邮件域名的SPF记录
什么是防晒记录
SPF是一种垃圾邮件和钓鱼攻击手段,利用DNS的SPF记录来 定义哪些主机允许为某个域名发送电子邮件。详情请见 SPF,请查阅维基百科。
该方法为电子邮件域名定义DNS的SPF记录,具体如下: 哪些主机(电子邮件服务器)被允许从域名发送电子邮件。
其他电子邮件服务器在接收来自该邮件时可以查询该记录 域名用于验证发送邮件服务器是否从许可的 IP地址。
如何设置SPF记录
SPF是一个TXT类型的DNS记录,你可以在里面列出IP地址或MX域名。 例如:
mydomain.com. 3600 IN TXT "v=spf1 mx -all"
该SPF记录意味着从MX记录中定义的所有服务器发送的邮件都允许发送为。mydomain.comsomeone@mydomain.com
-all禁止从所有其他服务器发送的电子邮件。如果太严格了 对你来说,你可以选择替代,也就是软失败(不确定)。~all
你也可以直接指定IP地址:
mydomain.com. 3600 IN TXT "v=spf1 mx ip4:111.111.111.222 -all"
当然,你可以在同一个记录中同时保留两个或多个:
mydomain.com. 3600 IN TXT "v=spf1 mx ip4:111.111.111.111 ip4:111.111.111.222 -all"
还有更有效的机制,请查阅维基百科获取更多细节。
邮件域名的DKIM记录
什么是DKIM记录
DKIM允许组织以以下方式对信息负责 可由收件人验证。该组织可以直接处理 消息,比如作者的、发件方的,或 中介人在交通路径上。不过,它也可以是间接的 处理者,例如为 直接作者。DKIM定义了域级数字签名认证 通过公钥密码学和 域名服务作为其密钥服务器技术 (RFC4871)。它允许 验证消息签署者及其完整性 目录。DKIM还将提供一个允许潜在电子邮件发送的机制 签署人发布其电子邮件签名实践的信息;这将 允许电子邮件接收者对未签名邮件进行额外评估。 DKIM对电子邮件身份的认证可以协助全局控制 “垃圾邮件”和“钓鱼”。
一个人或组织拥有“身份”——即一组 这些特征使他们区别于其他任何身份。相关 通过这种抽象,可以有一个标签作为引用,或者说“标识符”。 这就是事物和事物名称之间的区别。DKIM的用途 以域名作为标识符,指代负责人的身份 个人或组织。在DKIM中,该标识符称为签名域 IDentifier(SDID)和包含在DKIM-Signature头字段标签中。注意,同一身份可以有多个标识符。d=
如何设置DKIM记录
在终端里运行命令显示你的DKIM密钥:
amavisd -c /etc/amavisd/amavisd.conf showkeys在某些Linux/BSD发行版上,你应该用命令而不是 。
amavisd-newamavisd在CentOS上,如果它抱怨,请用路径运行命令到它的配置文件。例如:
/etc/amavisd.conf not found
# amavisd showkeys dkim._domainkey.mydomain.com. 3600 TXT ( "v=DKIM1; p=" "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugByf7LhaK" "txFUt0ec5+1dWmcDv0WH0qZLFK711sibNN5LutvnaiuH+w3Kr8Ylbw8gq2j0UBok" "FcMycUvOBd7nsYn/TUrOua3Nns+qKSJBy88IWSh2zHaGbjRYujyWSTjlPELJ0H+5" "EV711qseo/omquskkwIDAQAB")
将上面命令的输出复制成一行,就像下面一样,移除所有引号,但 保持。我们只需要(
)块内的字符串,它就是 DKIM DNS 记录。;
v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugBy...
注意:BIND(最广泛使用的名称服务器软件) 可以处理这种多行格式,所以你可以粘贴到你的领域里 直接使用区域文件。
为域名添加类型的DNS记录, 将值设置为你复制的那行: 。
TXTdkim._domainkey.mydomain.comv=DKIM1; p=...警告:一个常见的错误是将这个DKIM记录添加到域名上,这是错误的。请确保你添加了域名。
mydomain.comdkim._domainkey.mydomain.com在你添加这个后,用 或 :
dignslookup
$ dig -t txt dkim._domainkey.mydomain.com $ nslookup -type=txt dkim._domainkey.foodmall.com
示例输出:
dkim._domainkey.mydomain.com. 600 IN TXT "v=DKIM1\;p=..."
