系统极客一直在努力
专注于操作系统及软件使用教程

Exchange管理员需要了解的发件人策略框架 (SPF)

Exchange

企业 Exchange 邮件系统的规划部署和运维并不太难,反而垃圾邮件是组织面临的巨大问题。通常情况下,Exchange 管理员都会采取非常多的措施来保证服务器尽可能不受垃圾邮件侵扰。但我们还需要注意如何防止垃圾邮件发送者欺骗或者模仿组织的域名发送邮件,毕竟域名被冒用发送虚假或恶意软件可能对企业造成严重的后果。

为了检测伪造邮件,许多大型邮件服务提供商,如:国外的 Microsoft、Yahoo、Google 和 AOL,以及国内的腾讯、新浪、网易都会执行发件人策略框架以检查发件人的域名(SPF)记录。

SPF 记录允许邮件系统管理员指定哪些邮件服务器可以使用该域名来发送邮件,接收服务器会在收到邮件时验证发件人在 SMTP 会话中执行 MAIL FROM 命令时的邮件地址是否与域名 SPF 记录中所指定的源 IP 匹配,以判断是否为发件人域名伪造。

SPF Exchange

SPF 记录早已经被国际主流的邮件服务商所采用,如果你的域名没有配置 SPF 记录,极有可能直接被邮件接收方的服务器(特别是国外服务商)直接拒绝。

简单来说,SPF 记录其实就是一条有特殊语法的 TXT 记录,它由「匹配机制」和「修饰符」2 部分组成。「修饰符」通常只作为可选项,一般情况下 Exchange 管理员只会用到并处理包含「匹配机制」的 SPF 记录。

SPF 记录的匹配机制主要用于定义和指定可由该域名发送邮件的主机,其定义方式包括:

  • all 匹配任何主机,它写在 SPF 记录最后以匹配在其前面所列出的主机。
  • ip4 匹配 IPv4 地址或网络范围。
  • ip6 匹配 IPv6 地址或网络范围。
  • a 匹配主机名或域名。
  • mx 匹配域名的 MX 记录,当出站与入站邮件为同一服务器时通常采用此种机制。
  • ptr 通过 DNS 反向记录来匹配发件人 IP 和域名,由于会增加 DNS 负载,一般不采用此种机制。
  • exists 只检查域是否在 DNS 中存在。
  • include 将发件人 IP 和 SPF 记录指向另一个域,这种匹配机制通常用于云服务,如 Exchange Online Protection。

SPF 记录的匹配机制会结合一些限定词来使用,以告诉服务器找到一条匹配记录时该怎么办。常见的限定词有:

  • + 放行,如果没有明确指定限定词,则为默认值。
  •  硬拒绝,直接拒绝来自未经授权主机的邮件。
  • ~ 软拒绝,邮件可被接受,也可被标记为垃圾邮件。
  • ? 中性,不考虑邮件是否被接受。

SPF 记录会结合「匹配机制」和「限定词」使用,例如:在 SPF 记录的末尾处写有 -all 则表明在不匹配前面所列主机时,接收服务器需要将邮件全部拒绝。

在配置好 SPF 记录之后,还需要对其进行验证,特别是在有外部机构拒绝你发的邮件时,更应该验证 SPF 记录的正确性。MXToolbox 这个广为 Exchange 管理员所使用的在线服务中便有 SPF 记录验证工具,只需输入域名和 IP 即可。

MXToolbox SPF

MXToolbox SPF 记录查找工具将验证 DNS 查询及 SPF 语法中的常见问题,以帮助管理员排错。

MXToolbox SPF

尽管 SPF 记录在互联网邮件传递中至关重要,但组织内部 Exchange Server 之间的邮件流不依赖于 SPF 记录,Exchange Server 会默认处于同一组织中的所有 Exchange 服务器都是权威的。

分享到:更多 ()