We use cookies to ensure that we give you the best experience on our website.

發件人策略框架身份驗證 |什麼是SPF?

發件人策略框架 (SPF) 是一種電子郵件身份驗證標準,用於防止垃圾郵件發送者發送看似來自欺騙域的郵件。它還有助於確保電子郵件正確發送,而不會發送到收件人的垃圾郵件箱。

SPF 的工作原理是允許組織指定有權從其域發送電子郵件的郵件服務器。這可以防止任何人使用稱為電子郵件欺騙的惡意過程來冒充該組織。

重要的是要記住,組織通常有多個領域。然而,只有其中一些域用於發送電子郵件。因此,組織必須利用身份驗證來防止網絡犯罪分子利用其他域發送看似來自它們的電子郵件。

任何組織都可以在以下位置發布授權的郵件服務器域名服務(DNS) 記錄利用 SPF,這允許收件人驗證從他們收到的任何電子郵件的來源。

為了允許這一點,網站管理員在 DNS TXT 記錄中發布 SPF 信息(授權郵件服務器列表)。然後,接收電子郵件服務器使用 SPF 記錄檢查來檢查 SPF 記錄,該檢查會查找 SPF 記錄以驗證發件人的 IP 地址。

SPF 記錄是網站管理員以 TXT 記錄的形式發佈到 DNS 的授權郵件服務器列表。此記錄允許任何收件人使用診斷工具(稱為 SPF 記錄檢查)來驗證電子郵件的來源。設置 SPF 記錄相對容易,它可以保護組織免受電子郵件欺騙攻擊。

設置 SPF 記錄後,任何收到電子郵件的人都可以檢查該電子郵件是否來自已授權的服務器。如果電子郵件來自未經授權的域,服務器可以將該郵件視為垃圾郵件,並通過退回或拒絕來將其排除。

SPF 如何防範垃圾郵件?

SPF 策略允許收件人電子郵件服務器驗證電子郵件的來源。因此,收件人可以檢查電子郵件是否確實來自其聲稱的發件人。

SPF 身份驗證可防止電子郵件欺騙——網絡犯罪分子利用這種技術發送看似來自其他人(被欺騙的組織)的網絡釣魚電子郵件和垃圾郵件。

SPF 通過根據聲明的發送域檢查信封發件人的 IP 地址來防止發件人地址偽造。如果 SPF 檢查因管理員未授權來自該域的電子郵件而失敗 – 該電子郵件將被視為垃圾郵件並被退回或拒絕。

當 SPF 失敗時會發生什麼?

當 SPF 記錄檢查失敗時,收件人會被告知發件人無權從該域發送電子郵件。然後,電子郵件服務器可以拒絕或退回該消息。

在 SPF 記錄檢查執行診斷期間,分析可能會產生幾種不同消息之一。我們將這些限定符分解如下以進行解釋:

  • 經過。 SPF 記錄指定發件人有權發送。
  • 失敗。 SPF 記錄將發件人指定為不允許發送。
  • 沒有任何。無法解析 DNS 中的域名和/或無法找到該域的 SPF 記錄。
  • 中性的。 SPF 記錄表明它並未斷言該 IP 地址是否經過授權。 SPF 中性可以解釋為通過或失敗,具體取決於服務器的設置方式,但通常默認為失敗。
  • 軟故障。這是一條弱失敗消息,表明發件人可能未獲得授權。當域未設置導致硬故障的強 SPF 策略時,會出現此消息。
  • 溫度錯誤。 SPF 檢查遇到暫時性錯誤,通常是由 DNS 超時引起的。只要客戶端上的重試策略設置正確,通常會導致稍後重試。
  • 燙髮錯誤。 SPF 檢查無法驗證該域已發布的 SPF 記錄,因為在該域上發現了多個 SPF 記錄、SPF 記錄寫入不正確、SPF 檢查中涉及的 DNS 查找次數超過 10、SPF 檢查中涉及的無效查找次數超過 2。

SPF 記錄檢查的局限性

SPF 檢查根據 Return-Path 值而不是 From 標頭進行驗證,以確定原始服務器的真實性。返迴路徑是收件人郵件服務器在出現問題時用於與發件人通信的地址(例如,退回電子郵件)。

這樣做的問題是,如果電子郵件已送達,電子郵件收件人將在其電子郵件客戶端中看到虛假的發件人地址。不幸的是,即使電子郵件未通過 SPF 檢查,有時也會發生這種情況,具體取決於接收 ISP(做出最終決定)。 SPF 的缺點已被 DMARC 修復,DMARC 是一種較新的標準,通過驗證 From 標頭來解決該問題。

儘管有缺點,但為您的電子郵件設置 SPF 策略總是更好,因為它會產生額外的信任信號,並增加電子郵件通過 ISP 檢查以成功發送而不是被拒絕或退回的機會。

如何檢查域的 SPF 記錄

如果您想檢查並讀取某個域的發件人策略框架記錄,好消息是它實際上非常簡單。 SPF TXT 記錄存儲在 DNS 數據庫中,並與 DNS 查找信息捆綁在一起,以便任何人都可以訪問它。因此,您可以從命令提示符窗口內手動檢查它:

  1. 發射命令提示符(開始>運行>cmd)
  2. 類型 ”nslookup-type=txt" 後跟一個空格,然後是域名。例如:“nslookup -type=txt google.com”
  3. 如果一個SPF記錄已附上對於 DNS,結果將如下所示:“v=spf1 ip4:207.171.160.0/19 -all”
  4. 如果 沒有結果或者如果沒有“v=spf1”屬性,則說明檢索 SPF 記錄時出現問題或者該記錄不存在。

什麼是 DKIM?

DomainKeys Identified Mail (DKIM) 是另一種電子郵件身份驗證標準,對於保護域免受欺騙以及電子郵件收件人免受垃圾郵件和網絡釣魚電子郵件至關重要。許多組織可能沒有意識到,要充分優化電子郵件安全性,他們應該利用 SPF、DKIM 和 DMARC。

DKIM 的作用是確保電子郵件內容未被洩露並且可以被收件人信任。它最初於 2007 年推出,此後已多次更新。

什麼是 DMARC?

基於域的消息身份驗證、報告和一致性 (DMARC) 是一種有用的協議,它將 SPF 和 DKIM 組合到單個一致的策略框架中。此外,它還通過將發件人的域名與發件人標頭中列出的內容鏈接起來來提高安全性。

我的組織應使用哪種電子郵件身份驗證協議?

優化組織電子郵件安全的唯一方法是利用所有這三個重要協議。它們的用途都略有不同,但一起使用時可提供最高級別的安全性。

誠然,為所有域設置這些標準可能非常耗時,但如果您想避免導致網絡攻擊的複雜網絡釣魚攻擊,這一點非常重要。

一般來說,從設置 SPF 記錄開始總是一個好主意 - 畢竟這是最簡單的。接下來,您應該尋求實施 DKIM,然後實施 DMARC。

通過利用所有這三種協議,您將確保消息不易被偽造,並且您的收件箱不會收到可能導致嚴重後果(例如惡意軟件感染和數據盜竊)的狡猾欺騙電子郵件。

Related articles