防止垃圾email的spf的DNS記錄

目前垃圾郵件多如牛毛，與之對應(yīng)的防止方法層出不窮，黑名單，白名單，關(guān)鍵字過濾，特征分析，專門網(wǎng)站提供特征，還有這個SPF。

這個SPF是啥呢，全稱為 Sender Policy Framework

是DNS記錄配合的一個協(xié)議。

目前的DNS服務(wù)器大多不支持SPF記錄，我還沒看見那個DNS服務(wù)支持的，那么為了解決這個問題，都是使用該域的txt記錄。

SPF記錄定義了幾種方式

+ 通過

- 拒絕

~ 軟拒絕

？ 不置可否，也就是不做判斷

來看一個例子

synkbit.com     text =

        "v=spf1 +a +mx +a:vps1038566.cp.hosting-srv.net -all"

spf1 是版本1 ，如果使用 Sender ID 的話，這個字段就應(yīng)該是 v=spf2，那個東西是微軟搞出來的。+a 是a記錄通過，這里是指synkbit.com這個域名的a記錄所對應(yīng)的IP地址，下面是+mx，是synkbit.com這個域名的mx記錄，所對應(yīng)的IP地址，+a:vps1038566.cp.hosting-srv.net，就是直接指定一個域名vps1038566.cp.hosting-srv.net所對應(yīng)的IP地址，從這些地址發(fā)出來的信才是合法的，然后是最后一句-all，-是拒絕，-all就是拒絕所有的，就和我們做防火墻策略的時候，前面都是許可，最后跟一條拒絕所有一樣。但是-all后面還是可以跟東西的，exp，如果出現(xiàn)必須是最后一項，

exp=getlost.example.com，exp指定的域名，是為了給拒絕提供一個拒絕信息，這個信息就從getlost.example.com域名的DNS的text記錄里找，所以做完了exp記錄還沒完，需要添加getlost的txt記錄，比如"You are not authorized to send mail for the domain"，明白告訴被拒絕的對象，是什么原因拒絕收你的信。

過濾選項可以是a記錄，mx記錄，這些是依賴DNS的，當(dāng)然可以直接指定IP地址，ip4:192.168.1.1，當(dāng)然是支持prefix的，ip4:192.168.1.0/24，也支持IPv6，ipv6:111::11，當(dāng)然也支持prefix。

還有測試項目include，比如v=spf1 include:spf1.hichina.mail.aliyun.com -all，這就是像一個別名一樣，配置的內(nèi)容到spf1.hichina.mail.aliyun.com去找，再去查詢DNS的txt的spf1.hichina.mail.aliyun.com 記錄，一般出現(xiàn)在虛擬共有主機，獨立IP主機不會用。

還有測試項目exists，這個我覺得就是雞肋，沒啥用處，可以寫成 exist:domain 的形式，就是看看這個域名是否存在A記錄，這似乎對放垃圾郵件沒啥用處吧。

還有測試項目ptr，可以寫成 ptr:domain 的形式熟悉DNS記錄的就知道，這個是非常效率資源的一種方式，官方都不推薦使用，還是算了吧。

還有redirect，格式為redirect=<domain>，將用給定域名的 SPF 記錄替換當(dāng)前記錄，真不知道有了前面那么多選擇，這個還有啥用處。

官方地址：http://www.openspf.org/

RFC4408協(xié)議 http://www.openspf.org/RFC_4408