V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ybf1220
V2EX  ›  问与答

这年头 Email 的 SPF 验证已经不流行了吗?

  •  
  •   ybf1220 · 2013-08-19 20:31:53 +08:00 · 7575 次点击
    这是一个创建于 4145 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这几天在搭建和测试邮件系统。今天对本域的 SPF 记录进行了测试,看看对方接收的 MTA 有没有对我的 domain 发来的邮件进行 SPF 验证,结果发现现在的 MTA 对 SPF 验证减弱了。包括 163,gmail 邮箱系统。不知道为什么。
    以下是我做的一个测试:用 telnet 伪造 qq 邮箱发信人给 163,gmail 邮箱发邮件。

    先查出 163.com 的一条 mx 记录


    我选了第一条,用 telnet 连接这条 mx 记录的 25 端口 ,让他收信


    上面显示已经接收我伪造发信人发的邮件。打开邮箱一看,在 Inbox 中,不在垃圾邮件中。



    gmail 也一样,在 Inbox 中


    我的感觉:
    虽然说 smtp 不怎么可靠。但是在仿造发信人 smtpd_sender_restrictions 这点,邮件系统应该首先考虑吧。而不是在 content_filter 大作文章把。难道我理解错了?
    如果 163 都不验证别人的 SPF 了,那么自己域名中的 TXT 记录还放着干嘛?


    不过 QQ 不能通过上面的测试。 顺便求推荐安全的邮箱系统配置方法来加固 SMTP!谢谢!
    9 条回复    1970-01-01 08:00:00 +08:00
    explon
        1
    explon  
       2013-08-19 20:55:57 +08:00 via iPhone   ❤️ 1
    人家的技术高级着呢,你多发几封就知道了
    ybf1220
        2
    ybf1220  
    OP
       2013-08-19 21:03:43 +08:00
    @explon 感觉这种仿造发信人的不管几封,都是禁止的。你的意思是他们系统有 autolearn 的功能是吧。
    qsun
        3
    qsun  
       2013-08-19 21:16:31 +08:00   ❤️ 1
    v=spf1 include:spf.mail.qq.com ~all

    ~all是softfail
    megaforce
        4
    megaforce  
       2013-08-19 21:30:17 +08:00 via iPad
    你试一下伪造spf记录是-all的域名向163发信,看看会不会拒

    那么大的邮件系统,不能只看SPF吧。要不然FP会可怕的
    ybf1220
        5
    ybf1220  
    OP
       2013-08-19 21:36:38 +08:00
    @qsun 感觉不是这个问题,因为早上我将我的域名 TXT 改成 -all,晚上再测试 163和 qq 照样收。可以排除 dns 缓存问题。我估计是 X-Spam-Status 判别的问题。SPF_PASS 的分数比较低?
    halfbloodrock
        6
    halfbloodrock  
       2013-08-19 21:48:18 +08:00   ❤️ 1
    你发一两封问题不大,你试着群发1000封就知道了。
    一两封,多数不被判定,否则会block掉一些正常行为的测试,还有会造成过滤系统压力过大,


    我曾经在的一家公司就是专门干发垃圾邮件的事情。。。。需要做IP反向解析,Domain key,FBL,SPF。。。而且买了大把大把IP群发邮件。否则很容易整段IP被block掉。
    ybf1220
        7
    ybf1220  
    OP
       2013-08-19 21:55:33 +08:00
    @megaforce 和 SPF 是有关系。也不能只看 SPF ,有具体分值的,为什么就是不参考我的域名呢,我设置的没问题啊。
    wogong
        8
    wogong  
       2013-08-19 22:01:50 +08:00   ❤️ 1
    看下邮件原文,spf校验应该不通过~

    垃圾邮件判定不只看spf一个指标吧,具体的只有内部知道了。
    ybf1220
        9
    ybf1220  
    OP
       2013-08-19 22:06:28 +08:00
    @halfbloodrock Reverse DNS 有点难做的。不过 amazon ec2 会默认发邮件提示你的。

    @wogong 是的,只是我看不到着详细信息。在我自己的邮件系统看到别人发来的邮件 Header 中是有这个的,
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1060 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 20:01 · PVG 04:01 · LAX 12:01 · JFK 15:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.