學會如何設定 SPF (Sender Policy Freamwork),減少自己的Domain Name裡偽造。
你一定常收到 寄件者與收件者都是同一人的廣告信件,依照以下設定方法就可以簡單的阻擋這類廣告信.
SPF 功能是用來防止他人冒用你的Email 位址來發信,在外部DNS與內部DNS內加入 SPF record,在設定宣告後,就可以馬上啟用這項功能.
設定方法:
第一步:在外部DNS 的Text裡加入二項設定:
第一個record: hotst = “@” , TXT Value = “v=spf1 include:_spf.why0412.com –all “ (備註: why0412.com就是你的網域名稱)
第二個record: host = “_spf”,TXT Value = “v=spf1 mx mx:mail.why0412.com ip4:1.1.1.0/24 ip4:2.2.2.0/24 –all “ (備註: ip4:後入你的Email server的外部IP 位址)
步驟一圖片
第二步:重覆第一步驟,將 record 加到內部的DNS Server裡
步驟二圖片
完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.
若要查詢設定是否成功 (以google 為例)
到 DNS裡查看記錄是否這二筆 records
至cmd下
Z:\>nslookup
預設伺服器: us-dc1.why0412.com
Address: 10.1.1.2
server 168.95.1.1 <--轉換到hinet的DNS做查詢
預設伺服器: dns.hinet.net
Address: 168.95.1.1
set type=txt
google.com
伺服器: dns.hinet.net
Address: 168.95.1.1
google.com text =
"v=spf1 include:_netblocks.google.com ~all" 註: 這是我們第1組所設定的值
_spf.google.com
伺服器: dns.hinet.net
Address: 168.95.1.1
未經授權的回答:
_spf.google.com text =
"v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66
.102.0.0/20 ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20 ?all" 註: 這是我們第2組所設定的值
圖片請參考: http://yuanwenshin.spaces.live.com/blog/cns!6AA3EADAF8EDB5FA!689.entry
亮晶晶的小欣
這個只是在 DNS 上設定 SPF 的 TXT 記錄的步驟完成而已,
真正會有效果的是:
全世界的任何 Mail Server,在接受任何 SMTP 過來的時候,
有做 check 該信 From 哪裡的 SPF 的機制,才真的有效用。
也就是說:如果任何宣稱該信是 From: 哪裡來時,
除了從 DNS check 該 @ 後面的 host 名稱是否效之外,
也去 query 其 TXT 值是否有 SPF 的設定,
若有,則會依照 TXT 中指定的 IP 視為有效範圍,
若 送這信過來的 IP ,是屬其範圍,就接受,
若不屬該範圍,則看 Mail Server 所裝的過濾器,
看要給該信做怎樣的標示,及後續的處理。
所以設定 SPF record,只是讓有設 SPF filter 的 Mail Server,
可以去判定或過濾那些 可能是冒用 有設 SPF 網域 的信件。
猜測你們可能是用 Exchange Server,
不曉得 Exchange Server 是否預設就將 SPF 就啟用?
還是要有什麼步驟設定,才會啟用 SPF 的過濾功能?
依照普及性來說,即使你設了SPF,並用這機制阻檔不合法的Email,應該會有一半以上的信收不到(不是每家公司都有設定),即使你自己設定了,Yahoo也不會無限制的開放讓你寄信過去(他們還是有自己的機制運作)。
可以用自己的Email寄給下列Email,他們回覆的信會顯示"SPF目前狀態":
check-auth@verifier.port25.com
sa-test@sendmail.net
實際情形並不是如此!
沒有人用 SPF 來作為判斷 SPAM 的絕對條件之ㄧ,
但應該有不少人用 SPF 來作為判斷 SPAM 的相對條件之ㄧ!
基本上您自己的郵件系統 SPAM 判斷可以不用 SPF,
但是為了能夠增加自己單位寄出去的信件能夠與 SPAM 有所區別,
在單位對外的 DNS 增加 SPF 紀錄是有幫助的!
SPF是用來確認發信者的IP是否與SPF裡註冊的IP位址一致,若IP位址不是在網路上註冊的IP,即認定寄件者的Domain是偽造的.
以下是從Outlook裡截取SPF有關的資料:
Return-Path: service@estatement3.aaadomainaa.com.tw
X-MS-Exchange-Organization-PRD: aaadomaina.com
X-MS-Exchange-Organization-SenderIdResult: SoftFail
Received-SPF: SoftFail (mymailsrv.yieh.corp: domain of transitioning