DNS设置SPF记录全攻略

邮箱域名的spf记录(邮箱反向解析DNS记录)添加方法(经常使用的域名提供商的解析方法）
当您使用中网科技旗下（中国万维网 WWW.C3W.CN ）自带的DNS时,就可使用这个功能；
域名管理下面的mydns中的txt记录就是spf记录；加入代码 v=spf1 include:spf.c3w.cn -all 请将c3w.cn改为您本身的域名。

具体的设置办法也能够看网上的关于spf的资料。

什么是SPF

就是Sender Policy Framework。SPF能够防止别人伪造你来发邮件，是一个反伪造性邮件的解决方案。当你定义了你的domain name的SPF记录以后，接收邮件方会根据你的SPF记录来肯定链接过来的IP地址是否被包含在SPF记录里面，若是在，则认为是一封正确的邮件，不然则认为是一封伪造的邮件。关于更详细的信息请参考RFC4408（http://www.ietf.org/rfc/rfc4408.txt）

如何增长SPF记录

很是简单，在DNS里面添加TXT记录便可。登录http://www.openspf.org/在里面输入你的域名，点击Begin，而后会自动获得你域名的一些相关信息。

a 你域名的A记录，通常选择yes，由于他有可能发出邮件。

mx 通常也是yes，MX服务器会有退信等。

ptr 选择no，官方建议的。

a： 有没有其余的二级域名？好比：mail.abc.com和www不在一台server上，则填入mail.abc.com。不然清空。

mx: 通常不会再有其余的mx记录了。

ip4： 你还有没有其余的ip发信？可能你的smtp服务器是独立出来的，那么就填入你的IP地址或者网段。

include: 若是有可能经过一个isp来发信，这个有本身的SPF记录，则填入这个isp的域名，好比：hichina.com

~all: 意思是除了上面的，其余的都不承认。固然是yes了。

好了，点击Continue…..

自动生成了一条SPF记录，好比abc.com的是

v=spf1 a mx ~all

而且在下面告诉你如何在你的bind里面添加一条

abc.com. IN TXT “v=spf1 a mx ~all”

加入你的bind，而后ndc reload便可。

检查一下：

dig -t txt extmail.org
若是您的域名是由中网旗下中国万维网WWW.C3W.CN 的DNS务器进行解析的，能够在域名管理内的MYDNS内设置。设置完毕后您便可以经过使用spf策略进行垃圾邮件验证了
用户在使用企业邮箱过程当中可能会遇到以下问题，

# 给外域发信收到退信，退信中包含“SPF”关键字。
# 在确认没有给外域发信的状况下，外域收到了来自伪造该域邮件地址的邮件。

这是由于用户域名没有添加TXT记录或者添加的TXT记录错误形成。 SPF记录能够防止别人伪造来发邮件，当定义了域名的SPF记录以后，接收邮件方会根据SPF记录来肯定链接过来的IP地址是否被包含在SPF记录里面，若是在，则认为是一封正确的邮件，不然则认为是一封伪造的邮件。对互连互通的影响主要表如今邮件接收方须要spf记录检测，若是没有的话，有可能不接收邮件。
为了不这种状况发生，请您的企业邮箱管理员务必联系域名所属注册商添加TXT记录，TXT记录值为：v=spf1 include:spf.263xmail.com ~all
>>如何查询域名的SPF记录？

先切换到DOS命令行状态（在点击Windows左下角的“开始”菜单选择运行，输入cmd，点击肯定），在DOS命令下输入nslookup，而后按回车键，再输入set q=txt，再按回车键，再输入域名，按回车键后便可显示域名目前的TXT记录。 例如：
C:\>nslookup
Default Server: ns.capital-online.com.cn
Address: 211.150.125.210
> set type=txt
> net263.com
Server: ns.capital-online.com.cn
Address: 211.150.125.210
net263.com text =
“v=spf1 include:spf.263xmail.com ~all”
net263.com nameserver = ns.capital-online.com.cn
net263.com nameserver = nsb.capital-online.com.cn
ns.capital-online.com.cn internet address = 211.150.125.210
nsb.capital-online.com.cn internet address = 211.150.124.82
>

