Bind为域名邮箱添加SPF记录
发布时间:August 25, 2012 // 分类:Mail // No Comments
在垃圾邮件泛滥的今天,邮件服务器和域名设置SPF是必不可少的,之前有介绍PostFix下配置SPF验证,那怎么能证明自己服务器发出的邮件能被对方视为来源正确呢,那就为自己的域名添加SPF记录吧。
SPF记录以TXT格式配置在DNS中,可以使用以下参数定义信任地址:
include #调用特定域名的SPF进行验证
ip4 #使用 IPv4 进行验证
ip6 #使用 IPv6 进行验证
a #使用域名A记录验证
mx #使用MX记录验证
ptr #使用PTR进行验证
定义匹配时的返回值:
+ #默认,通过
- #硬失败
~ #软失败
? #不置可否
SPF书写示例:
"v=spf1 +a:www.haiyun.me +ip4:192.168.1.0/24 -all"
#定义www.haiyun.me的A记录IP和192.168.1.0/24网段,其它全部为不信任,+默认可略。
将域名SPF添加到BIND DNS服务器:
@ IN TXT "v=spf1 a ip4:184.164.141.188 ~all"
#或
www.haiyun.me. IN TXT "v=spf1 a ip4:184.164.141.188 ~all"
测试SPF是否生效:
dig www.haiyun.me txt +short
"v=spf1 a ip4:184.164.141.188 ~all"
也可以发送到gmail邮箱查看SPF验证结果:
Received-SPF: pass (google.com: domain of admin@www.haiyun.me designates 184.164.141.188 as permitted sender) client-ip=184.164.141.188;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of admin@www.haiyun.me designates 184.164.141.188 as permitted sender) smtp.mail=admin@www.haiyun.me
Postfix配置SPF防发件人欺骗
发布时间:July 11, 2012 // 分类:Mail // No Comments
之前有介绍Postfix服务器在转发授权用户邮件时防止发件人伪造,如果在接收邮件时怎么确认收到的邮件发件人是真实的呢?这个就要靠SPF的帮忙了。
当服务器接收到邮件时会检查域名的SPF记录与客户端IP是否匹配,如匹配就被认为是真实的邮件,不匹配就被认为是假冒的邮件,当然如果对方域名未做SPF记录会被误报。
安装postfix-policyd-spf-perl用以检查域SPF记录并匹配:
#https://www.haiyun.me
yum install perl-Mail-SPF perl-Sys-Hostname-Long
wget https://launchpad.net/postfix-policyd-spf-perl/trunk/release2.010/+download/postfix-policyd-spf-perl-2.010.tar.gz
tar zxvf postfix-policyd-spf-perl-2.010.tar.gz
mv postfix-policyd-spf-perl-2.010/postfix-policyd-spf-perl /usr/sbin/
chmod +x /usr/sbin/postfix-policyd-spf-perl
开启postfix-policyd-spf-perl服务:
cat /etc/postfix/master.cf
policy-spf unix - n n - - spawn
user=nobody argv=/usr/sbin/postfix-policyd-spf-perl
编辑Postfix主配置文件添加SPF过滤规则:
cat /etc/postfix/main.cf
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
#reject_unknown_client,
check_policy_service unix:private/policy-spf
重新加载Postfix配置文件:
/etc/init.d/postfix reload
测试SPF效果:
#下为错误
postfix/policy-spf[15857]: Policy action=PREPEND Received-SPF: softfail (www.haiyun.me: Sender is not authorized by default
#下为正确
postfix/policy-spf[15726]: Policy action=PREPEND Received-SPF: pass (qq.com: Sender is authorized to use 'qq@qq.com'
Policy-spy默认不阻止验证失败的发件人邮件,会在邮件头部添加Received-SPF: softfail标签,如果要对其处理可使用Postfix过滤规则header_checks进行匹配操作。
添加header_checks匹配规则:
cat /etc/postfix/header_checks
/Received-SPF: softfail/ REJECT
编辑主Postfix主配置文件应用此规则:
cat main.cf
header_checks = pcre:/etc/postfix/header_checks
再次测试效果:
postfix/cleanup[15865]: A3A6410C005D: reject: header Received-SPF: softfail
分类
- Apache (13)
- Nginx (45)
- PHP (86)
- IIS (8)
- Mail (17)
- DNS (16)
- Cacti (14)
- Squid (5)
- Nagios (4)
- Puppet (7)
- CentOS (13)
- Iptables (23)
- RADIUS (3)
- OpenWrt (41)
- DD-WRT (1)
- VMware (9)
- 网站程序 (2)
- 备份存储 (11)
- 常用软件 (20)
- 日记分析 (10)
- Linux基础 (18)
- 欧诺代理 (0)
- Linux服务 (18)
- 系统监控 (4)
- 流量监控 (7)
- 虚拟化 (28)
- 伪静态 (2)
- LVM (3)
- Shell (18)
- 高可用 (2)
- 数据库 (16)
- FreeBSD (3)
- 网络安全 (25)
- Windows (35)
- 网络工具 (22)
- 控制面板 (3)
- 系统调优 (10)
- Cisco (3)
- VPN (5)
- ROS (20)
- Vim (14)
- KMS (4)
- PXE (2)
- Mac (1)
- Git (1)
- PE (1)
- LNS (2)
- Xshell (7)
- Firefox (13)
- Cygwin (4)
- OpenSSL (9)
- Sandboxie (3)
- StrokesPlus (1)
- AutoHotKey (4)
- Total Commander (3)
- WordPress (3)
- iMacros (6)
- Typecho (2)
- Ollydbg (1)
- Photoshop (1)
- 正则 (3)
- Debian (3)
- Python (8)
- NoSQL (6)
- 消息队列 (4)
- JS (7)
- Tmux (3)
- GO (7)
- HHVM (2)
- 算法 (1)
- Docker (2)
- PT (15)
- N1 (16)
- K2P (6)
- LUKS (4)
最新文章
- 安装onlyoffice
- ssh生成/转换私钥格式及openssl使用ssh证书rsa非对称加解密文件
- ubuntu/debian禁用qemu-guest-agent
- tmux attach使用ssh agent
- linux用tc给软件应用或ip做qos限制下载上传速度
- linux/ubuntu交叉静态编译mips tmux和dropbear/openssl/openssh/bash
- 使用squashfs-tools和binwalk修改路由/光猫固件rootfs文件
- 此内容被密码保护
- openwrt/immortalwrt编译内核模块并修改版本号
- 联通贝尔光猫G-140W-UG修改为桥接/管理员密码并开启telnet
最近回复
- 海运: 网络,找到相应的url编辑重发请求,firefox有此功能,其它未知。
- knetxp: 用浏览器F12网络拦截或监听后编辑重发请求,修改url中的set为set_super,将POS...
- Albert: 啊啊啊啊啊啊啊啊啊 我太激动了,终于好了英文区搜索了半天,翻遍了 pve 论坛没找到好方法,博...
- jiangker: good, very helpful to me
- fengfeng: N1 armbian 能有编译下内核吗。。我要开启can 不懂怎么操作
- 1: 方法一ngtcp2要改下:./configure PKG_CONFIG_PATH=/usr/l...
- 海运: 关闭服务器
- 海风: override.battery.charge.low以及override.battery.r...
- koldjf: 不能过滤
- 杰迪武士: 此文甚好甚强巨,依照此文在树莓派2 + Rasbian上部署成功 感谢博主美文共赏