并向Amavisd核实:
# amavisd testkeys TESTING: dkim._domainkey.mydomain.com => pass
如果显示了,那就正常工作。pass
注意:如果你使用ISP提供的DNS服务,新的DNS记录可能会被处理 有些时间将开放。
如果你想重新生成DKIM密钥,或者需要为新邮件生成一个 域名,请查看我们的另一个教程:在新邮箱域名的外发邮件上签署DKIM签名。
邮件域名的DMARC记录
什么是DMARC,它如何打击钓鱼?
引用自 dmarc.org 官网常见问题页面(是 强烈建议阅读完整的常见问题页面:
DMARC是一种让邮件发送者和接收者更容易判断的方式 某条消息是否真实来自发送者,以及该如何处理 如果不是,就去做。这使识别垃圾邮件和钓鱼邮件变得更容易, 并且不要让他们出现在别人的收件箱里。
DMARC是一个提议标准,允许电子邮件发送者和接收者 合作分享彼此发送邮件的信息。 这些信息帮助发送者改进邮件认证基础设施 这样他们所有的邮件都能被认证。它也赋予了合法性 互联网域名所有者,一种请求非法消息的方式—— 伪造垃圾邮件、钓鱼——直接被放入垃圾邮件文件夹或被拒绝 直接。
以下是一些 https://dmarc.org 的有用文件:
如何设置DMARC记录
DMARC非常依赖SPF和DKIM记录,请务必确保你有 发布的SPF和DKIM记录为正确且最新的。
DMARC记录是TXT类型的DNS记录。
简化记录如下:
v=DMARC1; p=none; rua=mailto:dmarc@mydomain.com
详细的示例记录如下:
v=DMARC1; p=reject; sp=none; adkim=s; aspf=s; rua=mailto:dmarc@mydomain.com; ruf=mailto:dmarc@mydomain.com
v=DMARC1识别DMARC协议版本,目前仅为 且必须先出现在DMARC记录中。DMARC1v=DMARC1adkim指定了DKIM的比对模式。有两种选择:r:放松模式(adkim=r)s:严格模式(adkim=s)aspf指定SPF的对准模式。有两种选择:r:放松模式(aspf=r)s:严格模式(aspf=s)p指定了组织领域的策略。它告诉接收者 服务器:如果收到的邮件未通过DMARC机制检查该怎么办。三种选择 可获得:如果你确定所有邮件都是由SPF中列出的服务器发送的 记录,或签署正确的DKIM签名,是强有力的 推荐。
p=reject根据RFC 7489,“v”和“p”标签必须存在,并且必须按顺序出现。因此请始终将“P”标签紧接在“V”标签之后。例如: 可以,但不行。
v=DMARC1; p=reject; aspf=s; ...v=DMARC1; aspf=s; p=reject; ...none(p=none域名所有者请求不采取具体措施 传递信息。quarantine(p=quarantine:域名所有者希望收到未通过DMARC的邮件 邮件接收者会将机制检查视为可疑。具体情况取决于 邮件接收器的功能,这可以意味着“将邮件放入垃圾邮件” 文件夹“,”标记为可疑“,或者”隔离邮件某处“,可能还有更多。reject(p=reject:域名所有者希望邮件接收者拒绝 在SMTP交易过程中未通过DMARC机制检查的邮件。sp规定所有子域的策略。这是可选的。可选方案 与 相同。prua指定一种传输机制以传递汇总反馈。现状 只有支持。这是可选的。mailto:ruf指定了一种传输机制,该机制会导致消息特定故障 信息需报告。目前仅支持。这是 可选。mailto:
- 上一篇:debian或者ubuntu将系统盘剩余空间挂载
- 下一篇:没有下一篇了...
- 发表评论
- 查看评论
【暂无评论,快来评论吧!】发表评论: