SPF 如何在子域名上工作?

已于 2022-05-19 10:25:20 修改
阅读量268 收藏
点赞数
文章标签: 安全 DMARC Email
于 2022-05-19 10:22:57 首次发布
原文链接:https://dmarcly.com/blog/zh-CN/how-spf-works-with-subdomains
版权

在本文中,我们将了解 SPF 在子域名上如何工作。

如何发现 SPF 策略

正如在 How DMARC Works With Subdomains 文中讨论的那样,并非所有的子域名都需要发布一条 DMARC 记录,如果根域名已经发布了的话。在这种情况下,DMARC 的策略发现过程将把根域名上面的 DMARC 记录用于所有没有显式地发布 DMARC 记录的子域名。

SPF 的情形是否也类似?比如说我们在 domain.com 上面发布了一条 SPF 记录如下:

v=spf1 include:someservice.com -all

sales.domain.com 是在 domain.com 上面的一个子域名,并且 sales.domain.com 并没有发布 SPF 记录。

现在邮件服务器需要对进来的邮件做一个 SPF 检查,该邮件声称来自 joe@sales.domain.com。那么邮件服务器能否找到所需的 SPF 记录?

答案是否定的。在这里,SPF 策略发现机制与 DMARC 策略发现机制不同:如果 SPF 无法在子域名上面找到 SPF 记录,它不会尝试在根域名上面继续查找;SPF 会把 none 当成结果返回。

这是有其本身的道理的。从现实世界的角度看,sales.domain.com 代表的是销售部门,而根域名 domain.com 代表的是整个公司。作为一个专业化的部门,销售部门使用的邮件发送服务是特定于销售的,从而和其他部门使用的服务可能并不相同。因此,如果 sales.domain.com 上面没有 SPF 记录,我们不能简单地使用 domain.com 上面的 SPF 记录。这个理由对其他的部门比如 IT,财务等同样成立。

您应该在 sales.domain.com 上面发布一条包含所有销售部门使用到的服务的 SPF 记录,并且对公司中的每一个发送邮件的子域名(包括多层子域名)执行类似的操作。

如何在子域名上发布 SPF 记录

在子域名上发布 SPF 记录和在根域名上非常类似。您只需要在该子域名上发布一条 TXT 记录:

subdomain IN TXT    "v=spf1 mx include:_spf.google.com ip4:111.13.109.12 -all"

下图示例如何在 GoDaddy 中,在 subdomain.mailiber.com 上面发布 SPF 记录:

publish-spf-record-on-subdomain-godaddy
一旦发布完毕,您可以使用我们的 SPF 记录检查器来确认 subdomain.mailiber.com 的确发布了 SPF 记录:

check-spf-record-subdomain
相关文章:

原文 SPF 如何在子域名上工作?,翻译自 How SPF Works With Subdomains?,转载请保留内容完整。

hifall
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
什么是SPF,邮箱域名的spf记录添加方法
weixin_34326179的博客
07-08 1670
什么是SPF记录?    这里的SPF是指Sender Policy Framework。翻译过来就是发信者策略架构,比较拗口,通常都直接称为SPF。在域名管理系统中对域名做一条以SPF格式为准的txt记录即为SPF记录。 SPF记录有什么用?    SPF是为了防范垃圾邮件而提出来的一种DNS记录类型,它是一种TXT类型的记录,它用于登记某个域名拥有的用来外发邮件的所...
学习spf记录引发的问题(一)
superprintf的博客
02-22 1732
dns一系列学习
如何在您的域名中使用 Google Apps 创建 SPF 记录
最新发布
rubys007的博客
05-09 870
垃圾邮件发送者使用他们的邮件服务器发送电子邮件,但以您的“域”作为发送邮件的地址。受害者常常因此遭受后果,因为他们的声誉受损,他们不得不否认滥用的责任或浪费时间整理错误的退信消息。在为您的域创建 SPF 记录之前,重要的是要找出您的域将使用哪个服务器发送电子邮件。考虑所有可用的邮件服务器选项。SPF 记录的目的是防止垃圾邮件发送者使用您的域伪造的“发件人地址”发送消息。收件人可以参考 SPF 记录来确定声称来自您的域的消息是否来自授权的邮件服务器。这将允许域的 MX 发送邮件,同时禁止所有其他邮件。
SPF详细介绍
weixin_34150503的博客
09-09 856
为什么80%的码农都做不了架构师?>>> ...
可以在域名上发布多条 SPF 记录吗?
hifall的博客
05-17 844
您可以在一个域名上发布多条 SPF 记录吗?答案是否定的:一个域名一定不能有多条 SPF 记录,否则 SPF 会失败并返回永久错误(PermError)。 SPF 记录是位于 DNS 中的 TXT 记录,准确地以 “v=spf1” 开始,后面跟一系列的 mechanisms 和 modifiers。 SPF 检查先获取域名上面的所有以 “v=spf1” 开始的 TXT 记录: 如果没有找到记录,返回 None; 如果找到多条记录,返回 PermError。 比如,如果您有 2 个 TXT 记录在 yo.
什么是SPF,SPF技术浅析
weixin_34402090的博客
12-24 671
什么是SPF记录?   这里的SPF是指Sender Policy Framework。翻译过来就是发信者策略架构,比较拗口,通常都直接称为SPF。在域名管理系统中对域名做一条以SPF格式为准的txt记录即为SPF记录。 SPF记录有什么用?   SPF是为了防范垃圾邮件而提出来的一种DNS记录类型,它是一种TXT类型的记录,它用于登记某个域名拥有的用来外发邮件的所有IP...
SPF记录详解
weixin_34121304的博客
11-18 627
什么是SPF 就是Sender Policy Framework。SPF可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案。当你定义了你的domain name的SPF记录之后,接收邮件方会根据你的SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则 则认为是一封伪造的邮件。 下面为SPF的详细介绍, 一 句型 在...
域名批量解析工具,dns.zip
11-26
例如,企业可能需要检查其所有子公司或合作伙伴的网站IP,或者网络安全专家可能在追踪网络威胁时需要快速获取相关域名的IP信息。 **DNS记录类型解析:** 1. **A记录**:将域名映射到IPv4地址。这是最基本的DNS记录...
细解域名解析
08-09
1. 多站点管理:通过CNAME记录,一个域名可以关联多个子域名,便于管理多个网站。 2. 邮件服务:设置MX记录,确保邮件能正确发送至指定的邮件服务器。 3. 灾备与负载均衡:通过A记录或CNAME记录,可以将域名指向...
域名TXT文本记录添加方法
02-06
例如,对于A记录(指向你的网站IP的记录),如果你的域名和子域名都在同一台服务器上,通常选择“yes”。对于MX记录(邮件交换器记录),如果你的邮件服务不在其他地方,也选择“yes”。 3. 在填写PTR(指针记录)...
什么是域名解析.pdf
05-30
这意味着,无论在域名前添加什么子域名,都能访问到预先设定的网页或服务。例如,如果设置了泛域名解析,那么无论用户输入的是mail.example.com还是blog.example.com,都将被导向至example.com的主网页。 然而,泛...
域名解析信息查询小程序 v1.3
04-22
NS记录:域名解析服务器记录,如果要将子域名指定某个域名服务器来解析,需要设置NS记录 TXT记录:可任意填写(可为空),通常用做SPF记录(反垃圾邮件)使用 AAAA记录:将主机名(或域名)指向一个IPv6地址(例如...
SPF记录
weixin_44669829的博客
09-28 1104
SPF也算是TXT记录的一种,基本所有的邮件服务器都必须配置的DNS记录之一(后面会提到DKIM,DMARC) 除了用nslookup去解析之外,我们也能从email header中获取到SPF的信息。 如果没有配置SPF: 如果配置了SPF,那么有两种情况,也就是记录最后的 -all 如果是 “-” 那么代表的是 hard fail 如果是“~” 代表的就是soft fail 如果是sof...
SPF 常见问题
hifall的博客
05-22 2268
什么是 SPF? SPF (Sender Policy Framework, 发送者策略框架) 是一个邮件验证机制;它允许经过授权的发送者使用域名发送邮件,同时阻止没有经过授权的用户这样做。SPF 使得接收服务器可以检查一封自称发送自某个域名的邮件是否来自该域名管理者授权的 IP 地址。 为什么使用 SPF? 在 SPF 中,您可以使用各种 mechanisms 和 modifiers 来定义一个 IP 地址的白名单,该白名单上的 IP 地址被允许发送来自您的域名的邮件。来自这个白名单之外的邮件会被标记为
为什么 SPF 验证失败:none, neutral, fail(hard fail), soft fail, temperror, and permerror 全解释
hifall的博客
05-25 4002
DMARC (Domain-based Message Authentication, Reporting and Conformance) 指定了这些在 SPF 中可能出现的错误(除了 pass 以外的结果):none, neutral, fail (hard fail), softfail (soft fail), temperror (临时错误), 以及 permerror (永久错误)。 对于那些不熟悉 SPFDMARC 的读者来说,这些问题可能令人困惑:为什么 SPF 会返回这些错误,DMA
SPF 记录:原理、语法及配置方法简介
Stay hungry, Stay foolish
04-16 1333
转:http://www.renfei.org/blog/introduction-to-spf.html   SPF,全称为 Sender Policy Framework,即发件人策略框架。 当前 Email 通信,还是在使用 SMTP 这个协议。SMTP 的全称为 Simple Mail Transfer Protocol,即「简单邮件传输协议」。正如它的名字锁暗示的,SMTP 实
SPF邮件伪造漏洞利用及反邮件伪造技术学习
2301_79837041的博客
03-20 1857
之前只是听说了能伪造邮件后缀进行钓鱼......后来偶然在其他师傅那边了解到邮件伪造漏洞......我就就就就浅浅复现学习了一下!特此对学习到的内容做一个梳理和记录~首先,目前很多邮件用的是简单邮件传输协议SMTP进行通信,但是由于这个协议本身没有很好的安全机制,这也让很多不法分子钻了空子进行钓鱼诈骗。我们先来了解一下SPF是什么,以及怎么用?SPF这个东西的全名是(Sender Policy Framework, SPF),是一个电子邮件验证的机制。
电子邮件欺诈防护之 SPF+DKIM+DMARC
热门推荐
javagty6778的博客
03-19 1万+
PoC:php?后面检查了一下,发现确实是这样子,我们的电子邮件没有加上对应的安全检查,很容易被别人冒发,从而有可能对我们的用户造成严重的电子邮件欺诈。通过 SPF + DKIM + DMARC, 我们的站点可以很好的解决电子邮件欺诈的问题了。
(字典、子域名)合并去重 Python 脚本
LuckySec
05-08 1109
在渗透测试信息搜集过程中,借助Python脚本工具对(字典、子域名)进行批量合并去重,提高渗透效率。
域名配置gmail的spf和dkim记录
06-08
要配置 Gmail 的 SPF 和 DKIM 记录,您需要在您的域名托管服务中进行以下操作: 1. SPF 记录 在您的域名托管服务中添加以下 SPF 记录: ``` v=spf1 include:_spf.google.com ~all ``` 这个记录将允许 Gmail 发送...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值