这年头 Email 的 SPF 验证已经不流行了吗?

2013-08-19 20:31:53 +08:00
 ybf1220
这几天在搭建和测试邮件系统。今天对本域的 SPF 记录进行了测试,看看对方接收的 MTA 有没有对我的 domain 发来的邮件进行 SPF 验证,结果发现现在的 MTA 对 SPF 验证减弱了。包括 163,gmail 邮箱系统。不知道为什么。
以下是我做的一个测试:用 telnet 伪造 qq 邮箱发信人给 163,gmail 邮箱发邮件。

先查出 163.com 的一条 mx 记录


我选了第一条,用 telnet 连接这条 mx 记录的 25 端口 ,让他收信


上面显示已经接收我伪造发信人发的邮件。打开邮箱一看,在 Inbox 中,不在垃圾邮件中。



gmail 也一样,在 Inbox 中


我的感觉:
虽然说 smtp 不怎么可靠。但是在仿造发信人 smtpd_sender_restrictions 这点,邮件系统应该首先考虑吧。而不是在 content_filter 大作文章把。难道我理解错了?
如果 163 都不验证别人的 SPF 了,那么自己域名中的 TXT 记录还放着干嘛?


不过 QQ 不能通过上面的测试。 顺便求推荐安全的邮箱系统配置方法来加固 SMTP!谢谢!
7576 次点击
所在节点    问与答
9 条回复
explon
2013-08-19 20:55:57 +08:00
人家的技术高级着呢,你多发几封就知道了
ybf1220
2013-08-19 21:03:43 +08:00
@explon 感觉这种仿造发信人的不管几封,都是禁止的。你的意思是他们系统有 autolearn 的功能是吧。
qsun
2013-08-19 21:16:31 +08:00
v=spf1 include:spf.mail.qq.com ~all

~all是softfail
megaforce
2013-08-19 21:30:17 +08:00
你试一下伪造spf记录是-all的域名向163发信,看看会不会拒

那么大的邮件系统,不能只看SPF吧。要不然FP会可怕的
ybf1220
2013-08-19 21:36:38 +08:00
@qsun 感觉不是这个问题,因为早上我将我的域名 TXT 改成 -all,晚上再测试 163和 qq 照样收。可以排除 dns 缓存问题。我估计是 X-Spam-Status 判别的问题。SPF_PASS 的分数比较低?
halfbloodrock
2013-08-19 21:48:18 +08:00
你发一两封问题不大,你试着群发1000封就知道了。
一两封,多数不被判定,否则会block掉一些正常行为的测试,还有会造成过滤系统压力过大,


我曾经在的一家公司就是专门干发垃圾邮件的事情。。。。需要做IP反向解析,Domain key,FBL,SPF。。。而且买了大把大把IP群发邮件。否则很容易整段IP被block掉。
ybf1220
2013-08-19 21:55:33 +08:00
@megaforce 和 SPF 是有关系。也不能只看 SPF ,有具体分值的,为什么就是不参考我的域名呢,我设置的没问题啊。
wogong
2013-08-19 22:01:50 +08:00
看下邮件原文,spf校验应该不通过~

垃圾邮件判定不只看spf一个指标吧,具体的只有内部知道了。
ybf1220
2013-08-19 22:06:28 +08:00
@halfbloodrock Reverse DNS 有点难做的。不过 amazon ec2 会默认发邮件提示你的。

@wogong 是的,只是我看不到着详细信息。在我自己的邮件系统看到别人发来的邮件 Header 中是有这个的,

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/79549

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX