邮件相关的DNS记录类型(MX/SPF/DKIM/DMARC)

已于 2024-06-13 21:47:32 修改
阅读量586 收藏 15
点赞数 23
文章标签: 服务器 运维 网络
于 2024-06-13 21:44:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhugangsong/article/details/139664850
版权

MX records

根据发往收件人的域名,查询DNS记录,得知对应的接受服务器地址,并发送

示例

Hostname: contoso-com.mail.protection.outlook.com
Priority: 0
TTL: 1 hour

MX记录本身没有安全性保护,但可以结合其他DNS记录和安全协议(如SPF、DKIM、DMARC等)提高电子邮件系统的安全性,防止伪造和未授权的邮件发送。

SPF(Sender Policy Framework)

记录用于指定哪些邮件服务器被授权代表你的域名发送电子邮件,通过设置SPF记录,可以防止伪造发件人地址

v=spf1 ip4:192.168.0.10 ip4:192.168.0.12 include:spf.protection.outlook.com -all

ip4: 指定的IPv4地址范围。
ip6: 指定的IPv6地址范围。
a: 发件域名的A记录IP地址。
mx: 发件域名的MX记录IP地址。
include: 包含其他域名的SPF记录。
all: 通配符,匹配所有地址(通常在最后使用)。

根据匹配结果和SPF记录中的修饰符(+, -, ~, ?),接收服务器决定如何处理邮件。
+(Pass):通过SPF验证。
-(Fail):SPF验证失败,通常拒绝邮件。
~(SoftFail):SPF验证软失败,邮件可能标记为可疑或垃圾邮件。
?(Neutral):中性结果,不做特殊处理。

DKIM(DomainKeys Identified Mail)

是一种电子邮件认证方法,用于验证邮件是否来自被授权的邮件服务器,并且邮件内容在传输过程中没有被篡改。它通过使用数字签名技术,增强了邮件传输的安全性和完整性。

DKIM的工作原理涉及两个主要部分:签名过程和验证过程。

  1. 签名过程(Signing Process):
    ○ 当发件人的邮件服务器发送邮件时,它会对邮件的某些部分(如头部和主体)进行加密哈希(rsa-sha256)处理,生成一个唯一的散列值,这些部分包括
    ■ 发件人、收件人、主题、MIME 版本、内容类型、日期和其他邮件头字段(取决于源电子邮件系统)。
    ■ 消息正文
    ○ 这个散列值通过发件人域的私钥进行加密,生成一个数字签名,并将其添加到邮件头部中的DKIM-Signature字段。
    ○ 发件人的邮件服务器将公钥发布在DNS记录中,以便接收方可以使用它来验证邮件。
  2. 验证过程(Verification Process):
    ○ 当接收方的邮件服务器接收到邮件时,它会提取邮件头部中的DKIM-Signature字段。
    ○ 接收方的邮件服务器从发件人域的DNS记录中获取公钥。
    ○ 使用公钥解密签名:使用从DNS中获取的公钥,解密 b 字段中的签名。这个解密操作会还原出发送邮件时对规范化头部字段的哈希值。
    ○ 生成邮件的哈希值:接收方按照 DKIM-Signature 字段中指定的头部字段和规范化算法,计算接收到的邮件头部字段的哈希值。
    ○ 比较解密出的哈希值和计算出的哈希值:如果两个哈希值匹配,则说明签名验证成功,表明邮件内容未被篡改且确实由声明的发送域名发送。
DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=default; c=relaxed/relaxed;
h=from:to:subject:date:message-id;
bh=base64hashedbody;
b=base64signature;

d=example.com:签名域名。
s=default:选择器。
bh=base64hashedbody:邮件正文的哈希值。
b=base64signature:签名本身。

DMARC(Domain-based Message Authentication, Reporting, and Conformance)

记录帮助邮件域名所有者防止域名欺诈
DMARC依赖SPF和DKIM进行校验,又弥补了二者的不足

● 协同SPF和DKIM
○ DMARC通过结合SPF和DKIM来验证邮件。即使一个机制验证失败,另一个机制的成功验证也可以让邮件通过。这种协同机制增强了邮件验证的可靠性。
● 验证 MAIL FROM 和 FROM 地址中的域是否一致
○ SPF对齐:SPF对齐检查邮件的MAIL FROM域名与From头部中的域名是否匹配。
○ DKIM对齐:DKIM对齐检查邮件的签名域(d=标签中的域名)与From头部中的域名是否匹配。
● DMARC提供了认证报告
○ rua=mailto:接收聚合报告的电子邮件地址(汇总报告)
○ ruf=mailto:接收失败报告的电子邮件地址(取证报告、故障报告)
● DMARC提供策略的定义和执行

