DNS設置SPF記錄全攻略

郵箱域名的spf記錄(郵箱反向解析DNS記錄)添加方法(常用的域名提供商的解析方法）
當您使用中網(wǎng)科技旗下（中國萬維網(wǎng) WWW.C3W.CN ）自帶的DNS時,就可以使用這個功能；
域名管理下面的mydns中的txt記錄就是spf記錄；加入代碼 v=spf1 include:spf.c3w.cn -all 請將c3w.cn改成您自己的域名。

具體的設置辦法也可以看網(wǎng)上的關于spf的資料。

什么是SPF

就是Sender Policy Framework。SPF可以防止別人偽造你來發(fā)郵件，是一個反偽造性郵件的解決方案。當你定義了你的domain name的SPF記錄之后，接收郵件方會根據(jù)你的SPF記錄來確定連接過來的IP地址是否被包含在SPF記錄里面，如果在，則認為是一封正確的郵件，否則則認為是一封偽造的郵件。關于更詳細的信息請參考RFC4408（http://www.ietf.org/rfc/rfc4408.txt）

如何增加SPF記錄

非常簡單，在DNS里面添加TXT記錄即可。登陸http://www.openspf.org/在里面輸入你的域名，點擊Begin，然后會自動得到你域名的一些相關信息。

a 你域名的A記錄，一般選擇yes，因為他有可能發(fā)出郵件。

mx 一般也是yes，MX服務器會有退信等。

ptr 選擇no，官方建議的。

a： 有沒有其他的二級域名？比如：mail.abc.com和www不在一臺server上，則填入mail.abc.com。否則清空。

mx: 一般不會再有其他的mx記錄了。

ip4： 你還有沒有其他的ip發(fā)信？可能你的smtp服務器是獨立出來的，那么就填入你的IP地址或者網(wǎng)段。

include: 如果有可能通過一個isp來發(fā)信，這個有自己的SPF記錄，則填入這個isp的域名，比如：hichina.com

~all: 意思是除了上面的，其他的都不認可。當然是yes了。

好了，點擊Continue…..

自動生成了一條SPF記錄，比如abc.com的是

v=spf1 a mx ~all

并且在下面告訴你如何在你的bind里面添加一條

abc.com. IN TXT “v=spf1 a mx ~all”

加入你的bind，然后ndc reload即可。

檢查一下：

dig -t txt extmail.org
如果您的域名是由中網(wǎng)旗下中國萬維網(wǎng)WWW.C3W.CN 的DNS務器進行解析的，可以在域名管理內(nèi)的MYDNS內(nèi)設置。設置完畢后您即可以通過使用spf策略進行垃圾郵件驗證了
用戶在使用企業(yè)郵箱過程中可能會遇到如下問題，

# 給外域發(fā)信收到退信，退信中包含“SPF”關鍵字。
# 在確認沒有給外域發(fā)信的情況下，外域收到了來自偽造該域郵件地址的郵件。

這是因為用戶域名沒有添加TXT記錄或者添加的TXT記錄錯誤造成。 SPF記錄可以防止別人偽造來發(fā)郵件，當定義了域名的SPF記錄之后，接收郵件方會根據(jù)SPF記錄來確定連接過來的IP地址是否被包含在SPF記錄里面，如果在，則認為是一封正確的郵件，否則則認為是一封偽造的郵件。對互連互通的影響主要表現(xiàn)在郵件接收方需要spf記錄檢測，如果沒有的話，有可能不接收郵件。
為了避免這種情況發(fā)生，請您的企業(yè)郵箱管理員務必聯(lián)系域名所屬注冊商添加TXT記錄，TXT記錄值為：v=spf1 include:spf.263xmail.com ~all
>>如何查詢域名的SPF記錄？

先切換到DOS命令行狀態(tài)（在點擊Windows左下角的“開始”菜單選擇運行，輸入cmd，點擊確定），在DOS命令下輸入nslookup，然后按回車鍵，再輸入set q=txt，再按回車鍵，再輸入域名，按回車鍵后即可顯示域名目前的TXT記錄。 例如：
C:\>nslookup
Default Server: ns.capital-online.com.cn
Address: 211.150.125.210
> set type=txt
> net263.com
Server: ns.capital-online.com.cn
Address: 211.150.125.210
net263.com text =
“v=spf1 include:spf.263xmail.com ~all”
net263.com nameserver = ns.capital-online.com.cn
net263.com nameserver = nsb.capital-online.com.cn
ns.capital-online.com.cn internet address = 211.150.125.210
nsb.capital-online.com.cn internet address = 211.150.124.82
>

>>如何添加SPF記錄？

SPF記錄添加方法（請確認您的域名注冊商）
中國頻道 中國萬網(wǎng)
新網(wǎng)互聯(lián) 新網(wǎng)
中企動力、廣東互易
中資源、新網(wǎng)、時代互聯(lián)、商務中國、其他域名服務提供商

1. 中國頻道
登錄中國頻道的域名管理平臺（通過http://www.dns-diy.com登錄）后，需要在“IP地址/主機名”的位置添加直接輸入v=spf1 include:spf.263xmail.com ~all，不需要加”"，然后直接點擊“新增”按鈕即可。

添加SPF記錄

2. 中國萬網(wǎng)
在萬網(wǎng)的域名管理平臺（通過http://diy.hichina.com登錄），點擊左側的“DNS記錄報告”按鈕，在”TXT(正文字串)”中“正文內(nèi)容”的位置直接輸入”v=spf1 include:spf.263xmail.com ~all”，必須帶上”"號，然后點擊“創(chuàng)建”按鈕即可。

添加SPF記錄

3. 新網(wǎng)互聯(lián)
在新網(wǎng)互聯(lián)的域名管理平臺（登錄到 http://www.dns.com.cn網(wǎng)站，點擊服務中心欄目中的“ 域名管理”鏈接，輸入域名及域名的管理密碼，然后點擊登錄），點擊“MyDNS功能”進入到MYDNS后，選擇“到專業(yè)版”，在純域名的列表中選擇添加記錄的類型為TXT，順序為0，在指向中輸入v=spf1 include:spf.263xmail.com ~all，不需要加”"。

添加SPF記錄

4. 新網(wǎng)
登錄新網(wǎng)的域名管理平臺（http://www.xinnet.com網(wǎng)站），選擇添加記錄的類型為TXT，在內(nèi)容中輸入v=spf1 include:spf.263xmail.com ~all。

添加SPF記錄

5. 中企動力、廣東互易
可以添加TXT記錄，請用戶直接聯(lián)系自己的域名服務商添加。

6. 中資源、新網(wǎng)、時代互聯(lián)、商務中國、以及其他域名服務提供商
上述幾家域名服務提供商暫不支持TXT記錄的添加，對于域名DNS是這幾家公司的，用戶可按如下方法進行操作：
1）聯(lián)系域名的DNS服務提供商將域名的所有解析記錄導出。
2）將導出的解析記錄提供給263客服，先由263客服聯(lián)系技術工程師將用戶原記錄解析添加到263公司的DNS服務器里面，同時為用戶添加一條TXT記錄。
3）待263客服確認已經(jīng)將解析添加完畢后，用戶再聯(lián)系域名的服務提供商，將域名的DNS更改以下這組DNS: ns.263idc.net、nsb.263idc.net
如用戶DNS為其他服務商，且與域名服務提供商確認無法添加TXT記錄的，也可按如上方法處理。

轉(zhuǎn)載 SPF詳解 收藏

什么是SPF？

這里的SPF不是防曬指數(shù)，而是指Sender Policy Framework。翻譯過來就是發(fā)信者策略架構，比較拗口，通常都直接稱為SPF。
SPF是跟DNS相關的一項技術，它的內(nèi)容寫在DNS的txt類型的記錄里面。mx記錄的作用是給寄信者指明某個域名的郵件服務器有哪些。SPF的作用跟mx相反，它向收信者表明，哪些郵件服務器是經(jīng)過某個域名認可會發(fā)送郵件的。
由定義可以看出，SPF的作用主要是反垃圾郵件，主要針對那些發(fā)信人偽造域名的垃圾郵件。
例如：當coremail郵件服務器收到自稱發(fā)件人是spam@gmail.com的郵件，那么到底它是不是真的gmail.com的郵件服務器發(fā)過來的呢？那么我們可以查詢gmail.com的SPF記錄。