>>如何添加SPF记录？

SPF记录添加方法（请确认您的域名注册商）
中国频道 中国万网
新网互联 新网
中企动力、广东互易
中资源、新网、时代互联、商务中国、其余域名服务提供商

1. 中国频道
登陆中国频道的域名管理平台（经过http://www.dns-diy.com登陆）后，须要在“IP地址/主机名”的位置添加直接输入v=spf1 include:spf.263xmail.com ~all，不须要加”"，而后直接点击“新增”按钮便可。

添加SPF记录

2. 中国万网
在万网的域名管理平台（经过http://diy.hichina.com登陆），点击左侧的“DNS记录报告”按钮，在”TXT(正文字串)”中“正文内容”的位置直接输入”v=spf1 include:spf.263xmail.com ~all”，必须带上”"号，而后点击“建立”按钮便可。

添加SPF记录

3. 新网互联
在新网互联的域名管理平台（登陆到 http://www.dns.com.cn网站，点击服务中心栏目中的“ 域名管理”连接，输入域名及域名的管理密码，而后点击登陆），点击“MyDNS功能”进入到MYDNS后，选择“到专业版”，在纯域名的列表中选择添加记录的类型为TXT，顺序为0，在指向中输入v=spf1 include:spf.263xmail.com ~all，不须要加”"。

添加SPF记录

4. 新网
登陆新网的域名管理平台（http://www.xinnet.com网站），选择添加记录的类型为TXT，在内容中输入v=spf1 include:spf.263xmail.com ~all。

添加SPF记录

5. 中企动力、广东互易
能够添加TXT记录，请用户直接联系本身的域名服务商添加。

6. 中资源、新网、时代互联、商务中国、以及其余域名服务提供商
上述几家域名服务提供商暂不支持TXT记录的添加，对于域名DNS是这几家公司的，用户可按以下方法进行操做：
1）联系域名的DNS服务提供商将域名的全部解析记录导出。
2）将导出的解析记录提供给263客服，先由263客服联系技术工程师将用户原记录解析添加到263公司的DNS服务器里面，同时为用户添加一条TXT记录。
3）待263客服确认已经将解析添加完毕后，用户再联系域名的服务提供商，将域名的DNS更改如下这组DNS: ns.263idc.net、nsb.263idc.net
如用户DNS为其余服务商，且与域名服务提供商确认没法添加TXT记录的，也可按如上方法处理。

转载 SPF详解 收藏

什么是SPF？

这里的SPF不是防晒指数，而是指Sender Policy Framework。翻译过来就是发信者策略架构，比较拗口，一般都直接称为SPF。
SPF是跟DNS相关的一项技术，它的内容写在DNS的txt类型的记录里面。mx记录的做用是给寄信者指明某个域名的邮件服务器有哪些。SPF的做用跟mx相反，它向收信者代表，哪些邮件服务器是通过某个域名承认会发送邮件的。
由定义能够看出，SPF的做用主要是反垃圾邮件，主要针对那些发信人伪造域名的垃圾邮件。
例如：当coremail邮件服务器收到自称发件人是spam@gmail.com的邮件，那么到底它是否是真的gmail.com的邮件服务器发过来的呢？那么咱们能够查询gmail.com的SPF记录。

关于SPF的一些知识

当前市场上不少邮件系统和供应商都已经开始支持SPF，好比163.com，那么该如何获得163.com的SPF值呢？在CMD环境中，键入：
nslookup
set type=txt
163.com
就会获得如下的结果：
163.com text =”v=spf1 include:spf.163.com -all”
其中：=”v=spf1 include:spf.163.com -all” 就是163.com的SPF值。这个数据中说明了163.com有效合法服务器都有哪些！
那么咱们该如何建立呢？
进入域名解析建立一条TXT记录填写正确的SPF数据就能够生效了。
在MDaemon7.x中启用SPF功能，并做适当调整就能够了。
另外8.x版本新增长了一个DomainKey签名，不过MDaemon已经自动帮你建立。

