助服务器的区域数据都是从主服务器复制而来,因此辅助服务器的数据都是只读的,当然,如果有必要,我们可以很轻松地把辅助服务器升级为主服务器。我们通过下面的一个实验为大家介绍如何配置DNS辅助服务器,如下图所示,ns1.hexun.com是hexun.com的主服务器,ns2.hexun.com是hexun.com的辅助服务器。
 

 

 
 权限设置
如果我们想把ns2.hexun.com配置为hexun.com的辅助服务器,首先我们要在主服务器ns1.hexun.com上进行权限设置。出于安全原因,主服务器并不允许任意的DNS服务器从自己的区域中复制数据,默认情况下,只有这个区域的DNS服务器才被允许成为辅助DNS服务器。如下图所示,在hexun.com区域的属性中切换到“区域复制”标签,我们发现默认设置是允许区域复制的,只是被允许的都是hexun.com的域名服务器。
 
切换到“名称服务器”标签,如下图所示,hexun.com区域有两个名称服务器,ns1.hexun.com和ns2.hexun.com,ns1.hexun.com是主服务器,那么显然ns2.hexun.com就是获得区域复制授权的辅助服务器了。
 
 创建辅助区域
Ns2.hexun.com获得授权成为hexun.com的辅助DNS服务器之后,我们就可以在ns2.hexun.com上创建辅助区域了。如下图所示,我们在辅助DNS服务器上选择“新建区域”。
 
如下图所示,出现新建区域向导,点击下一步继续。
 
区域类型选择“辅助区域”,这是辅助服务器使用的区域类型。
 
区域名称是hexun.com。
 
区域的主服务器是202.99.16.1,辅助服务器将从主服务器复制区域数据。
如下图所示,DNS辅助区域创建完毕。
 
 区域数据传输
在202.99.16.2上创建了DNS辅助区域后,我们发现辅助服务器不能从主服务器复制数据,错误信息如下图所示。
 
出现上述故障不用担心,DNS区域复制经常会遇到这种故障,基本都是由于新创建的DNS辅助区域没有来得及和主服务器同步。我们稍微等上几分钟,然后刷新一下区域就正常了,如下图所示,辅助服务器已经从主服务器复制了所有的区域数据。以后辅助服务器就会向SOA记录中描述的那样,每隔15分钟检查一下主服务器有没有更新。一旦发现主服务器有新记录,辅助服务器会立刻使用增量复制把主服务器的新记录复制过来。
 
 存根区域
Windows Server 2003在DNS中新推出了一种存根区域,相比以往的辅助区域,DNS管理员们又多了一种选择。存根区域和辅助区域有类似之处,都要从区域的主服务器复制数据。不同之处在于,辅助区域复制区域中的所有记录,但存根区域只复制区域的SOA记录,NS记录以及解析NS记录的A记录(也称粘连记录)。也就是说,存根区域并不需要在自己的区域中保存所有的DNS记录,存根区域只要知道利用哪个DNS服务器可以对DNS记录进行解析就可以了。
下面我们在202.99.16.2上删除刚创建的辅助区域,重新创建一个存根区域,大家可以来比较一下存根区域和辅助区域有哪些区别。
如下图所示,我们在202.99.16.2上选择“新建区域”。
 
区域类型选择“存根区域”,如下图所示,创建向导中已经对存根区域的工作性质进行了说明。
 
存根区域的名称是hexun.com。
 
区域数据的名称是hexun.com.dns。
存根区域也需要从主服务器复制数据,如下图所示,hexun.com的主服务器是202.99.16.1。
 
如下图所示,存根区域创建完成。
 
查看一下新创建的存根区域内容,如下图所示,我们发现存根区域中只有SOA记录,NS记录以及与NS记录相关联的A记录。也就是说,这个存根区域并没有保存hexun.com的所有DNS记录,但它知道202.99.16.1上拥有hexun.com的全部记录,如果需要解析记录,可以向202.99.16.1发起查询请求。
 
DNS的辅助服务器配置起来很简单,只要注意好设置区域复制的权限即可,辅助服务器既可以帮助主服务器进行负载平衡,也是一个容错设计,因此被DNS管理员普遍使用。
 
 

 

 

服务器配置DNS辅助区域出错

对于第一次配置DNS服务器可能会遇到配置好了DNS辅助区域,但是无法从DNS服务器更新数据的情况,如下图:
当尝试加载区域时DNS服务器遇到一个问题。来自主服务器的区域数据复制失败。
在这里插入图片描述
对于这种问题可以,在DNS主要区域进行如下设置
1.来到DNS主服务器,先打开dns管理器
在这里插入图片描述
2.右击208cluster.com(这里你的名称和我的应该不同)
在这里插入图片描述
3.点击属性,进入后找到区域传送
在这里插入图片描述
默认的话就是“只有在名称服务器选项卡中列出的服务器”
你可以选择“到所有服务器”,然后确定
4. 回到你的DNS辅助区域右击选择“从主服务器传送”
在这里插入图片描述
5. 刷新之后就可以了
在这里插入图片描述

 
 

公司简介

 

自1996年以来,公司一直专注于域名注册、虚拟主机、服务器托管、网站建设、电子商务等互联网服务,不断践行"提供企业级解决方案,奉献个性化服务支持"的理念。作为戴尔"授权解决方案提供商",同时提供与公司服务相关联的硬件产品解决方案。
备案号: 豫ICP备05004936号-1

联系方式

地址:河南省郑州市经五路2号

电话:0371-63520088

QQ:76257322

网站:800188.com

电邮:该邮件地址已受到反垃圾邮件插件保护。要显示它需要在浏览器中启用 JavaScript。