反垃圾邮件技术之SPF介绍

SPF 是发送方策略框架 (Sender Policy Framework) 的缩写，希望能成为一个防伪标准，来防止伪造邮件地址。这篇文章对 SPF 进行了简单介绍，并介绍了它的一些优点和不足。

SPF 诞生于2003年，它的缔造者 Meng Weng Wong 结合了反向 MX 域名解析(Reverse MX) 和 DMP (Designated Mailer Protocol) 的优点而付予了 SPF 生命。

SPF 使用电子邮件头部信息中的 return-path (或 MAIL FROM) 字段，因为所有的 MTA 都可以处理包含这些字段的邮件。不过微软也提出了一种叫做 PRA (Purported Responsible Address)的方法。PRA 对应于 MUA (比如 thunderbird) 使用的终端用户的地址。

这样，当我们把 SPF 和 PRA 结合起来的时候，就可以得到所谓的“Sender ID”了。Sender ID 允许电子邮件的接收者通过检查 MAIL FROM 和 PRA 来验证邮件的合法性。有的说法认为，MAIL FROM 检查由 MTA 进行，而 PRA 检查由 MUA 来完成。

事实上，SPF 需要 DNS 以某种特定的方式来工作。也就是必须提供所谓的“反向 MX 解析”记录，这些记录用来解析来自给定域名的邮件对应的发送主机。这和目前使用的 MX 记录不通，后者是用来解析给定域名对应的接收邮件的主机的。

怎么使用SPF？

要想用 SPF 来保护你的系统，你必须：

配置 DNS，添加 TXT 记录，用于容纳 SPF 问询的信息。
配置你的电子邮件系统(qmail, sendmail)使用 SPF，也就是说对服务器上每封进入的邮件进行验证。

SPF 的 TXT 记录

SPF 记录包含在一个 TXT 记录之中，格式如下：

		v=spf1 [[pre] type [ext] ] ... [mod]

每个参数的含义如下表所示：

参数

描述

v=spf1

SPF 的版本。如果使用 Sender ID 的话，这个字段就应该是 v=spf2

pre

定义匹配时的返回值。

可能的返回值包括：

返回值	描述
+	缺省值。在测试完成的时候表示通过。
-	表示测试失败。这个值通常是 -all，表示没有其他任何匹配发生。
~	表示软失败，通常表示测试没有完成。
?	表示不置可否。这个值也通常在测试没有完成的时候使用。

type

定义使用的确认测试的类型。

可能的值包括：

候选值	描述
include	包含一个给定的域名的测试以 include:domain 的形式书写。
all	终止测试序列。比如，如果选项是 -all，那么到达这条记录也就意味着测试失败了。但是如果无法确定，可以使用"?all"来表示，这样，测试将被接受。
ip4	使用 IPv4 进行验证。这个可以以 ip4:ipv4 或 ip4:ipv4/cidr 的形式使用。建议使用这个参数，以减少域名服务器的负荷。
ip6	使用 IPv6 进行验证。
a	使用一个域名进行验证。这将引起对域名服务器进行一次 A RR 查询。可以按照 a:domain, a:domain/cidr 或 a/cidr 的形式来使用。
mx	使用 DNS MX RR 进行验证。 MX RR 定义了收信的 MTA，这可能和发信的 MTA 是不同的，这种情况基于 mx 的测试将会失败。可以用 mx:domain, mx:domain/cidr 或 mx/cidr 这些形式进行 mx 验证。
ptr	使用域名服务器的 PTR RR 进行验证。这时，SPF 使用 PTR RR 和反向图进行查询。如果返回的主机名位于同一个域名之内，就验证通过了。这个参数的写法是 ptr:domain
exist	验证域名的存在性。可以写成 exist:domain 的形式。

ext

定义对 type 的可选扩展。如果没有这个字段，那么仅使用单个记录进行问询。

mod

这是最后的类型指示，作为记录的一个修正值。

修正值	描述
redirect	重定向查询，使用给出的域名的 SPF 记录。以 redirect=domain 的方式使用。
exp	这条记录必须是最后一条，允许给出一条定制的失败消息。 IN TXT "v=spf1 mx -all exp=getlost.example.com" getlost IN TXT "You are not authorized to send mail for the domain"