域名邮箱安全之如何防止别人伪造你的邮箱发送邮件

笔记 2018-06-28

看标题,可能大部分人都觉得很蠢,用spf不就可以了吗,刚开始我也以为是这样的,直到我研究才发现spf只是一部分,光用spf防止不了伪造的。很久没写文章了,我也标题党一回。

测试邮件服务商

  • gmail
  • 163
  • outlook

spf是什么

SPF是为了防范垃圾邮件而提出来的一种DNS记录类型,它是一种TXT类型的记录,它用于登记某个域名拥有的用来外发邮件的所有IP地址。

spf标准

spf

邮件服务商测试

dig +short TXT 0aa.me 可以看到该域名已经设置spf
0aa_me_spf

163邮件服务商

正常发送邮件:收到的邮件头,spf=pass,说明发件人是在spf列表里面的
邮件在收件箱中
163_spf

伪造发件人的邮件:收到的邮件头,spf=permerror
邮件在收件箱中
163_spf_permerror
看上面spf图,permerror属于严重错误,但是目前没有规定怎么处理,经过实践在163邮箱中permerror等于fail

gmail邮件服务商

正常发送邮件:收到的邮件头,spf=pass,说明发件人是在spf列表里面的
邮件在收件箱中
gmail_spf

伪造发件人的邮件:收到的邮件头,spf=fail,邮件在收件箱中,不是说好的拒绝这封邮件的吗...
gmail_spf

outlook邮件服务商

正常发送邮件:收到的邮件头,spf=pass,说明发件人是在spf列表里面的
邮件在收件箱中
gmail_spf

伪造发件人的邮件:收到的邮件头,spf=fail
邮件在垃圾箱
gmail_spf

解决方案

DMARC协议:2012年1月30号,由Paypal,Google,微软,雅虎,ReturnPath等15家行业巨头(主要包括 金融机构,Email服务提供商,数据分析机构等)联手宣布成立了新的互联网联盟,致力于提交并推广一款[DMARC]新电子邮件安全协议。随着该联盟的日渐发展,继而有网易等其他行业先行者也加入到其中。
文档:https://support.google.com/a/answer/2466580
dmarc

dmarc参数列表

dmarc_p

p参数的三个配置

  • p=none 不采取任何行动,即使邮件spf标记为fail也不会进行任何处理
  • p=quarantine 隔离邮件,将邮件放到垃圾箱里面
  • p=reject 拒绝邮件,不接收spf标记为fail的邮件
添加spf记录

在域名管理添加两条txt记录,以腾讯域名邮箱为例,其他的邮箱服务商可以翻翻官方的文档
第一条
主机名:@ 类型:txt 值:v=spf1 include:spf.mail.qq.com -all

第二条
主机名:* 类型:txt 值:v=spf1 include:spf.mail.qq.com -all
domain_txt_spf

添加dmarc记录 - 拒绝邮件

在域名管理添加一条txt记录,p=reject
主机名:_dmarc 类型:txt 值:v=DMARC1; p=reject; rua=mailto:you_name@you_domain.com
dmarc_reject

三家厂商对dmarc协议p=reject的结果

  • gmail: 拒绝邮件
  • 163: 拒绝邮件
  • outlook: 邮件放在垃圾箱

outlook_fail

添加dmarc记录 - 隔离邮件

在域名管理添加一条txt记录,p=quarantine
主机名:_dmarc 类型:txt 值:v=DMARC1; p=quarantine; rua=mailto:you_name@you_domain.com
dmarc_quarantine

三家厂商对dmarc协议p=quarantine的结果
1.gmail,邮件放在垃圾箱
gmail_quarantine_test
gmail_quarantine_test2

2.163,邮件放在垃圾箱
163_quarantine_test

3.outlook,邮件放在垃圾箱
outlook_quarantine_test

总结

1.spf必须配合dmarc使用,dmarc有三个配置可以决定是否处理spf标记为fail的邮件。
2.需要注意的是,当spf和dkim一起使用的时候,只要其中一个的值为pass的时候dmarc就会放行。
3.光使用spf会有一些风险,比如说网络不好导致dns查询失败可能邮件会被处理掉。
4.有得有失。

参考

http://www.renfei.org/blog/introduction-to-spf.html spf详解
https://emkei.cz/ 在线伪造邮箱发邮件
https://support.google.com/a/answer/2466580 dmarc相关介绍


本文由 Mosuan 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

已有 2 人抢先你了

  1. 顺天意 顺天意

    珍惜这时间吧!

    中华民族在历史上,走过了秦、汉、三国、晋 、南北朝、隋、唐、宋、元、明、清、民国等朝代,历朝历代都是这样更迭表演着;每个朝代都想永远统治江山,但每个朝代最后都逃脱不了被历史淘汰的命运;一个朝代结束,另一个朝代又来;朝朝如此,代代相续;中华民族就这样沧桑而又茁壮的走过了五千年 。

    今天的中国红朝政权也到了大清朝末期的末期的最后一刻。国库已空,无官不贪,无民不刁,无处不拆,民怨极大,军民思变,动乱频传,贫富巨差,官民对立,种种丑态,种种乱象。红朝崩溃、政权灭亡的时间到来了。

    然上天有好生之德,不忍心生灵涂炭,想尽量避免历朝历代所出现的血腥场面,意让这个崩溃的政权从内部清洗、自我过渡到新朝、新代、新政权。

    民间舆论,海内外精英包括体制内有识之士,已经发出惊呼:改革(改良的希望)已死,革命必来。

    清醒吧,不要对邪恶的流氓集团再抱有任何幻想。

    中华民族的淘汰旧王朝,进入新朝代的历史轮回时刻又一次来到了。

    顺天意者得天下,方有未来。如此,众生喜之,天地欣之。

    自救方式:从退出共党及其附属组织开始。珍惜这时间吧!

  2. 宣布 宣布

    正式宣布退出~~~~

    经过几十年的观察以及思考,对比着古往今来的中国历史和世界历史,琢磨着世界民主自由道路的发展,我发现我们生活在一个谎言的国度,一个滥用权力的国度,一个不知悔改与进步的国度!

    同时发现,共 产 党的政治手段非常龌龊,把爱国家等同于爱政党,把爱人民等同于爱政府,丝毫不曾思考,自身的局限性以及邪恶的本质!就连小学生,都要签字所谓的少先队!完全不问问孩子们是否愿意,或者完全将孩子们的善良天真的秉性,绑架在政党这个邪恶的大车轮上!完全不顾孩子的自由发展,绑架孩子的意志,从小洗脑!以至于成年后,不知道什么叫自由、平等、博爱与真正的幸福之所在!成为了标准的新时代的可悲的奴才,奴隶与奴仆!

    本人代表如下9人,正式宣布退出中国共 产 党的一切组织和社团,特此声明!

    符进华、符进明、符雪芳 等 9人

    中国广州

添加新评论