關於DNS SPF 設定(寄信者來源管理規則)
A. SPF 基本概念
SPF主要的功能是讓收信端根據來信中寄件者網域資料主動去向寄信端所屬的DNS伺服器核對其SPF紀錄。收釁端再依照比對結果做接收與否的決定。
我們舉個例子:新聞或報紙上常有的詐騙事件提到某人打電話給你或寄存證信函聲稱是某某檢察官,進行金錢的詐取。中間的手段不外乎是用假以亂真的台詞或是公文信封信紙得到你的信任。在網路上,同樣的情形也一再上演:垃圾信源盜用別人的電子郵件帳號寄信以避免信被退回自己真正的郵件信箱中;詐騙集團盜用別人的電子郵件帳號避免自己行蹤敗露;電腦病毒或蠕蟲想刻意模糊自己的出處而隨機使用任一電子郵件帳號;帳號密碼盜賊裝扮成某人的好友來信竊取私人機密等等不勝枚舉。
此時,SPF機制讓寄信端在寄出的信封上出示自己的「良民證」告訴對方:「我是乖寶寶!」。收信端則可以與寄信端所屬的DNS伺服器做驗證。同時,收信端也能對寄信端DNS的回應做出判斷此來信是否為垃圾信?
如您想對SPF紀錄做更深入的了解,請到 OpenSPF官網SPF。
B. 如何建置 SPF 紀錄?
對於大多數中小企業都會使用的ADSL網路方案,ISP通常只配發一組固定制IP位址給客戶。簡單來說,SPF紀錄只需要參照「選擇和設定DNS代管」的示範教學在「DNS 紀錄」中加入簡短的一行即可應付大多數使用者的網路環境,如:
[v=spf1 a mx ptr ~all]
SPF測試 記錄中的參數請參照下面的解說:
1. ' a ' :比對 dns 中的 a 紀錄,若沒有指定哪個網域名,則以目前的的網域為主。
2. ' mx ' :比對 dns 中的 mx 紀錄,若沒有指定哪個網域名,則以目前的網域為主。
3. ' ptr ' :比對 dns 中的 ptr 紀錄,若沒有指定哪個網域名,則以目前的網域為主。
4. ' ~all ':參數若比對失敗,信件仍能寄進來,但該信件標題會加註 'SPF-Failure' ,並置於垃圾信件資料夾中。
加入上述參數後,SPF 紀錄能提供「收信端」更多資訊去對從您網域寄出的郵件做更正確的辨識。
C. 相反地,EVO 如何將 SPF 應用在新進郵件的過濾呢?
EVO 對任何新進信件一律接收,但是能夠透過郵件中的 SPF 紀錄做精確的篩選。任何不符合規則的信件皆會移至 SPAM 的資料夾中。讓郵件管理員和使用者仍然能夠從 SPAM 資料夾中「救出」因寄信方沒做好 SPF 紀錄而被誤判為 SPAM 的郵件。
請到 EVO GUI 的「設定/進階頁面/垃圾信防治設定」開啟「是否啟用SPF檢查」即可。
請注意一點:任何在「安全/IP位址白名單設定」中的 IP 位址皆不受到 SPF 的檢查與過濾,請小心使用。