SPF参考

本文涉及的产品
.cn 域名,1个 12个月
简介:

1. SPF是什么

SPF, Sender Policy Framework, 是一种用于确认邮件来源的手段.

SMTP 服务器之间进行交互时, 对于请求来源是无法直接确认的, 因为邮件交互是公开的行为, 就像你不能阻止有人往你的门缝里塞小卡片一样. 作为收信服务器, 你收到一个请求, 声称它来自于gmail.com, 你如何能确认这个请求就是来源于 google 的服务器呢?

于是, 对域名的确认, 自然解决方案就落在了域名的配置上. 比如你可以看看来源 IP 是否和域名的 A 记录一致, 或者和 MX 记录一致. 但是很显然, 这并不是一个好方法, 因为 A 记录和 MX 记录, 其本来的用途本来和发信服务就不相关. 简单来说, 一个域下的发信服务和收信服务在不同的服务器上完成太正常不过了.

所以, 在域名的 TXT 记录中, 就有了一个专门的 SPF 来完成上面所述的工作.

gmail.com 这个域名, 配置其对应的 SPF 规则, 来描述我的投信请求, 可能来源于哪些 IP 地址. 这个信息是可以通过公开的 DNS 服务查询到的. 那么收信服务器收到 gmail.com 的投信请求时, 就根据查询到的 SPF 规则来检查来源 IP .

dig gmail.com -ttxt

得到:

;; ANSWER SECTION:
gmail.com. 300 IN TXT "v=spf1 redirect=_spf.google.com"

继续:

dig _spf.google.com -ttxt

得到:

;; ANSWER SECTION:
_spf.google.com. 300 IN TXT "v=spf1 include:_netblocks.google.com \
                                    include:_netblocks2.google.com \
                                    include:_netblocks3.google.com ~all"

我们取一个看看:

dig _netblocks.google.com -ttxt

结果有:

_netblocks.google.com. 2158 IN TXT "v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 \
                                           ip4:66.249.80.0/20 ip4:72.14.192.0/18 \
                                           ip4:209.85.128.0/17 ip4:66.102.0.0/20 \
                                           ip4:74.125.0.0/16 ip4:64.18.0.0/20 \
                                           ip4:207.126.144.0/20 ip4:173.194.0.0/16 ~all"

根据这些规则所描述的 IP 段, 收信服务器就可以判断请求来源是不是 gmail.com 这个域. 或者说得准确点, 对于声称是 gmail.com 的请求来源, 根据它的来源 IP 的不同, 而应该采取什么样的处理策略, 是拒绝, 标记, 还是通过.

2. SPF语法

从前面查询 gmail.com 的过程, 看几个例子:

"v=spf1 redirect=_spf.google.com"
"v=spf1 include:_netblocks.google.com ~all"
"v=spf1 ip4:216.239.32.0/19 ~all"

形式上, SPF 记录分成四个部分, 用 双引号 括起来.

  1. v=spf1 .
  2. 可能出现的 Modifiers , 比如 redirect .
  3. 一个或多个 Mechanisms , 比如 include , ip4 .
  4. 最后用一个 all 结尾.

所有的规则, 从左往右开始匹配.

3. Modifiers

SPF 记录中可以包括两种可选的 Modifiers , 其只能出现一次:

redirect
用指定域名的 SPF 记录替换当前记录, 如  redirect=_spf.google.com

exp
(没见用过)

4. 前缀

Mechanisms 可以带 4 种前缀:

  • + Pass
  • - Fail
  • ~ Soft Fail
  • ? Neutral

默认是 + Pass .

四种前缀表示对应规则匹配时, 建议的服务器处理策略:

结果 含义 建议处理
Pass IP 合法 收信
Fail IP 非法 退信
Soft Fail IP 非法 收信, 但标记
Neutral 不清楚 收信
None 无 SPF 记录 收信
PermError 严重错误(SPF 格式错误) 无规定
TempError 临时错误(DNS 查询失败) 随便

5. Mechanisms

mechanisms 有下面这些:

  • all , 所有 IP , 一般放在最后.
  • ip4 , 指定 ipv4 的地址段.
  • ip6 , 指定 ipv6 的地址段.
  • a , 指定域名的 A 记录.
  • mx , 指定域名的 MX 记录.
  • include , 引入指定域名的 SPF 记录.
  • exists , 检查指定域名的 A 记录.
  • ptr , 指定域名的反查记录.
all 一般放最后, 定义未匹配时的处理.
"v=spf1 ip4:216.239.32.0/19 ~all"

ip4 指定一个 IPv4 地址, 或地址段.
"v=spf1 ip4:216.239.32.0 ~all"
"v=spf1 ip4:216.239.32.0/19 ~all"

ip6 指定一个 IPv6 地址, 或地址段.
"v=spf1 ip6:2001:4860:4000:: ~all"
"v=spf1 ip6:2001:4860:4000::/36 ~all"

a 指定一个域名(或默认本域名)的 A 记录, 可以添加段范围.
"v=spf1 a ~all"
"v=spf1 a:mail.google.com ~all"
"v=spf1 a/12 ~all"
"v=spf1 a:mail.google.com/18 ~all"

mx 指定一个域名(或默认本域名)的 MX 记录, 可以添加段范围.
"v=spf1 mx ~all"
"v=spf1 mx:mail.google.com ~all"
"v=spf1 mx/12 ~all"
"v=spf1 mx:mail.google.com/18 ~all"

include 引入指定域名的 SPF 记录.
"v=spf1 include:mail.google.com ~all"

exists 检查指定域名的 A 记录, 有结果则为命中.
"v=spf1 exists:google.com ~all"

ptr 反查指定域名的 IP 地址.
"v=spf1 ptr:google.com ~all"

多个 mechanisms 规则以空格分开, 比如上面的某个规则和最后的 all.

6. 参考资料

目录
相关文章
|
8月前
|
网络协议 应用服务中间件 nginx
【CKA模拟题】如何用Nslookup轻松检查集群服务名的DNS解析?
【CKA模拟题】如何用Nslookup轻松检查集群服务名的DNS解析?
244 2
|
2月前
|
存储 算法 网络协议
OSPF的SPF算法介绍:原理、实现与应用
OSPF的SPF算法介绍:原理、实现与应用
94 3
|
5月前
|
网络协议
如何在您的域名中使用 Google Apps 创建 SPF 记录
如何在您的域名中使用 Google Apps 创建 SPF 记录
70 1
|
8月前
|
Go
golang学习参考记录
golang学习参考记录
|
8月前
|
安全 搜索推荐 网络安全
一文读懂什么是IP地址证书
IP证书,一种针对公网IP的SSL/TLS证书,确保通过IP地址访问的网站和服务安全。它提供数据加密、身份验证,防止流量劫持,适用于无域名或固定IP服务场景。申请需公网IP、有效管理权限且支持单或多IP绑定。选择CA时考虑认证、信任级别、兼容性和技术支持。对于依赖IP访问的服务,安装IP证书能增强安全性和用户信任,也有助于提升搜索引擎排名。
815 3
|
网络协议 Go
golang判断ip地址是ipv4还是ipv6
golang判断ip地址是ipv4还是ipv6
|
Python
python自带模块获取服务器主机名称、IP地址和mac地址
python自带模块获取服务器主机名称、IP地址和mac地址
138 1
|
存储 域名解析 缓存
2023-6-13-IP配置知识补充学习
2023-6-13-IP配置知识补充学习
210 0
|
Web App开发 网络协议
Amazon SES SPF和DKIM设置教程
SPF和DKIM设置是争对域名邮箱而言的(公共邮件也不会给你修改DNS的权限),主要作用就是防止邮箱伪造提升邮件信用度 首先到亚马逊添加域名并验证 添加后,给出了域名验证的方法,就是在dns记录里添加一条txt记录 到域名DNS管理里 点击刷新,一般记录添加后很快就自动验证通过 SPF简介 SPF就是Sender Policy Framework。
4827 0
|
Python 程序员
Python | 判定IP地址合法性的三种方法
      IP合法性校验是开发中非常常用的,看起来很简单的判断,作用确很大,写起来比较容易出错,今天我们来总结一下,看一下3种常用的IP地址合法性校验的方法。 IPv4的ip地址格式:(1~255).(0~255).(0~255).(0~255) 正则表达式判定法 最简单的实现方法是构造一个正则表达式。
3169 0