iT邦幫忙

10

SPF record - SPF (Sender Policy Framework) 防止冒用網域名稱設定大法

學會如何設定 SPF (Sender Policy Freamwork),減少自己的Domain Name裡偽造。
你一定常收到 寄件者與收件者都是同一人的廣告信件,依照以下設定方法就可以簡單的阻擋這類廣告信.

SPF 功能是用來防止他人冒用你的Email 位址來發信,在外部DNS與內部DNS內加入 SPF record,在設定宣告後,就可以馬上啟用這項功能.

設定方法:

第一步:在外部DNS 的Text裡加入二項設定:

第一個record: hotst = “@” , TXT Value = “v=spf1 include:_spf.why0412.com –all “ (備註: why0412.com就是你的網域名稱)

第二個record: host = “_spf”,TXT Value = “v=spf1 mx mx:mail.why0412.com ip4:1.1.1.0/24 ip4:2.2.2.0/24 –all “ (備註: ip4:後入你的Email server的外部IP 位址)

步驟一圖片

第二步:重覆第一步驟,將 record 加到內部的DNS Server裡

步驟二圖片

完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.完成設定.

若要查詢設定是否成功 (以google 為例)

到 DNS裡查看記錄是否這二筆 records

至cmd下

Z:\>nslookup
預設伺服器: us-dc1.why0412.com
Address: 10.1.1.2

server 168.95.1.1 <--轉換到hinet的DNS做查詢
預設伺服器: dns.hinet.net
Address: 168.95.1.1

set type=txt
google.com
伺服器: dns.hinet.net
Address: 168.95.1.1

google.com text =

"v=spf1 include:_netblocks.google.com ~all" 註: 這是我們第1組所設定的值

_spf.google.com
伺服器: dns.hinet.net
Address: 168.95.1.1

未經授權的回答:
_spf.google.com text =

"v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66
.102.0.0/20 ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20 ?all" 註: 這是我們第2組所設定的值

圖片請參考: http://yuanwenshin.spaces.live.com/blog/cns!6AA3EADAF8EDB5FA!689.entry
亮晶晶的小欣


2
逮丸逮丸
iT邦大師 1 級 ‧ 2009-07-05 12:51:39

這個只是在 DNS 上設定 SPF 的 TXT 記錄的步驟完成而已,
真正會有效果的是:
全世界的任何 Mail Server,在接受任何 SMTP 過來的時候,
有做 check 該信 From 哪裡的 SPF 的機制,才真的有效用。
也就是說:如果任何宣稱該信是 From: 哪裡來時,
除了從 DNS check 該 @ 後面的 host 名稱是否效之外,
也去 query 其 TXT 值是否有 SPF 的設定,
若有,則會依照 TXT 中指定的 IP 視為有效範圍,
若 送這信過來的 IP ,是屬其範圍,就接受,
若不屬該範圍,則看 Mail Server 所裝的過濾器,
看要給該信做怎樣的標示,及後續的處理。

所以設定 SPF record,只是讓有設 SPF filter 的 Mail Server,
可以去判定或過濾那些 可能是冒用 有設 SPF 網域 的信件。

猜測你們可能是用 Exchange Server,
不曉得 Exchange Server 是否預設就將 SPF 就啟用?
還是要有什麼步驟設定,才會啟用 SPF 的過濾功能?

1
逮丸逮丸
iT邦大師 1 級 ‧ 2009-07-05 12:53:44

附圖沒看到…

1
魯大
iT邦高手 1 級 ‧ 2009-07-05 22:44:40

有圖有真像,沒圖沒真像..

1
zhongcetw
iT邦研究生 2 級 ‧ 2009-07-05 23:29:33

請問有人看到圖片嗎 @@?

這是透過何種機制來驗證? 真的有效嗎?

有大大願意分享實驗結果嗎?

why0412 iT邦新手 3 級 ‧ 2009-07-06 11:47:42 檢舉
1
facers
iT邦新手 3 級 ‧ 2009-07-06 14:31:14

依照普及性來說,即使你設了SPF,並用這機制阻檔不合法的Email,應該會有一半以上的信收不到(不是每家公司都有設定),即使你自己設定了,Yahoo也不會無限制的開放讓你寄信過去(他們還是有自己的機制運作)。

可以用自己的Email寄給下列Email,他們回覆的信會顯示"SPF目前狀態":
check-auth@verifier.port25.com
sa-test@sendmail.net

cooch iT邦研究生 3 級 ‧ 2009-07-07 06:49:57 檢舉

實際情形並不是如此!
沒有人用 SPF 來作為判斷 SPAM 的絕對條件之ㄧ,
但應該有不少人用 SPF 來作為判斷 SPAM 的相對條件之ㄧ!

基本上您自己的郵件系統 SPAM 判斷可以不用 SPF,
但是為了能夠增加自己單位寄出去的信件能夠與 SPAM 有所區別,
在單位對外的 DNS 增加 SPF 紀錄是有幫助的!

why0412 iT邦新手 3 級 ‧ 2009-07-07 09:01:18 檢舉

SPF是用來確認發信者的IP是否與SPF裡註冊的IP位址一致,若IP位址不是在網路上註冊的IP,即認定寄件者的Domain是偽造的.

以下是從Outlook裡截取SPF有關的資料:
Return-Path: service@estatement3.aaadomainaa.com.tw
X-MS-Exchange-Organization-PRD: aaadomaina.com
X-MS-Exchange-Organization-SenderIdResult: SoftFail
Received-SPF: SoftFail (mymailsrv.yieh.corp: domain of transitioning

我要留言

立即登入留言