另外给你们一个网址，很实用
http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/
这个网址是一个建立SenderID的向导网站，他能帮你建立一个SenderID值。
SenderID （寄件人身份识别技术）。
SPF（SenderPolicyFramework，寄件人政策架构）。
SenderID技术与SPF同样，都是一种以IP（互联网协定）位址认证电子邮件寄件人身份的技术。

SPF 简介

SPF 是发送方策略框架 (Sender Policy Framework) 的缩写，但愿能成为一个防伪标准，来防止伪造邮件地址。这篇文章对 SPF 进行了简单介绍，并介绍了它的一些优势和不足。
SPF 诞生于2003年，它的缔造者 Meng Weng Wong 结合了反向 MX 域名解析(Reverse MX) 和 DMP (Designated Mailer Protocol) 的优势而付予了 SPF 生命。
SPF 使用电子邮件头部信息中的 return-path (或 MAIL FROM) 字段，由于全部的 MTA 均可以处理包含这些字段的邮件。不过微软也提出了一种叫作 PRA (Purported Responsible Address)的方法。PRA 对应于 MUA (好比 thunderbird) 使用的终端用户的地址。
这样，当咱们把 SPF 和 PRA 结合起来的时候，就能够获得所谓的“Sender ID”了。Sender ID 容许电子邮件的接收者经过检查 MAIL FROM 和 PRA 来验证邮件的合法性。有的说法认为，MAIL FROM 检查由 MTA 进行，而 PRA 检查由 MUA 来完成。
事实上，SPF 须要 DNS 以某种特定的方式来工做。也就是必须提供所谓的“反向 MX 解析”记录，这些记录用来解析来自给定域名的邮件对应的发送主机。这和目前使用的 MX 记录不通，后者是用来解析给定域名对应的接收邮件的主机的。
SPF 有哪些需求？

要想用 SPF 来保护你的系统，你必须：

1. 配置 DNS，添加 TXT 记录，用于容纳 SPF 问询的信息。
2. 配置你的电子邮件系统(qmail, sendmail)使用 SPF，也就是说对服务器上每封进入的邮件进行验证。

上述第一步要在邮件服务器所属的域名服务器上进行调整，下一节中，咱们将讨论这个记录的细节内容。你首先须要肯定的一点是你的域名服务器(bind，djbdns)所使用的语法。但别担忧，SPF 的官方网站提供了一个很好用的向导来指导你如何添加记录。

SPF 的 TXT 记录

SPF 记录包含在一个 TXT 记录之中，格式以下：

v=spf1 [[pre] type [ext] ] … [mod]

每一个参数的含义以下表所示：
参数 描述
v=spf1 SPF 的版本。若是使用 Sender ID 的话，这个字段就应该是 v=spf2
pre 定义匹配时的返回值。

可能的返回值包括：
返回值 描述
+ 缺省值。在测试完成的时候表示经过。
- 表示测试失败。这个值一般是 -all，表示没有其余任何匹配发生。
~ 表示软失败，一般表示测试没有完成。
? 表示不置能否。这个值也一般在测试没有完成的时候使用。
type 定义使用的确认测试的类型。

