We use cookies to ensure that we give you the best experience on our website.

发件人策略框架身份验证 |什么是SPF?

发件人策略框架 (SPF) 是一种电子邮件身份验证标准,用于防止垃圾邮件发送者发送看似来自欺骗域的邮件。它还有助于确保电子邮件正确发送,而不会发送到收件人的垃圾邮件箱。

SPF 的工作原理是允许组织指定有权从其域发送电子邮件的邮件服务器。这可以防止任何人使用称为电子邮件欺骗的恶意过程来冒充该组织。

重要的是要记住,组织通常有多个领域。然而,只有其中一些域用于发送电子邮件。因此,组织必须利用身份验证来防止网络犯罪分子利用其他域发送看似来自它们的电子邮件。

任何组织都可以在以下位置发布授权的邮件服务器域名服务(DNS) 记录利用 SPF,这允许收件人验证从他们收到的任何电子邮件的来源。

为了允许这一点,网站管理员在 DNS TXT 记录中发布 SPF 信息(授权邮件服务器列表)。然后,接收电子邮件服务器使用 SPF 记录检查来检查 SPF 记录,该检查会查找 SPF 记录以验证发件人的 IP 地址。

SPF 记录是网站管理员以 TXT 记录的形式发布到 DNS 的授权邮件服务器列表。此记录允许任何收件人使用诊断工具(称为 SPF 记录检查)来验证电子邮件的来源。设置 SPF 记录相对容易,它可以保护组织免受电子邮件欺骗攻击。

设置 SPF 记录后,任何收到电子邮件的人都可以检查该电子邮件是否来自已授权的服务器。如果电子邮件来自未经授权的域,服务器可以将该邮件视为垃圾邮件,并通过退回或拒绝来将其排除。

SPF 如何防范垃圾邮件?

SPF 策略允许收件人电子邮件服务器验证电子邮件的来源。因此,收件人可以检查电子邮件是否确实来自其声称的发件人。

SPF 身份验证可防止电子邮件欺骗——网络犯罪分子利用这种技术发送看似来自其他人(被欺骗的组织)的网络钓鱼电子邮件和垃圾邮件。

SPF 通过根据声明的发送域检查信封发件人的 IP 地址来防止发件人地址伪造。如果 SPF 检查因管理员未授权来自该域的电子邮件而失败 – 该电子邮件将被视为垃圾邮件并被退回或拒绝。

当 SPF 失败时会发生什么?

当 SPF 记录检查失败时,收件人会被告知发件人无权从该域发送电子邮件。然后,电子邮件服务器可以拒绝或退回该消息。

在 SPF 记录检查执行诊断期间,分析可能会产生几种不同消息之一。我们将这些限定符分解如下以进行解释:

  • 经过。 SPF 记录指定发件人有权发送。
  • 失败。 SPF 记录将发件人指定为不允许发送。
  • 没有任何。无法解析 DNS 中的域名和/或无法找到该域的 SPF 记录。
  • 中性的。 SPF 记录表明它并未断言该 IP 地址是否经过授权。 SPF 中性可以解释为通过或失败,具体取决于服务器的设置方式,但通常默认为失败。
  • 软故障。这是一条弱失败消息,表明发件人可能未获得授权。当域未设置导致硬故障的强 SPF 策略时,会出现此消息。
  • 温度错误。 SPF 检查遇到暂时性错误,通常是由 DNS 超时引起的。只要客户端上的重试策略设置正确,通常会导致稍后重试。
  • 烫发错误。 SPF 检查无法验证该域已发布的 SPF 记录,因为在该域上发现了多个 SPF 记录、SPF 记录写入不正确、SPF 检查中涉及的 DNS 查找次数超过 10、SPF 检查中涉及的无效查找次数超过 2。

SPF 记录检查的局限性

SPF 检查根据 Return-Path 值而不是 From 标头进行验证,以确定原始服务器的真实性。返回路径是收件人邮件服务器在出现问题时用于与发件人通信的地址(例如,退回电子邮件)。

这样做的问题是,如果电子邮件已送达,电子邮件收件人将在其电子邮件客户端中看到虚假的发件人地址。不幸的是,即使电子邮件未通过 SPF 检查,有时也会发生这种情况,具体取决于接收 ISP(做出最终决定)。 SPF 的缺点已被 DMARC 修复,DMARC 是一种较新的标准,通过验证 From 标头来解决该问题。

尽管有缺点,但为您的电子邮件设置 SPF 策略总是更好,因为它会产生额外的信任信号,并增加电子邮件通过 ISP 检查以成功发送而不是被拒绝或退回的机会。

如何检查域的 SPF 记录

如果您想检查并读取某个域的发件人策略框架记录,好消息是它实际上非常简单。 SPF TXT 记录存储在 DNS 数据库中,并与 DNS 查找信息捆绑在一起,以便任何人都可以访问它。因此,您可以从命令提示符窗口内手动检查它:

  1. 发射命令提示符(开始>运行>cmd)
  2. 类型 ”nslookup-type=txt" 后跟一个空格,然后是域名。例如:“nslookup -type=txt google.com”
  3. 如果一个SPF记录已附上对于 DNS,结果将如下所示:“v=spf1 ip4:207.171.160.0/19 -all”
  4. 如果 没有结果或者如果没有“v=spf1”属性,则说明检索 SPF 记录时出现问题或者该记录不存在。

什么是 DKIM?

DomainKeys Identified Mail (DKIM) 是另一种电子邮件身份验证标准,对于保护域免受欺骗以及电子邮件收件人免受垃圾邮件和网络钓鱼电子邮件至关重要。许多组织可能没有意识到,要充分优化电子邮件安全性,他们应该利用 SPF、DKIM 和 DMARC。

DKIM 的作用是确保电子邮件内容未被泄露并且可以被收件人信任。它最初于 2007 年推出,此后已多次更新。

什么是 DMARC?

基于域的消息身份验证、报告和一致性 (DMARC) 是一种有用的协议,它将 SPF 和 DKIM 组合到单个一致的策略框架中。此外,它还通过将发件人的域名与发件人标头中列出的内容链接起来来提高安全性。

我的组织应使用哪种电子邮件身份验证协议?

优化组织电子邮件安全的唯一方法是利用所有这三个重要协议。它们的用途都略有不同,但一起使用时可提供最高级别的安全性。

诚然,为所有域设置这些标准可能非常耗时,但如果您想避免导致网络攻击的复杂网络钓鱼攻击,这一点非常重要。

一般来说,从设置 SPF 记录开始总是一个好主意 - 毕竟这是最简单的。接下来,您应该寻求实施 DKIM,然后实施 DMARC。

通过利用所有这三种协议,您将确保消息不易被伪造,并且您的收件箱不会收到可能导致严重后果(例如恶意软件感染和数据盗窃)的狡猾欺骗电子邮件。

Related articles