发件人策略框架 (SPF) 是一种电子邮件身份验证标准,用于防止垃圾邮件发送者发送看似来自欺骗域的邮件。它还有助于确保电子邮件正确传递 - 而不会发送到收件人的垃圾邮件箱。
SPF 的工作原理是允许组织指定有权从其域发送电子邮件的邮件服务器。这可以防止任何人使用称为电子邮件欺骗的恶意进程来冒充组织。
重要的是要记住,组织通常有多个域。但是,这些域中只有一部分用于发送电子邮件。因此,组织必须利用身份验证来防止网络犯罪分子利用其他域发送看似来自他们的电子邮件。
任何组织都可以利用 SPF 在域名服务 (DNS) 记录中发布授权邮件服务器,这允许收件人验证从他们那里收到的任何电子邮件的来源。
为了允许这样做,网站
管理员会在 DNS TXT 记录中发布 SPF 信息(授权邮件服务器列表)。然后,接收电子邮件的服务器使用 SPF 记录检查来检查该 SPF 记录,该检查会查找 SPF 记录以验证发件人的 IP 地址。
什么是 SPF 记录?
SPF 记录是网站管理员以 TXT 记录的形式发布到 DNS 的授权邮件服务器列表。此记录允许任何收件人使用诊断工具(称为 SPF 记录检查)来验证电子邮件的来源。设置 SPF 记录相对容易,它可以保护组织免受电子邮件欺骗攻击。
一旦设置了 SPF 记录,任何收到电子邮件的人都可以检查它是否来自已授权的服务器。如果电子邮件来自未经授权的域,则服务器可以将该邮件视为垃圾邮件,并通过退回或拒绝它来排除它。
SPF 如何防范垃圾邮件?
拥有 SPF 策略允许收件人电子邮件服务器验证电子邮件的来源。因此,收件人可以检查电子邮件是否真的来自它声称的发件人。
SPF 身份验证可防止电子邮件欺骗——网络犯罪分子利用的一种技术来发送看似来自其他人(被欺骗的组织)的网络钓鱼电子邮件和垃圾邮件。
SPF 通过检查信封发件人的 IP 地址与声明的发送域来防止发件人地址伪造。如果 SPF 检查因管理员未授权来自该域的电子邮件而失败,则该电子邮件将被视为垃圾邮件,并被退回或拒绝。
当 SPF 失败时会发生什么?
当 SPF 记录检查失败时,收件人会被告知发件人无权从该域发送电子邮件。然后,电子邮件服务器可以拒绝或退回邮件。
在 SPF 记录检查进行的诊断过程中,分析可能会导致几种不同的消息之一。我们在下面分解了这些限定词来解释它们:
- 通过。SPF 记录将发件人指定为有权发送。
- 失败。SPF 记录将发件人指定为不允许发送。
- 无。无法解析 DNS 中的域名和/或无法找到域的 SPF 记录。
- 中立。SPF 记录声明它没有断言 IP 地址是否已授权。SPF neutral 可以解释为“通过”或“失败”,具体取决于服务器的设置方式,但通常默认为失败。
- 软故障。这是一条弱失败消息,表明发件人可能未获得授权,当域未设置导致硬失败的强 SPF 策略时,就会出现此消息。
- Temperror。SPF 检查遇到暂时性错误,通常是由 DNS 超时引起的。只要正确设置了客户端上的重试策略,通常会导致稍后重试。
- Permerror。SPF 检查无法验证该域的已发布 SPF 记录,因为在域上发现了多个 SPF 记录,SPF 记录写入错误,SPF 检查中涉及的 DNS 查找次数超过 10 次,SPF 检查中涉及的无效查找次数超过 2 次。
SPF 记录检查的局限性
SPF 检查根据 Return-Path 值而不是 From 标头进行验证,以确定原始服务器的真实性。Return-Path 是收件人邮件服务器在出现问题(例如退回电子邮件)时用于与发件人通信的地址。
这样做的问题是,如果电子邮件被送达,电子邮件收件人将在其电子邮件客户端中看到虚假的发件人地址。不幸的是,即使电子邮件未通过 SPF 检查,有时也会发生这种情况,具体取决于接收 ISP(做出最终决定)。此后,DMARC修复了SPF的缺点,DMARC是一个较新的标准,通过验证From标头来解决该问题。
尽管有缺点,但最好为您的电子邮件设置 SPF 策略,因为它会产生额外的信任信号,并增加电子邮件通过 ISP 检查成功送达而不是被拒绝或退回的机会。
如何检查域的 SPF 记录
如果要检查和读取域的发件人策略框架记录,好消息是它实际上非常简单。SPF TXT 记录存储在 DNS 数据库中,并与 DNS 查找信息捆绑在一起,以便任何人都可以访问它。因此,您可以从命令提示符窗口内手动检查它:
- 启动命令提示符(开始>运行 > cmd)
- 键入“nslookup -type=txt”,后跟一个空格,然后输入域名。例如:“nslookup -type=txt google.cn”
- 如果 SPF 记录已附加到 DNS,则结果将如下所示:“v=spf1 ip4:207.171.160.0/19 -all”
- 如果没有结果或没有“v=spf1”属性,则检索 SPF 记录时出现问题,或者不存在 SPF 记录。
什么是DKIM?
域名密钥识别邮件 (DKIM) 是另一种电子邮件身份验证标准,对于保护域免受欺骗以及电子邮件收件人免受垃圾邮件和网络钓鱼电子邮件的侵害至关重要。许多组织可能没有意识到,为了充分优化他们的电子邮件安全,他们应该利用SPF、DKIM和DMARC。
DKIM的功能是确保电子邮件的内容没有被泄露,并且可以被收件人信任。它最初于 2007 年推出,此后已多次更新。
什么是DMARC?
基于域的消息身份验证、报告和一致性 (DMARC) 是一种有用的协议,它将 SPF 和 DKIM 组合到一个一致的策略框架中。此外,它还通过将发件人的域名与“发件人”标头中列出的内容链接来提高安全性。
我的组织应使用哪种电子邮件身份验证协议?
优化组织电子邮件安全的唯一方法是利用所有这三个重要协议。它们的目的略有不同,一起使用时可提供最高级别的安全性。
诚然,为您的所有域设置这些标准可能很耗时,但如果您想避免导致网络攻击的复杂网络钓鱼攻击,这一点非常重要。
一般来说,从设置 SPF 记录开始总是一个好主意——毕竟这是最直接的。之后,你应该寻求实现DKIM,然后是DMARC。
通过利用这三种协议,您将确保邮件不容易被伪造,并且您的收件箱不会收到可能导致严重后果的狡猾欺骗电子邮件,例如恶意软件感染和数据盗窃。