可能的值包括：
候选值 描述
include 包含一个给定的域名的测试
以 include:domain 的形式书写。
all 终止测试序列。
好比，若是选项是 -all，那么到达这条记录也就意味着测试失败了。可是若是没法肯定，可使用”?all”来表示，这样，测试将被接受。
ip4 使用 IPv4 进行验证。
这个能够以 ip4:ipv4 或 ip4:ipv4/cidr 的形式使用。建议使用这个参数，以减小域名服务器的负荷。
ip6 使用 IPv6 进行验证。
a 使用一个域名进行验证。
这将引发对域名服务器进行一次 A RR 查询。
能够按照 a:domain, a:domain/cidr 或 a/cidr 的形式来使用。
mx 使用 DNS MX RR 进行验证。
MX RR 定义了收信的 MTA，这可能和发信的 MTA 是不一样的，这种状况基于 mx 的测试将会失败。
能够用 mx:domain, mx:domain/cidr 或 mx/cidr 这些形式进行 mx 验证。
ptr 使用域名服务器的 PTR RR 进行验证。
这时，SPF 使用 PTR RR 和反向图进行查询。若是返回的主机名位于同一个域名以内，就验证经过了。
这个参数的写法是 ptr:domain
exist 验证域名的存在性。
能够写成 exist:domain 的形式。
ext 定义对 type 的可选扩展。若是没有这个字段，那么仅使用单个记录进行问询。
mod 这是最后的类型指示，做为记录的一个修正值。

修正值 描述
redirect 重定向查询，使用给出的域名的 SPF 记录。
以 redirect=domain 的方式使用。
exp 这条记录必须是最后一条，容许给出一条定制的失败消息。

IN TXT “v=spf1 mx -all exp=getlost.example.com”

getlost IN TXT “You are not authorized to send mail for the domain”

嘿！我是 ISP

ISP 实施 SPF 可能对于他们处于漫游状态(roaming)的用户带来一些麻烦，当这些用户习惯使用 POP-before-Relay 这样的方式处理邮件，而不是 SASL SMTP 的时候问题就会出现。

嗯，若是你是一个被垃圾邮件、地址欺骗所困扰的 ISP 的话，你就必须考虑你的邮件策略、开始使用 SPF 了。

这里是你能够考虑的几个步骤。

1. 首先设置你的 MTA 使用 SASL，好比，你能够在端口 25 和 587 使用它。
2. 告诉你的用户你已经使用了这个策略(spf.pobox.com 给出了一个通知的例子，参见参考文献)。
3. 给你的用户一个宽限期，也就是说，把你的 SPF 记录加入到域名服务器之中，但使用“软失败”(~all)而不是“失败”(-all)。

这样，你就保护了你的服务器、你的客户和整个世界免受垃圾邮件之类的困扰了。

SPF 的官方站点上有不少信息，还等什么呢？
有什么须要担忧的?

SPF 是一个对于欺骗的完美保护。但它有一个局限：传统的邮件转发方式再也不有效了。你不能仅仅从你的 MTA 接受邮件并简单地从新发送它了。你必须重写发送地址。常见的 MTA 的补丁能够在 SPF 的网站找到。换句话说，若是你把 SPF 记录加入到了域名服务器，你就必须更新你的 MTA 来进行发送地址改写，即便你尚未对 SPF 记录进行检查。
结论

你可能以为 SPF 的实施有点难以理解。不过这确实不算复杂，并且还有一个不错的向导来帮你完成这个转换(参见参考文献)。

若是你被垃圾邮件所困扰的话，SPF 将能够帮助你，保护你的域名免受伪造邮件地址的影响，你所要作的仅仅是在域名服务器上添加一行文本并配置你的电子邮件服务器而已。

SPF 的优势有不少。不过，像我对一些人所说的，这不是一晚上之间就能够达到的，SPF 的好处将经过日积月累来表现出来，当其余人都使用它的时候就能明显地看到了。

我也提到了 Sender ID，这和 SPF 有关，但我没有去解释它。可能你已经知道缘由了，微软的策略一贯如此—软件专利。在参考文献中，你能够看到 openspf.org 对于 Sender ID 的立场声明。

