点拨论坛,菜鸟家园

 找回密码
 立即注册

QQ登录

只需一步,快速开始

教程经验总索引TVMW5/小日本5 索引【视频转换】小日本4/TE4XP 索引【视频转换】TAW4 / TDA3 索引【DVD打包软件】
Nero 索引DVD-Lab 索引【DVD打包软件】编解码器 索引 【必读】固顶帖011号
查看: 1250|回复: 6
收起左侧

[经验] SPF记录,不要使用“~all”

[复制链接]

51

威望

4841

金钱

227

贡献

管理员

孤魂野草

Rank: 9Rank: 9Rank: 9

积分
6102
主题
167
帖子
2373
注册时间
2011-12-18
最后登录
2019-12-5
QQ
发表于 2015-7-14 11:30:45 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
本帖最后由 伤心的笔 于 2015-8-6 15:32 编辑

QQ截图20150714112233.png
QQ截图20150713170846.png
QQ截图20150713171000.png
我们知道,可以以任何人的身份发送电子邮件。好的邮箱可以将其甄别出来,并送入垃圾箱。
昨天用香港服务器往自己的QQ邮箱里发了两封假邮件,今天是用自己的电脑往126邮箱发了封假邮件,
邮件都没有进入垃圾箱
最后那张红字还是因为点拨论坛用了腾讯企业邮,而恰好是QQ邮箱收信,自己能识别。否则(第一张图)连个红字也没有。

用自己的电脑,126爽快地接收了,outlook和QQ不收。而且,就算是有SPF记录,126一声不吭!
为什么呢?因为SPF记录末尾写的是“~all”。请移步4楼

时间有限,没有测试除了126、QQ之外的其他邮箱。感觉一点都不放心了!


评分

参与人数 1威望 +1 贡献 +1 收起 理由
IsaacZ + 1 + 1 有钻研精神!

查看全部评分

相关帖子

9299

威望

61万

金钱

1万

贡献

管理员

自由的灵魂

Rank: 9Rank: 9Rank: 9

积分
712081
主题
4909
帖子
30512
注册时间
2003-4-10
最后登录
2019-12-5
发表于 2015-7-14 17:20:33 | 显示全部楼层
我需要做些什么吗?
IsaacZ的发言中如果提到任何字母缩写或专有名词,在本论坛中一般都能搜索到。点此立即搜索点拨论坛。如有搜索不到的,请尝试搜索百度百科,或者跟帖提问。
发帖前请注意看置顶帖。如果你发现自己的问题没有得到回答,说明你的问题提错了地方或者提问前未先阅读本版规则固顶帖011号

51

威望

4841

金钱

227

贡献

管理员

孤魂野草

Rank: 9Rank: 9Rank: 9

积分
6102
主题
167
帖子
2373
注册时间
2011-12-18
最后登录
2019-12-5
QQ
 楼主| 发表于 2015-7-14 18:06:57 | 显示全部楼层
本帖最后由 伤心的笔 于 2015-8-6 16:06 编辑
IsaacZ 发表于 2015-7-14 17:20
我需要做些什么吗?

似乎做不了什么。我查到了dianbo.org的SPF记录,如果收邮件的一方是负责任的邮箱,邮箱会通过SPF记录检查真伪。SPF记录似乎已经是域名邮箱能做的所有努力了。

51

威望

4841

金钱

227

贡献

管理员

孤魂野草

Rank: 9Rank: 9Rank: 9

积分
6102
主题
167
帖子
2373
注册时间
2011-12-18
最后登录
2019-12-5
QQ
 楼主| 发表于 2015-8-6 15:26:54 | 显示全部楼层
本帖最后由 伤心的笔 于 2015-8-12 16:43 编辑
IsaacZ 发表于 2015-7-14 17:20
我需要做些什么吗?

今天突然发现了,应该把末尾的~all改成-all,以便阻止仿冒邮件!

举个例子:
点拨论坛以前的TXT记录是这么写的
v=spf1 include:spf.mail.qq.com ~all

~的意思是:
Soft Fail
发件 IP 非法,但是不采取强硬措施
接受来信,但是做标记
而-的意思是:
Fail
发件 IP 是非法的
退信
现在把~all改成-all,意思是除了上面的IP,其余发送者以我域名的名义发送的邮件,直接退信。
当然,光这么做还不行,因为网站服务器也可以发信。还需要加上自己的服务器:
假设www.dianbo.org设置了一条A记录,值为118.193.209.152
那么,SPF记录可以这么些写:
v=spf1 a:www.dianbo.org include:spf.mail.qq.com -all

其中a:www.dianbo.org的意思是将www.dianbo.org的A记录指向的IP地址加入白名单。
当然也可以这么写:
v=spf1 ip4:118.193.209.152  include:spf.mail.qq.com -all

(这篇帖子移到“菜鸟学建站”板块比较好)

评分

参与人数 1贡献 +2 收起 理由
IsaacZ + 2 谢谢反馈!

查看全部评分

9299

威望

61万

金钱

1万

贡献

管理员

自由的灵魂

Rank: 9Rank: 9Rank: 9

积分
712081
主题
4909
帖子
30512
注册时间
2003-4-10
最后登录
2019-12-5
发表于 2015-8-6 22:50:06 | 显示全部楼层
已经完全替换成你提供的spf记录,期待有所改善。
IsaacZ的发言中如果提到任何字母缩写或专有名词,在本论坛中一般都能搜索到。点此立即搜索点拨论坛。如有搜索不到的,请尝试搜索百度百科,或者跟帖提问。
发帖前请注意看置顶帖。如果你发现自己的问题没有得到回答,说明你的问题提错了地方或者提问前未先阅读本版规则固顶帖011号

51

威望

4841

金钱

227

贡献

管理员

孤魂野草

Rank: 9Rank: 9Rank: 9

积分
6102
主题
167
帖子
2373
注册时间
2011-12-18
最后登录
2019-12-5
QQ
 楼主| 发表于 2015-8-7 08:31:01 | 显示全部楼层
IsaacZ 发表于 2015-8-6 22:50
已经完全替换成你提供的spf记录,期待有所改善。

测试如下:

用自己家电脑直接往126邮箱发送虚假邮件:
还是可以收到。
(我的域名也是)

用PHP中的Mail()通过服务器往QQ邮箱发送虚假邮件:
1.我自己的域名,因为SPF记录的白名单上有该服务器,所以不是虚假邮件,成功发送
2.尝试使用webmaster@dianbo.org身份发信,发送失败,于是服务器自动把发件人改成自己的,不过加了一句“由webmaster@dianbo.org代发”,QQ邮箱成功接收至收件箱
3.尝试使用noreply@dianbo.org身份发信,发送失败,于是服务器自动把发件人改成自己的,不过加了一句“由noreply@dianbo.org代发”,QQ邮箱将其归至垃圾箱


总结:这样设置还是有一点作用的,不过安全性仍然不高。
126邮箱“非常安全”。

评分

参与人数 1贡献 +1 收起 理由
IsaacZ + 1 谢谢反馈!

查看全部评分

9299

威望

61万

金钱

1万

贡献

管理员

自由的灵魂

Rank: 9Rank: 9Rank: 9

积分
712081
主题
4909
帖子
30512
注册时间
2003-4-10
最后登录
2019-12-5
发表于 2015-8-7 21:51:21 | 显示全部楼层
可以跟126反映一下这个情况,呵呵。
IsaacZ的发言中如果提到任何字母缩写或专有名词,在本论坛中一般都能搜索到。点此立即搜索点拨论坛。如有搜索不到的,请尝试搜索百度百科,或者跟帖提问。
发帖前请注意看置顶帖。如果你发现自己的问题没有得到回答,说明你的问题提错了地方或者提问前未先阅读本版规则固顶帖011号
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|Archiver|手机版|点拨网 - 面向新手的教学站

GMT+8, 2019-12-6 04:33 , Processed in 0.178433 second(s), 20 queries , Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表