学习和实施SPF的概念对于技术驱动的企业来说非常重要。它可以保护他们免受网络钓鱼、垃圾邮件的潜在风险。 BEC攻击等等。SPF或发件人策略框架的工作原理是使用一个 SPF记录,其中包括 SPF 语法。
这篇博客大致谈到了SPF语法表、SPF机制、SPF限定符和SPF修改器--所有这些都是利用技术协议对电子邮件认证的概念进行有力掌握的必要条件。
Benginners的SPF语法
SPF记录是一个DNS记录,包括一个允许使用你的官方域名发送电子邮件的所有IP地址的列表。当列表之外的服务器使用该域名发送电子邮件时,它将被视为未经授权。因此,它的条目会被接收者的邮箱拒绝。这就保护了你的公司名称不被卷入黑客发起的恶意活动中。
公司应该创建并 检查SPF记录以避开通过使用他们自己的域名进行的网络钓鱼攻击。超过 2.55亿次网络钓鱼攻击仅在2022年上半年就记录了超过2.55亿次的网络钓鱼攻击!想象一下,实施SPF并学习SPF语法已经变得多么关键。
SPF记录有指导收件人的服务器检查和验证从你的域名收到的邮件的指示。它还告诉人们如何处理那些未能通过验证的邮件。一个特定的组件代表所有的指令。
让我们用一个SPF记录的例子来分解每个元素.这就是 SPF 语法的样子。
v=spf1 ip4:123.1.5.0 ip4:100.5.2.1 include:exampledomain.com ~all
每个元素的功能如下。
- v=spf1 向接收服务器指明了一个 SPF 记录。所有的 SPF 记录必须这样开头。
- 这个 SPF 语法的下一部分告诉了允许使用你的域名发送邮件的 IP 地址。在上面的例子中,我们有ip4:123.1.5.0和ip4:100.5.2.1
- 上述例子中的'include:exampledomain.com'部分指定了允许使用该域名发送邮件的第三方。include'标签表示收件人服务器要验证所包含的域名(exampledomain.com)的SPF记录是否也被授权。你可以在一个 SPF 记录中添加多个域名;但是,这些域名必须是有效的。
- 所有 元素指示接收服务器,如果邮件是从 SPF 记录中指定的列表之外的任何域或 IP 地址发出的,则将其标记为 SPF 不通过。
高级SPF语法
SPF 语法表是用一个 DNS TXT 记录定义的,其中有一串文字。它总是以'v='元素开始,指定所使用的SPF版本,到目前为止只有一个版本。
所有的SPF记录都有其特定的条款,作为哪些主机被允许使用官方域名共享信息的规则,它也可能显示一些额外的信息。
在高级 SPF 语法中 中,我们将分解出 以下三个部分:SPF 机制、SPF 鉴定人和 SPF 修改人。
SPF机制
- 所有:它总是匹配,并且是在 SPF 记录末尾添加的最后一个机制。它对不匹配的 IP 显示默认的结果,如'-all'。
- A:它表示一个域名有AAAA或 A记录作为匹配,因为它可以整理出发件人的地址。如果这个DNS SPF记录的语法没有被指定,则使用当前的域名。
- ip4:如果发件人与 SPF 记录中给定的 ipv4 地址范围相连接,则匹配为正。你可以用一个前缀来指定范围的长度。 当没有前缀时,就使用 /32。
- ip6:当发件人与指定的ipv6地址范围结盟时,匹配是积极的。它是用ip4指令和一个表示范围长度的前缀添加的。当没有前缀时,就使用/128。
- 术语:它允许IP地址与指定的MX记录中的IP地址相同的发件人。 MX记录由一个IP地址和每个服务器接受邮件的优先级值组成。
- PTR:它指定了授权域,以帮助解决IP地址到子域或域名。对于所有完全匹配的域或子域,将进行前向查询以获得IP地址。
这种机制被认为是耗时和不可靠的,因为它需要多次查询。根据RFC 7208指南,不推荐使用这种机制。 RFC 7208指南不推荐使用。.
- 存在的:它对输入的域名进行DNS A记录搜索。当找到一个有效的A记录时,无论实际查询结果如何,都是匹配成功。
- 包括:它通过说明第三方电子邮件发件人的域名来授权他们。只有当发件人的IP地址与所列域的SPF记录中提供的IP地址或域相匹配时,才会被授权。
SPF限定词
当一个机制没有限定词,而仍然有一个成功的匹配时,SPF 认证就通过了。8种机制中的每一种都与下面提到的四个限定词之一相联系。
| 资格赛 | 结果 | 接收服务器采取的行动 |
| + | 通过 | 邮件成功通过SPF认证,服务器可以交换邮件。邮件被标记为真实。如果没有限定词,这是默认应用的动作。 |
| - | 失败 | 由于发送服务器不属于该列表,所以邮件认证失败。 邮件可能被收件人的邮箱拒绝。 |
| ~ | 软故障 | 接收者的邮箱接受了该邮件;但是,该邮件被标记为可疑邮件,并落入垃圾邮件文件夹。 |
| ? | 中性 | 电子邮件既没有通过也没有未通过认证。所采取的行动没有说明,电子邮件被接收者接受。 |
SPF调节剂
SPD 修改器负责确定 SPF 语法的工作参数。它包括由'='符号分隔的名称或值对,如果有的话,它分享额外的细节和规则的例外。
修改器只出现一次,而且只出现在 SPF 记录的最后一节。在这个过程中,所有未识别的修饰符都会被忽略。'重定向'修饰符用于引导其他 SPF 记录进行认证。当你想让一个以上的域名拥有相同的 SPF 记录内容时,就可以使用它。
include'机制用于允许以你的名义或使用你的企业名称发送邮件的第三方域名。'exp'修饰语指定了当机制匹配时,接收服务器返回 Fail SPF Qualifier 的原因。
SPF记录的准则
在使用 SPF 语法表创建 SPF 记录时,请牢记以下几点。
- 你不能为一个域名调整多个 SPF 记录。
- 一个 SPF 记录不能有任何大写字母;否则,你会看到错误。
- 不应该有超过255个字符。任何超过这个数字的字符串将导致认证失败。
- 如果有任何 SPF 机制解析到同一个域,则删除。
- 删除任何不使用的ip4和ip6 SPF机制。另外,检查你是否可以合并任何地址范围。
- 你可以创建子域来存储 SPF 信息。这可以用'_spf.domain.com'来完成。这对大型 IT 公司来说是值得推荐的,因为他们有多个 IP 地址可以添加到一个 SPF 记录中。
- 如何在 Office 365 中设置 DMARC?分步指南- 2024 年 5 月 6 日
- SMTP 雅虎错误代码解释- 2024 年 5 月 1 日
- SPF 软失效与硬失效:有什么区别?- 2024 年 4 月 26 日