给域名添加SPF记录

独立域名博客在收到主机寄过来的邮件时,邮件头会经常显示如下两行:

Received-SPF: neutral (google.com: 72.47.192.112 is neither permitted nor denied by best guess record for domain of wordpress@your_domain.com) client-ip=72.47.192.112;

Received-SPF: fail (google.com: domain of wordpress@your_domain.com does not designate 72.47.192.112 as permitted sender) client-ip=72.47.192.112;
Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of wordpress@your_domain.com does not designate 72.47.192.112 as permitted sender) smtp.mail=wordpress@your_domain.com

Received-SPF: softfail (google.com: domain of transitioning wordpress@your_domain.com does not designate 72.47.192.112 as permitted sender) client-ip=72.47.192.112;
Authentication-Results: mx.google.com; spf=softfail (google.com: domain of transitioning wordpress@your_domain.com does not designate 72.47.192.112 as permitted sender) smtp.mail=wordpress@your_domain.com

对一个完美主义者来说,出现“Fail”是不可接受的,这种邮件被Gmail扔进Spam的几率比较大哦。这是你域名的SPF记录没配置好出现验证失败的缘故,那什么是SPF呢?

由于同一个域名可能透过多台的mail server或是ISP寄信,通过IP地址来反向解析看是否为伪造信件的方式就不够用了(我们也经常可以收到发件人是自己的垃圾邮件)。因此就有域名验证的观念出来了,共包括domain key和SPF这两大类,都必须在网域名称的DNS记录中加入一笔记录。

SPF(或是Sender ID)是Sender Policy Framework的缩写。当你定义了你域名的SPF记录后,接收邮件方会根据你的SPF记录来判断连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。现在绝大部份反垃圾邮件系统都支持SPF过滤,这种过滤一般不会有误判,除非是邮件系统管理员自己把SPF记录配置错误或遗漏.

至于domain key则是由Yahoo所提出的。必需配合软件和加密技术,比较麻烦。目前使用的也不多。 Google目前所谓的支援domainkey也只是在寄信的时候加入,免得被yahoo退信,本身并没有要求寄件者要有domainkey。

正确设置后邮件头一般显示如下:

Received-SPF: pass (google.com: domain of wordpress@your_domain.com designates 72.47.192.112 as permitted sender) client-ip=72.47.192.112;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of wordpress@your_domain.com designates 72.47.192.112 as permitted sender) smtp.mail=wordpress@your_domain.com

关于SPF是否有设定的必要?一般认为有加上SPF比较好,怕万一碰到哪个收件服务器有采用SenderID机制来过滤信件的话就有用处了。

如何增加SPF记录,非常简单,在DNS里面添加TXT记录即可,可以使用下面SPF生成检查工具:

https://mxtoolbox.com/spf.aspx
https://toolbox.googleapps.com/apps/checkmx/
http://old.openspf.org/wizard.html

a 你域名的A记录,一般选择yes,因为他有可能发出邮件,比如我上面提到的Wordpress的回信。
mx 一般也是yes,MX服务器会有退信等。
ptr 选择no,官方建议的。
inlude 如果有可能通过一个isp来发信,isp有自己的SPF记录,则填入这个isp的域名。比如你使用Google Apps,应该增加include:google.com记录,因为你的邮件时从Google服务器发出去的。
ip4: 你还有没有其他的ip发信?可能你的smtp服务器是独立出来的,那么就填入你的IP地址或者网段。
~all: 意思是除了上面的,其他的都不认可。当然是yes了。

再检查下,进入cmd(以Google.com为例):

C:\Documents and Settings\>nslookup
Default Server: resolver1.opendns.com
Address: 208.67.222.222>
> set type=txt
>
> google.com
Server: resolver1.opendns.com
Address: 208.67.222.222

Non-authoritative answer:
google.com text =

“v=spf1 include:_netblocks.google.com ~all”
>
> _netblocks.google.com
Server: resolver1.opendns.com
Address: 208.67.222.222

Non-authoritative answer:
_netblocks.google.com text =

“v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/
2.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 i
0.0/20 ip4:207.126.144.0/20 ?all”
>
>behindgfw.com
Server: resolver1.opendns.com
Address: 208.67.222.222

Non-authoritative answer:
behindgfw.com   text =

“v=spf1 a a:fwolf.com mx include:google.com ~all”

ok,都设置好了,给check-auth@verifier.port25.com发封邮件,很快会有回信告诉你设置是否正确,会返回详细的SPF check、DomainKeys check、DKIM check、Sender-ID check结果。

至于那些域名注册商支持添加SPF记录,可以在如下网址检查:
http://www.kitterman.com/spf/txt.html

参考链接:
RFC4408 http://www.ietf.org/rfc/rfc4408.txt
Chifeng

头痛的垃圾邮件

在Hotmail和Gmail中如果收到钓鱼邮件,你的邮件头部有可能会显示如下:

存在潜在不安全因素的邮件。报告并删除 |允许发件人

对邮件进行的 SenderID 检查失败,我们建议您在打开邮件之前与发件人进行电话沟通。了解详细信息

Warning: This message may not be from whom it claims to be. Beware of following any links in it or of providing the sender with any personal information. Learn more

你可能会发现hotmail的邮件头中有“SenderID”字样,这就是微软这个世界第一大免费邮件提供商的主要防垃圾邮件技术措施。与微软SenderID身分认证过滤技术类似,AOL、Yahoo亦分别提出AOL SPF(Sender Policy Framework)、Yahoo Domain Keys,至于Gmail我目前还没找到具体的防垃圾邮件技术标准。虽然做了如此之多的功课,我的Hotmail和Gmail中垃圾邮件数量还是日趋增多,达每天30封,并且漏判邮件数量也在不断上升。现在的反垃圾邮件策略又由静态走向动态行为特征模式过滤的发展趋势,或许该技术可有效改善今后反垃圾邮件的拦劫率与误判率。

不过,上述的做法可能对僵尸网络垃圾邮件(Zombie Spam)技术毫无影响,因为黑客可透过木马软件四处攻击组成肉鸡网络,接着再透过这些毫不知情的受害电脑滥发垃圾邮件。检查人员抓了半天,所抓到的可能都是毫不知情的代罪羔羊,至于真正元凶,恐怕很难追缉而依旧逍遥法外、继续作乱。

虽然各国政府已经致力于制定反垃圾邮件法,但是很多人都对反垃圾邮件事业持悲观态度。拿美国来说:对已经施行2年的美国CAN-SPAM法案 (Controlling the Assault of Non-Solicited Pornography and Marketing Act) 的效果,美国许多安全大厂与专家的评价是十分不理想。

牛皮癣难治啊!

附:
中国反垃圾邮件相关网址:
中国互联网协会反垃圾邮件中心:http://www.anti-spam.cn/
违法和不良信息举报中心:http://net.china.cn/chinese/index.htm
国家计算机网络应急技术处理协调中心:http://www.cert.org.cn/
国家计算机病毒应急处理中心:http://www.antivirus-china.org.cn/
国家计算机网络入侵防范中心:http://www.nipc.org.cn/
国家反计算机入侵及防病毒研究中心:http://www.aiav.com.cn/
公安部网络违法案件举报网站:http://www.cyberpolice.cn/common/index.aspx
中国扫黄打非网:http://www.shdf.gov.cn/

其他的国家/地区:
日本
组织:Nippon Information Communication Association
网站:http://www.dekyo.or.jp/
电子邮件地址:meiwaku@dekyo.or.jp

西班牙
组织:Spanish Agency for Data Protection
网站:https://www.agpd.es
电子邮件地址:spacontact@agpd.es

法国
组织:Commission Nationale de l’Informatique et des Libertés
网站:http://www.cnil.fr/
电子邮件地址:无

荷兰
组织:Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA)
网站:https://www.spamklacht.nl/
电子邮件地址:无(您可以使用 OPTA 网站上的表单来报告垃圾邮件)

意大利
组织:Italian Naming Authority
网站:http://www.romanelmondo.it/sugg/spam.htm
电子邮件地址:ABUSE@NA.nic.it 和抄送地址:info@nic.it

葡萄牙
组织:Commissao Nacional de Proteccao de Dados Pessoais Informatizados
网站:http://www.cnpd.pt/
电子邮件地址:cnpdpi@mail.telepac.pt

update:2006.8.2/9:06
若干网络安全词汇翻译

  • 病毒 - Virus
  • 蠕虫 - Worm
  • 木马 - Trojan Horse
  • 假病毒 - Hoax
  • 恶作剧 - Joke
  • 后门 - Backdoor
  • 间谍程序 - Spyware
  • 规模传播的邮件病毒 - Mass Mailer
  • 僵尸程序 - Bot
  • 广告软件 - Adware
  • 恶意代码/脚本/代码 - Malware/MalScript/MalCode
  • 网络钓鱼 - Phishing
  • 键盘记录软件 - KeyLogger
  • 行为记录软件 - Track Ware
  • 窃取程序 - Stealer
  • 垃圾邮件 - Spam
  • 拨号软件 - Dialer
  • 逻辑炸弹 - Logic Bomb
  • 漏洞利用代码 - Exploit Code
  • 流氓软件
  • 勒索软件Ransomware

电子邮件地址:cnpdpi@mail.telepac.pt圾邮件事业应该抱乐观态度。

发垃圾邮件的当心了

《互联网电子邮件服务管理办法》将于3月30日起施行。

据信息产业部有关负责人21日介绍,对于广告电子邮件,管理办法规定,未经互联网电子邮件接收者明确同意,不得向其发送包含商业广告内容的互联网电子邮件。发送包含商业广告内容的电子邮件时,应当在互联网电子邮件标题信息前注明“广告”或“AD”字样。

管理办法还公布了用户举报垃圾邮件的方式,并规定了接到举报后的处理程序。

管理办法中,对提供互联网电子邮件服务实行市场准入管理,规定了电子邮件服务器IP地址登记制度,要求互联网电子邮件服务提供者按照技术标准建设服务系统,采取安全防范措施,并对电子邮件服务提出具体要求。违反规定发送电子邮件,将有相应处罚措施。
爽了 ,整死那帮发垃圾邮件的 !Link