下一篇文章中，咱们将讨论 MTA 的设置，咱们到时再见。

我仅仅但愿给你一个 SPF 的简短说明。若是你对此感兴趣，想要了解更多信息的话，你能够看看参考文献，本文的内容就来自于此。

解决MT发送邮件通知给GMail遇到的SPF校验问题

blog系统有一个颇有用的功能就是邮件发送留言通知：可是发送到GMail邮箱的通知信十有八九都会被标记为垃圾邮件。缘由就是 SPF：Sender Policy Framework (SPF) 要作发送人校验，而MT设置的发信人是留言者的邮件地址，而退信地址是MT系统所在服务器的邮箱。
Received-SPF: neutral (google.com: 60.195.249.163 is neither permitted nor denied by domain of apache@localhost.localdomain)
个人WEB服务器上没有任何邮件系统。因此没法经过SPF校验，有严格的SPF校验这也是GMail相对Spam比较少的缘由。

如何解决呢：
1 增长邮件系统，设置MX记录等，须要学很多东西；
2 简单的就是先发到不支持SPF校验的邮件系统上，而后再转发给GMail，这时候的退信地址已经转发邮箱了：
Received-SPF: pass (google.com: domain of #####@yeah.net designates 60.12.227.137 as permitted sender)

什么是SPF？
SPF 是发送方策略框架 (Sender Policy Framework) 的缩写，正在逐步成为一个防伪标准，来防止伪造邮件地址。
您的域管理员或托管公司仅需在域名系统 (DNS) 中发布 SPF 记录。这些简单的文本记录标识了通过受权的电子邮件发送服务器（经过列出这些服务器的 IP 地址）。电子邮件接收系统会检查邮件是否来自通过正确受权的电子邮件发送服务器。检查步骤以下，发送人向接收方发送一封电子邮件后，邮件接收服务器接收电子邮件并执行以下操做：
• 检查哪个域声称发送了该邮件并检查该域的 SPF 记录的 DNS。
• 肯定发送服务器的 IP 地址是否与 SPF 记录中的某个已发布 IP 地址相匹配。
• 对电子邮件进行打分：若是 IP 地址匹配，则邮件经过身份验证并得到一个正分。若是 IP 地址不匹配，则邮件没法经过身份验证并得到一个负分。而后，对现有的防垃圾邮件筛选策略和启发式筛选应用这些结果。

如何给邮件服务器增长SPF设置，请参考chicheng的文章：为你的mail server增长SPF记录

什么是SPF
就是Sender Policy Framework。SPF能够防止别人伪造你来发邮件，是一个反伪造性邮件的解决方案。当你定义了你的domain name的SPF记录以后，接收邮件方会根据你的SPF记录来肯定链接过来的IP地址是否被包含在SPF记录里面，若是在，则认为是一封正确的邮件，不然则认为是一封伪造的邮件。关于更详细的信息请参考RFC4408（http://www.ietf.org/rfc/rfc4408.txt
如何增长SPF记录
很是简单，在DNS里面添加TXT记录便可。登录http://www.openspf.org/wizard.html 在里面输入你的域名，点击Begin，而后会自动获得你域名的一些相关信息。
a 你域名的A记录，通常选择yes，由于他有可能发出邮件。
mx 通常也是yes，MX服务器会有退信等。
ptr 选择no，官方建议的。

a： 有没有其余的二级域名？好比：bbs.extmail.org和www不在一台server上，则填入bbs.extmail.org。不然清空。
mx: 通常不会再有其余的mx记录了。
ip4： 你还有没有其余的ip发信？可能你的smtp服务器是独立出来的，那么就填入你的IP地址或者网段。
include: 若是有可能经过一个isp来发信，这个有本身的SPF记录，则填入这个isp的域名，好比：sina.com
~all: 意思是除了上面的，其余的都不承认。固然是yes了。

好了，点击Continue…..
自动生成了一条SPF记录，好比extmail.org的是
v=spf1 a mx ~all
而且在下面告诉你如何在你的bind里面添加一条
extmail.org. IN TXT “v=spf1 a mx ~all”

加入你的bind，而后ndc reload便可。 检查一下： dig -t txt extmail.org