开发者社区> zephyr> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

SPF参考

简介:
+关注继续查看

1. SPF是什么

SPF, Sender Policy Framework, 是一种用于确认邮件来源的手段.

SMTP 服务器之间进行交互时, 对于请求来源是无法直接确认的, 因为邮件交互是公开的行为, 就像你不能阻止有人往你的门缝里塞小卡片一样. 作为收信服务器, 你收到一个请求, 声称它来自于gmail.com, 你如何能确认这个请求就是来源于 google 的服务器呢?

于是, 对域名的确认, 自然解决方案就落在了域名的配置上. 比如你可以看看来源 IP 是否和域名的 A 记录一致, 或者和 MX 记录一致. 但是很显然, 这并不是一个好方法, 因为 A 记录和 MX 记录, 其本来的用途本来和发信服务就不相关. 简单来说, 一个域下的发信服务和收信服务在不同的服务器上完成太正常不过了.

所以, 在域名的 TXT 记录中, 就有了一个专门的 SPF 来完成上面所述的工作.

gmail.com 这个域名, 配置其对应的 SPF 规则, 来描述我的投信请求, 可能来源于哪些 IP 地址. 这个信息是可以通过公开的 DNS 服务查询到的. 那么收信服务器收到 gmail.com 的投信请求时, 就根据查询到的 SPF 规则来检查来源 IP .

dig gmail.com -ttxt

得到:

;; ANSWER SECTION:
gmail.com. 300 IN TXT "v=spf1 redirect=_spf.google.com"

继续:

dig _spf.google.com -ttxt

得到:

;; ANSWER SECTION:
_spf.google.com. 300 IN TXT "v=spf1 include:_netblocks.google.com \
                                    include:_netblocks2.google.com \
                                    include:_netblocks3.google.com ~all"

我们取一个看看:

dig _netblocks.google.com -ttxt

结果有:

_netblocks.google.com. 2158 IN TXT "v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 \
                                           ip4:66.249.80.0/20 ip4:72.14.192.0/18 \
                                           ip4:209.85.128.0/17 ip4:66.102.0.0/20 \
                                           ip4:74.125.0.0/16 ip4:64.18.0.0/20 \
                                           ip4:207.126.144.0/20 ip4:173.194.0.0/16 ~all"

根据这些规则所描述的 IP 段, 收信服务器就可以判断请求来源是不是 gmail.com 这个域. 或者说得准确点, 对于声称是 gmail.com 的请求来源, 根据它的来源 IP 的不同, 而应该采取什么样的处理策略, 是拒绝, 标记, 还是通过.

2. SPF语法

从前面查询 gmail.com 的过程, 看几个例子:

"v=spf1 redirect=_spf.google.com"
"v=spf1 include:_netblocks.google.com ~all"
"v=spf1 ip4:216.239.32.0/19 ~all"

形式上, SPF 记录分成四个部分, 用 双引号 括起来.

  1. v=spf1 .
  2. 可能出现的 Modifiers , 比如 redirect .
  3. 一个或多个 Mechanisms , 比如 include , ip4 .
  4. 最后用一个 all 结尾.

所有的规则, 从左往右开始匹配.

3. Modifiers

SPF 记录中可以包括两种可选的 Modifiers , 其只能出现一次:

redirect
用指定域名的 SPF 记录替换当前记录, 如 redirect=_spf.google.com

exp
(没见用过)

4. 前缀

Mechanisms 可以带 4 种前缀:

  • + Pass
  • - Fail
  • ~ Soft Fail
  • ? Neutral

默认是 + Pass .

四种前缀表示对应规则匹配时, 建议的服务器处理策略:

结果 含义 建议处理
Pass IP 合法 收信
Fail IP 非法 退信
Soft Fail IP 非法 收信, 但标记
Neutral 不清楚 收信
None 无 SPF 记录 收信
PermError 严重错误(SPF 格式错误) 无规定
TempError 临时错误(DNS 查询失败) 随便

5. Mechanisms

mechanisms 有下面这些:

  • all , 所有 IP , 一般放在最后.
  • ip4 , 指定 ipv4 的地址段.
  • ip6 , 指定 ipv6 的地址段.
  • a , 指定域名的 A 记录.
  • mx , 指定域名的 MX 记录.
  • include , 引入指定域名的 SPF 记录.
  • exists , 检查指定域名的 A 记录.
  • ptr , 指定域名的反查记录.
all 一般放最后, 定义未匹配时的处理.
"v=spf1 ip4:216.239.32.0/19 ~all"

ip4 指定一个 IPv4 地址, 或地址段.
"v=spf1 ip4:216.239.32.0 ~all"
"v=spf1 ip4:216.239.32.0/19 ~all"

ip6 指定一个 IPv6 地址, 或地址段.
"v=spf1 ip6:2001:4860:4000:: ~all"
"v=spf1 ip6:2001:4860:4000::/36 ~all"

a 指定一个域名(或默认本域名)的 A 记录, 可以添加段范围.
"v=spf1 a ~all"
"v=spf1 a:mail.google.com ~all"
"v=spf1 a/12 ~all"
"v=spf1 a:mail.google.com/18 ~all"

mx 指定一个域名(或默认本域名)的 MX 记录, 可以添加段范围.
"v=spf1 mx ~all"
"v=spf1 mx:mail.google.com ~all"
"v=spf1 mx/12 ~all"
"v=spf1 mx:mail.google.com/18 ~all"

include 引入指定域名的 SPF 记录.
"v=spf1 include:mail.google.com ~all"

exists 检查指定域名的 A 记录, 有结果则为命中.
"v=spf1 exists:google.com ~all"

ptr 反查指定域名的 IP 地址.
"v=spf1 ptr:google.com ~all"

多个 mechanisms 规则以空格分开, 比如上面的某个规则和最后的 all.

6. 参考资料

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
API参考——API概览
本文汇总了PolarDB-X 2.0支持的API接口。
54 0
无影体验截图 - 供大家参考
本次使用windows客户端参与活动,mac端、web端同理
80 0
svg
http://www.w3school.com.cn/html5/html_5_svg.asphttp://www.w3school.com.cn/svg/index.asp
781 0
SVG
SVG 是 HTML5 中矢量图的标记语言,它保持了强大的绘图能力的同时,具有非常高端的使用接口,通过直接操作 Dom 节点的形式来操作图形。 本课程意在让学生掌握 SVG 这门语言和它对应的一些 API,再结合2D绘图的知识,让学生具有对页面复杂图形的渲染和控制能力。
807 0
svg
摘要:   之前介绍了canvas制作图像,今天再分享svg制作图像。 简介:   SVG 意为可缩放矢量图形(Scalable Vector Graphics)。SVG 使用 XML 格式定义图像。
1156 0
[2013.9.27][cpp]一个简单的链接栈模型
学数据结构的一点想法 LinkStack.h文件: #ifndef LINKSTACH_H #define LINKSTACH_H #include using std::exception; template ...
622 0
移除首页->重回首页
  之前发布了一篇文章《订餐系统之获取淘宝外卖订单》,因为是关于淘宝外卖的,所以文中出现这个词时,都加了链接,还设置了 target='_blank',就是为了让看的人方便点击,查看。后来,博客园说这个文章中含有推广链接,于是移除首页了。
984 0
Amazon SES SPF和DKIM设置教程
SPF和DKIM设置是争对域名邮箱而言的(公共邮件也不会给你修改DNS的权限),主要作用就是防止邮箱伪造提升邮件信用度 首先到亚马逊添加域名并验证 添加后,给出了域名验证的方法,就是在dns记录里添加一条txt记录 到域名DNS管理里 点击刷新,一般记录添加后很快就自动验证通过 SPF简介 SPF就是Sender Policy Framework。
3975 0
+关注
zephyr
前端,Python,BI,OLAP
46
文章
4
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载