關于SPF的一些知識

當前市場上很多郵件系統(tǒng)和供應商都已經(jīng)開始支持SPF，比如163.com，那么該如何得到163.com的SPF值呢？在CMD環(huán)境中，鍵入：
nslookup
set type=txt
163.com
就會得到以下的結果：
163.com text =”v=spf1 include:spf.163.com -all”
其中：=”v=spf1 include:spf.163.com -all” 就是163.com的SPF值。這個數(shù)據(jù)中說明了163.com有效合法服務器都有哪些！
那么我們該如何創(chuàng)建呢？
進入域名解析創(chuàng)建一條TXT記錄填寫正確的SPF數(shù)據(jù)就可以生效了。
在MDaemon7.x中啟用SPF功能，并作適當調(diào)整就可以了。
另外8.x版本新增加了一個DomainKey簽名，不過MDaemon已經(jīng)自動幫你創(chuàng)建。

另外給大家一個網(wǎng)址，很實用
http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/
這個網(wǎng)址是一個創(chuàng)建SenderID的向?qū)ЬW(wǎng)站，他能幫你創(chuàng)建一個SenderID值。
SenderID （寄件人身份識別技術）。
SPF（SenderPolicyFramework，寄件人政策架構）。
SenderID技術與SPF一樣，都是一種以IP（互聯(lián)網(wǎng)協(xié)定）位址認證電子郵件寄件人身份的技術。

SPF 簡介

SPF 是發(fā)送方策略框架 (Sender Policy Framework) 的縮寫，希望能成為一個防偽標準，來防止偽造郵件地址。這篇文章對 SPF 進行了簡單介紹，并介紹了它的一些優(yōu)點和不足。
SPF 誕生于2003年，它的締造者 Meng Weng Wong 結合了反向 MX 域名解析(Reverse MX) 和 DMP (Designated Mailer Protocol) 的優(yōu)點而付予了 SPF 生命。
SPF 使用電子郵件頭部信息中的 return-path (或 MAIL FROM) 字段，因為所有的 MTA 都可以處理包含這些字段的郵件。不過微軟也提出了一種叫做 PRA (Purported Responsible Address)的方法。PRA 對應于 MUA (比如 thunderbird) 使用的終端用戶的地址。
這樣，當我們把 SPF 和 PRA 結合起來的時候，就可以得到所謂的“Sender ID”了。Sender ID 允許電子郵件的接收者通過檢查 MAIL FROM 和 PRA 來驗證郵件的合法性。有的說法認為，MAIL FROM 檢查由 MTA 進行，而 PRA 檢查由 MUA 來完成。
事實上，SPF 需要 DNS 以某種特定的方式來工作。也就是必須提供所謂的“反向 MX 解析”記錄，這些記錄用來解析來自給定域名的郵件對應的發(fā)送主機。這和目前使用的 MX 記錄不通，后者是用來解析給定域名對應的接收郵件的主機的。
SPF 有哪些需求？

要想用 SPF 來保護你的系統(tǒng)，你必須：

1. 配置 DNS，添加 TXT 記錄，用于容納 SPF 問詢的信息。
2. 配置你的電子郵件系統(tǒng)(qmail, sendmail)使用 SPF，也就是說對服務器上每封進入的郵件進行驗證。

上述第一步要在郵件服務器所屬的域名服務器上進行調(diào)整，下一節(jié)中，我們將討論這個記錄的細節(jié)內(nèi)容。你首先需要確定的一點是你的域名服務器(bind，djbdns)所使用的語法。但別擔心，SPF 的官方網(wǎng)站提供了一個很好用的向?qū)碇笇闳绾翁砑佑涗洝?
SPF 的 TXT 記錄

SPF 記錄包含在一個 TXT 記錄之中，格式如下：

v=spf1 [[pre] type [ext] ] … [mod]

每個參數(shù)的含義如下表所示：
參數(shù) 描述
v=spf1 SPF 的版本。如果使用 Sender ID 的話，這個字段就應該是 v=spf2
pre 定義匹配時的返回值。

可能的返回值包括：
返回值 描述
+ 缺省值。在測試完成的時候表示通過。
- 表示測試失敗。這個值通常是 -all，表示沒有其他任何匹配發(fā)生。
~ 表示軟失敗，通常表示測試沒有完成。
? 表示不置可否。這個值也通常在測試沒有完成的時候使用。
type 定義使用的確認測試的類型。