Hostname: _dmarc
TXT value: v=DMARC1; p=reject; pct=100; rua=mailto:rua@contoso.com; ruf=mailto:ruf@contoso.com
  • pct: 标签在DMARC策略中用于控制策略应用的邮件百分比,帮助域名所有者逐步实施和调整DMARC策略。通过合理使用 pct 标签,域名所有者可以逐步验证和优化配置,从而避免对所有邮件立即应用严格策略,确保电子邮件通信的安全性和可靠性。
  • adkim=s:DKIM对齐方式为严格(strict)
  • aspf=s:SPF对齐方式为严格(strict)
朱敢松
关注
  • 23
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dns入门之DKIM记录
蛐蛐的博客
06-28 2139
1.简介 域密钥识别邮件 (DKIM) 是一种用于防止电子邮件欺骗的身份验证标准。 具体来说,DKIM 试图防止用于传送电子邮件的域的欺骗。 DKIM 采用了控制域的 DNS 记录的域所有者的概念。 在启用 DKIM 的情况下发送电子邮件时,发送服务器使用私钥对消息进行签名。 域所有者还会在发送域的 DNS 记录中添加一条 DKIM 记录。 此 TXT 记录将包含一个公钥,接收邮件服务器使用该公钥来验证邮件的签名。 从而允许收件人确信发件人的真实性。 2.流程 在发送消..
命令查看spf_MXSPF记录的定义及检测方法
weixin_39572972的博客
12-22 1426
MX记录:是邮件交换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据 收信人的地址后缀来定位邮件服务器SPF记录SPF是为了防范垃圾邮件而提出来的一种DNS记录类型,它是一种TXT类型记录,它用于登记某个域名拥有的用来外发邮件的所有IP地址。当SPF 发觉邮件服务器收到了电子邮件的时候,它就会在发送者的地址中进行DNS 的查找,以便确定是否存在有可供其使用的SPF 记录。随后它会把电...
浅释邮件服务相关DNS记录
xy0429的博客
03-21 2316
浅释邮件服务相关DNS记录 本文转自http://www.altn.net.cn/669.html 邮件服务最常用到的DNS记录有A记录MX记录、PTR记录SPF记录。 A记录、AAAA记录         A(Address)记录是用来指定主机名(域名)对应的IP地址的记录,一个邮件服务器必须有一个A记录,A记录对应IPV4,AAAA对应IPV6。如QQ邮箱的其中的
什么是 DNS DKIM 记录
Hello
10-11 1603
DKIM 记录是专门的 DNS TXT 记录,存储用于验证电子邮件真实性的公钥。
邮件服务器DNS设置(MXSPFDKIM)记录详解
07-26
DNS记录,需要你到你的域名托管商那里进行设置或者你自己管理DNS服务器。不少域名托管商不支持txt记录或者不支持DKIM记录,所以你就无法使用SPFDKIM的功能。 DNS的修改,需要48小时以上才能生效。 国内的万网是不支持DKIM,目前新网是支持SPFDKIM
关于SPFDKIMDMARC
Frank的资料库
12-15 2694
发送方策略框架 (sender policy framework, SPF)是一个邮件认证标准,用于防止来自伪装的域名的垃圾邮件。 它也有助于确保邮件正确投递,而不是被投递到收件人的垃圾邮件目录。 SPF的工作机制是,指定允许发送邮件邮件服务器,来预防邮件欺瞒(from地址伪装成来自某个特定的域名) 注意: 组织经常拥有多个域名,仅有部分被用于发送邮件。 因此要仔细认证,小心来自那些未被用于发送邮件域名邮件SPF信息是 注册在DNS中的TXT记录记录了组织授权的邮件服务器,收件方邮件服务器
SPF记录详解
10-17
此外,SPF记录应与其他反垃圾邮件技术如DKIMDMARC结合使用,以提供更全面的邮件安全保护。 总之,理解并正确配置SPF记录对于保护电子邮件系统免受欺诈和恶意邮件的攻击至关重要。对于使用Exchange的Windows环境,...
Linux centos7下使用postfix/dovecot搭建自己的SMTP邮件服务器测试代码
最新发布
01-25
同时,设置SPFDKIMDMARC记录,以提高邮件信誉,防止被标记为垃圾邮件。 以上就是使用Postfix和Dovecot在Linux CentOS 7上搭建SMTP邮件服务器的全过程。在实际应用中,还需要根据具体需求进行调整和优化,例如...
Python-MailinaBox一键轻松部署邮件服务器
08-10
项目会帮助你配置所需的DNS记录,如MX、TXT和SPF,确保邮件正确路由和验证。 2. **SMTP服务器**:用于发送邮件,Mail-in-a-Box 使用的是Postfix,这是一个强大且可定制的邮件传输代理。它处理邮件的发送和接收,...
网络应用服务管理》形考任务-实训4:配置电子邮件服务
04-07
3. 配置DNS记录:确保MX邮件交换器)DNS记录指向邮件服务器,以便其他系统知道如何将邮件路由到你的服务器。 4. 设置防火墙规则:开放SMTP(通常25端口)、POP3(110或995端口)和IMAP(143或993端口)等必要的...
DNS解析软件
01-24
