Paul's Blog

Sender Policy Framework 簡稱 SPF，SPF 主要作為反偽
造郵件的解決方案， Exchange 2003 SP2 支援的名稱叫做
Sender ID，Sendmail & Postfix 皆支援 SPF 過濾功能。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　


SPF 用來檢查 SMTP Server 是否有偽造其它人的 Domain
或是虛設 Domain，SPF 會根據 Domain Name 的 SPF記錄
確認連結的 IP 是否內含 SPF記錄，若該封信件是由正式DNS
內的郵件伺服器發出，那麼即可避免有心人事假冒發信。


最常發生的情形：

「使用者，常會收到由自己帳號寄給自己的垃圾郵件！」


Exchange 2003 SP2支援SPF的名稱為「Sender ID」




Sender ID 除了電子信件反偽造的功能外，有以下幾點功能：

引述‧Josephphoto's Blog

1)使用者於 Outlook上可以經由 Sender ID 來判斷此郵件是
　否是偽裝的。

2)伺服器電子郵件於處理電子郵件時，會多一個動作去詢問該
　網域的DNS主機，目前送信來的主機是否是真正的發信主機。

3)DNS 主機中必須有相關的 Sender ID 認證記錄。


提醒：
這篇文章主要是以小弟工作現況的筆記，下面的文章並「不會」
單僅以MS系列最為主要的內容，假如各位看得有點亂請多包含。



【 DNS 新增一筆 SPF Record 】

OpenSPF‧Wizard 提供網頁介面，輸入相關資料即可輕鬆
產生一筆 SPF Record ，以 TXT 文字方式加入 DNS 即可！


以 seed.net.tw 作為範例，實作時改成您的 Domain Name 即可。




Let's set up SPF records for 「」← 請輸入您的 Domain Name，接著按下「Begin」。

1.「A」：顯示 Domain 的 A 記錄，若無誤點選「yes」。
2.「MX」：顯示 Domain 內的 MX 記錄，，若無誤點選「yes」。
3.「ptr」：是否允許 Whose Name 跟 Domain 相同的主機，請選「no」。(官方不建議選 yes)
4.「a」：是否還有其他 Send mail 主機在 Domain 內？若有請輸入主機名稱，反之則空白即可。
5.「mx」：同於「a」的項目，若有其他 MX 的網域要加入，請輸入囉。若有多筆中間以空隔區分即可。
6.「ip4」：若有其他信任發信的IP或網段，請填入。通常輸入發信的實體IP即可。
7.「inclube」：若可能透過 ISP 發信，請將該 ISP 的 Domain 輸入，沒有的話，空白即可！
8.「~all」：以上資訊若無問題，請選擇「yes」。

完成以上資訊，請直接按下「Continue」。


兩點提醒：

若您真正郵件伺服器系統架構是藏身於某台機器/ IP後面，請
各位別忘了將真正的 MX 記錄加於第四個項。

若有機器透過 VPN 跟對岸轉發信，是不用將那台郵件伺服器
的IP填入喔！


按下會「Continue」，將出現以下相關訊息：




BIND、Tinydns、Windows DNS 各式伺服器的設定：




Windows DNS 設定可參照 此篇文章。


若有使用 Google apps 服務在 inclube 可以這樣設定：
　　

設定完 SPF Record 重啟 DNS，等待記錄生效後，想知道設
定是否正常，可透過 nslookup 查詢。

nslookup -query=txt seed.net.tw




[ Google SPF Record ]




Microsoft-Sender ID 這邊也可SPF的驗證，若成功會出現以下畫面：







完成SPF Record之後，下個動作就是讓郵件伺服器支援 SPF
網路上各家的郵件伺服器皆有網友撰文，小弟就不再重新造車
撰寫，相關設定資料，再請各位自行參閱即可！ ^^~




【延伸閱讀】


※ Sendmail / Postfix

　 Jamyy‧防治垃圾信: 在 Sendmail、Postfix 加入 SPF 過濾功能


※ Exchange 2003

　 Josephphoto‧MS Exchange 2003 SP2 新功能：Sender ID 認證（伺服器端）
　 Josephphoto‧MS Exchange 2003 SP2 新功能：Sender ID 認證（用戶端）


　　　　　　　　　　　　　　　　　　　　　　　　　Paul