可能的值包括：
候選值 描述
include 包含一個給定的域名的測試
以 include:domain 的形式書寫。
all 終止測試序列。
比如，如果選項是 -all，那么到達這條記錄也就意味著測試失敗了。但是如果無法確定，可以使用”?all”來表示，這樣，測試將被接受。
ip4 使用 IPv4 進行驗證。
這個可以以 ip4:ipv4 或 ip4:ipv4/cidr 的形式使用。建議使用這個參數(shù)，以減少域名服務器的負荷。
ip6 使用 IPv6 進行驗證。
a 使用一個域名進行驗證。
這將引起對域名服務器進行一次 A RR 查詢。
可以按照 a:domain, a:domain/cidr 或 a/cidr 的形式來使用。
mx 使用 DNS MX RR 進行驗證。
MX RR 定義了收信的 MTA，這可能和發(fā)信的 MTA 是不同的，這種情況基于 mx 的測試將會失敗。
可以用 mx:domain, mx:domain/cidr 或 mx/cidr 這些形式進行 mx 驗證。
ptr 使用域名服務器的 PTR RR 進行驗證。
這時，SPF 使用 PTR RR 和反向圖進行查詢。如果返回的主機名位于同一個域名之內(nèi)，就驗證通過了。
這個參數(shù)的寫法是 ptr:domain
exist 驗證域名的存在性。
可以寫成 exist:domain 的形式。
ext 定義對 type 的可選擴展。如果沒有這個字段，那么僅使用單個記錄進行問詢。
mod 這是最后的類型指示，作為記錄的一個修正值。

修正值 描述
redirect 重定向查詢，使用給出的域名的 SPF 記錄。
以 redirect=domain 的方式使用。
exp 這條記錄必須是最后一條，允許給出一條定制的失敗消息。

IN TXT “v=spf1 mx -all exp=getlost.example.com”

getlost IN TXT “You are not authorized to send mail for the domain”

嘿！我是 ISP

ISP 實施 SPF 可能對于他們處于漫游狀態(tài)(roaming)的用戶帶來一些麻煩，當這些用戶習慣使用 POP-before-Relay 這樣的方式處理郵件，而不是 SASL SMTP 的時候問題就會出現(xiàn)。

嗯，如果你是一個被垃圾郵件、地址欺騙所困擾的 ISP 的話，你就必須考慮你的郵件策略、開始使用 SPF 了。

這里是你可以考慮的幾個步驟。

1. 首先設置你的 MTA 使用 SASL，比如，你可以在端口 25 和 587 使用它。
2. 告訴你的用戶你已經(jīng)使用了這個策略(spf.pobox.com 給出了一個通知的例子，參見參考文獻)。
3. 給你的用戶一個寬限期，也就是說，把你的 SPF 記錄加入到域名服務器之中，但使用“軟失敗”(~all)而不是“失敗”(-all)。

這樣，你就保護了你的服務器、你的客戶和整個世界免受垃圾郵件之類的困擾了。

SPF 的官方站點上有很多信息，還等什么呢？
有什么需要擔心的?

SPF 是一個對于欺騙的完美保護。但它有一個局限：傳統(tǒng)的郵件轉(zhuǎn)發(fā)方式不再有效了。你不能僅僅從你的 MTA 接受郵件并簡單地重新發(fā)送它了。你必須重寫發(fā)送地址。常見的 MTA 的補丁可以在 SPF 的網(wǎng)站找到。換句話說，如果你把 SPF 記錄加入到了域名服務器，你就必須更新你的 MTA 來進行發(fā)送地址改寫，即使你還沒有對 SPF 記錄進行檢查。
結論

你可能覺得 SPF 的實施有點難以理解。不過這確實不算復雜，而且還有一個不錯的向?qū)韼湍阃瓿蛇@個轉(zhuǎn)換(參見參考文獻)。

如果你被垃圾郵件所困擾的話，SPF 將可以幫助你，保護你的域名免受偽造郵件地址的影響，你所要做的僅僅是在域名服務器上添加一行文本并配置你的電子郵件服務器而已。

SPF 的優(yōu)點有很多。不過，像我對一些人所說的，這不是一夜之間就可以達到的，SPF 的好處將通過日積月累來表現(xiàn)出來，當其他人都使用它的時候就能明顯地看到了。

我也提到了 Sender ID，這和 SPF 有關，但我沒有去解釋它?？赡苣阋呀?jīng)知道原因了，微軟的策略一向如此—軟件專利。在參考文獻中，你可以看到 openspf.org 對于 Sender ID 的立場聲明。

下一篇文章中，我們將討論 MTA 的設置，我們到時再見。

我僅僅希望給你一個 SPF 的簡短說明。如果你對此感興趣，想要了解更多信息的話，你可以看看參考文獻，本文的內(nèi)容就來自于此。

解決MT發(fā)送郵件通知給GMail遇到的SPF校驗問題

blog系統(tǒng)有一個很有用的功能就是郵件發(fā)送留言通知：但是發(fā)送到GMail郵箱的通知信十有八九都會被標記為垃圾郵件。原因就是 SPF：Sender Policy Framework (SPF) 要做發(fā)送人校驗，而MT設置的發(fā)信人是留言者的郵件地址，而退信地址是MT系統(tǒng)所在服務器的郵箱。
Received-SPF: neutral (google.com: 60.195.249.163 is neither permitted nor denied by domain of apache@localhost.localdomain)
我的WEB服務器上沒有任何郵件系統(tǒng)。所以無法通過SPF校驗，有嚴格的SPF校驗這也是GMail相對Spam比較少的原因。

如何解決呢：
1 增加郵件系統(tǒng)，設置MX記錄等，需要學不少東西；
2 簡單的就是先發(fā)到不支持SPF校驗的郵件系統(tǒng)上，然后再轉(zhuǎn)發(fā)給GMail，這時候的退信地址已經(jīng)轉(zhuǎn)發(fā)郵箱了：
Received-SPF: pass (google.com: domain of #####@yeah.net designates 60.12.227.137 as permitted sender)

什么是SPF？
SPF 是發(fā)送方策略框架 (Sender Policy Framework) 的縮寫，正在逐步成為一個防偽標準，來防止偽造郵件地址。
您的域管理員或托管公司僅需在域名系統(tǒng) (DNS) 中發(fā)布 SPF 記錄。這些簡單的文本記錄標識了經(jīng)過授權的電子郵件發(fā)送服務器（通過列出這些服務器的 IP 地址）。電子郵件接收系統(tǒng)會檢查郵件是否來自經(jīng)過正確授權的電子郵件發(fā)送服務器。檢查步驟如下，發(fā)送人向接收方發(fā)送一封電子郵件后，郵件接收服務器接收電子郵件并執(zhí)行如下操作：
? 檢查哪一個域聲稱發(fā)送了該郵件并檢查該域的 SPF 記錄的 DNS。
? 確定發(fā)送服務器的 IP 地址是否與 SPF 記錄中的某個已發(fā)布 IP 地址相匹配。
? 對電子郵件進行打分：如果 IP 地址匹配，則郵件通過身份驗證并獲得一個正分。如果 IP 地址不匹配，則郵件無法通過身份驗證并獲得一個負分。然后，對現(xiàn)有的防垃圾郵件篩選策略和啟發(fā)式篩選應用這些結果。

如何給郵件服務器增加SPF設置，請參考chicheng的文章：為你的mail server增加SPF記錄

什么是SPF
就是Sender Policy Framework。SPF可以防止別人偽造你來發(fā)郵件，是一個反偽造性郵件的解決方案。當你定義了你的domain name的SPF記錄之后，接收郵件方會根據(jù)你的SPF記錄來確定連接過來的IP地址是否被包含在SPF記錄里面，如果在，則認為是一封正確的郵件，否則則認為是一封偽造的郵件。關于更詳細的信息請參考RFC4408（http://www.ietf.org/rfc/rfc4408.txt
如何增加SPF記錄
非常簡單，在DNS里面添加TXT記錄即可。登陸http://www.openspf.org/wizard.html 在里面輸入你的域名，點擊Begin，然后會自動得到你域名的一些相關信息。
a 你域名的A記錄，一般選擇yes，因為他有可能發(fā)出郵件。
mx 一般也是yes，MX服務器會有退信等。
ptr 選擇no，官方建議的。

a： 有沒有其他的二級域名？比如：bbs.extmail.org和www不在一臺server上，則填入bbs.extmail.org。否則清空。
mx: 一般不會再有其他的mx記錄了。
ip4： 你還有沒有其他的ip發(fā)信？可能你的smtp服務器是獨立出來的，那么就填入你的IP地址或者網(wǎng)段。
include: 如果有可能通過一個isp來發(fā)信，這個有自己的SPF記錄，則填入這個isp的域名，比如：sina.com
~all: 意思是除了上面的，其他的都不認可。當然是yes了。

好了，點擊Continue…..
自動生成了一條SPF記錄，比如extmail.org的是
v=spf1 a mx ~all
并且在下面告訴你如何在你的bind里面添加一條
extmail.org. IN TXT “v=spf1 a mx ~all”

加入你的bind，然后ndc reload即可。
檢查一下：
dig -t txt extmail.org