- TXT记录:用于存储任意文本信息,常用于验证(如SPF记录防止垃圾邮件)或服务配置(如DKIMDMARC)。 dig是一款强大的命令行DNS查询工具,常见于Linux和Unix系统中。使用dig,你可以查询上述各种DNS记录,以及...
论文总结——DKIM邮件协议的部署和管理情况研究
Ohh24的博客
08-10 1363
这是一篇来自USENIX Security 2022的论文,题目是《A Large-scale and Longitudinal Measurement Study of DKIM Deployment》,该论文做的是关于DKIM邮件协议的部署和管理情况的研究。
邮件服务器安全SPFDKIMDMARC
王教主的博客
11-10 3166
SPF SPF是指Sender Policy Framework,是为了防范垃圾邮件而提出来的一种DNS记录类型SPF是一种TXT类型记录SPF记录的本质,是向收件人宣告:本域名邮件从清单上所列IP发出的都是合法邮件。 下面例子中,tencent.com宣告:spf.mail.tencent.com 、spf.mail.qq.com 是合法的,其他不合法。 DKIM DKIM 技术通过在每封电子邮件上增加加密标志,收件服务通过非对称加密算法解密并比较加密的hash,判断邮件伪造。 DKIM 的基
MXSPF记录查询的方法
gdali的专栏
07-11 3547
1、进入命令状态;(开端菜单 - 运转 - CMD[回车]); 2、输入命令" nslookup -q=txt qq.com ",查看返回的结果与设置的能否分歧即可如何检测MX记载? 1、进入命令状态;(开端菜单 - 运转 - CMD[回车]); 2、输入命令" nslookup -q=mx qq.com ",查看返回的结果能否正常
邮件服务器DNS设置-----MXSPFDKIM记录详解
热门推荐
mal327的专栏
08-19 7万+
邮件服务器DNS设置 DNS记录,需要你到你的域名托管商那里进行设置或者你自己管理DNS服务器。不少域名托管商不支持txt记录或者不支持DKIM记录,所以你就无法使用SPFDKIM的功能。 DNS的修改,需要48小时以上才能生效。 国内的万网是不支持DKIM,目前新
邮件服务器设置 rDNSMXSPFDKIMDNS记录
虎猫
09-26 3380
https://www.v2ex.com/t/161912 https://wenku.baidu.com/view/2fc57b55f01dc281e53af024.html https://www.douban.com/group/topic/83569978/ http://service.oray.com/question/204.html http://www.renfei.or...
电子邮件欺诈防护之 SPF+DKIM+DMARC
javagty6778的博客
03-19 1万+
PoC:php?后面检查了一下,发现确实是这样子,我们的电子邮件没有加上对应的安全检查,很容易被别人冒发,从而有可能对我们的用户造成严重的电子邮件欺诈。通过 SPF + DKIM + DMARC, 我们的站点可以很好的解决电子邮件欺诈的问题了。
spfdkimdmarc介绍与邮件伪造研究
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
08-18 1万+
文章目录spfdkimdmarc介绍SPFDKIMDMARC测试工具Swaks spfdkimdmarc介绍 SPF SPF(Sender Policy Framework)发件人策略框架 SPF 是为了防范伪造发件人地址发送垃圾邮件而提出的一种开放式标准,是一种以 IP 地址认证电子邮件发件人身份的技术。域名所有者通过在 DNS 中发布 SPF 记录来授权合法使用该域名发送邮件的 IP 地址。 当在 DNS 中定义了域名SPF 记录后,为了确认邮件声称发件人不是伪造的,邮件接收方首先检查邮件
什么是DKIM/SPF/DMARC邮件伪造检测技术
04-29
DKIM(DomainKeys Identified Mail)、SPF(Sender Policy Framework)和DMARC(Domain-based Message Authentication, Reporting and Conformance)是三种常用的邮件伪造检测技术。 DKIM是一种邮件的数字签名技术,它通过在邮件头部添加一个经过加密的签名,来验证邮件的来源是否真实可信。接收方收到邮件后,会对签名进行验证,以确定邮件是否被篡改或伪造。 SPF是一种基于域名邮件认证技术,它通过在域名DNS 记录中添加一些规则,来告诉邮件接收方哪些 IP 地址有权发送来自该域名邮件。当接收方收到邮件时,它会检查邮件的来源 IP 地址是否在域名SPF 记录中,以确定邮件是否真实可信。 DMARC是一种基于 DKIMSPF邮件认证技术,它通过在域名DNS 记录中添加一些规则,来告诉邮件接收方如何处理无法通过 DKIMSPF 验证的邮件。当接收方收到邮件时,它会根据 DMARC 记录中的规则,对邮件进行处理,比如将其标记为垃圾邮件或直接拒绝。 这三种技术的目的都是为了防止邮件被伪造和篡改,提高邮件的可信度和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值