國際it著名與垃圾為伍

與垃圾為伍愛它、恨它、融化它黃冬（hdcola@）2006年光棍節(jié)目錄技術(shù)規(guī)范介紹技術(shù)規(guī)范實(shí)施說明SPFDomainkeys簡評SenderPolicyFrameworkSPF是發(fā)送方策略框架(SenderPolicyFramework)使用電子郵件頭部信息中的return-path(或MAILFROM)字段結(jié)合服務(wù)者的DNS進(jìn)行郵件發(fā)送主機(jī)的有效性驗(yàn)證//rfc/rfc4408.txt

SPF的工作流程MailhostMailMTADNSDomainKeys使用公共密鑰技術(shù)對郵件的發(fā)送服務(wù)器進(jìn)行驗(yàn)證的技術(shù)/domainkeys/internet-drafts/draft-delany-domainkeys-base-06.txt

Domainkeys的工作流程MailhostMailMTADNSSenderID發(fā)件人ID允許用戶選擇以下兩種檢查機(jī)制之一：PurportedResponsibleAddress(聲稱的負(fù)責(zé)地址，PRA)或“MailFrom”（郵件來源）通過使用上述機(jī)制檢查SPF記錄的有效性并結(jié)合現(xiàn)有防垃圾郵件啟發(fā)算法的結(jié)果，可以大大提高電子郵件的可交付性并減少垃圾郵件和降低誤報現(xiàn)象。/senderid/三種技術(shù)的說明SPF是最為成熟的方案，已經(jīng)在RFC中明確定義Domainkeys成在向RFC的正式確定努力，還在草案階段SenderID正在成為MS推進(jìn)并兼容SPF的規(guī)范目錄技術(shù)規(guī)范介紹技術(shù)規(guī)范實(shí)施說明SPFDomainkeys簡評配置DNS，添加TXT記錄，用于容納SPF查詢的信息配置你的電子郵件系統(tǒng)(qmail,sendmail)使用SPF，也就是說對服務(wù)器上每封進(jìn)入的郵件進(jìn)行驗(yàn)證開啟你的SPFSPF的DNS配置SPF信息放在txt記錄中v=spf1[[pre]type]...[mod]"v=spf1include:-all""v=spf1redirect=_"163.com"v=spf1ip4:/22ip4:/24-all"SPF參數(shù)說明v=spf1[[pre]type]...[mod]SPF的版本SPF參數(shù)說明v=spf1[[pre]type]...[mod]定義匹配時的返回值+：Pass缺省值。在測試完成的時候表示通過-：Fail表示測試失敗。這個值通常是-all，表示沒有其他任何匹配發(fā)生~：SoftFail表示軟失敗，通常表示測試沒有完成?：Neutral表示不置可否。這個值也通常在測試沒有完成的時候使用SPF參數(shù)說明v=spf1[[pre]type]...[mod]定義使用的確認(rèn)測試的類型include：包含一個給定的域名的測試。以include:domain的形式書寫all：終止測試序列。ip4：使用IPv4進(jìn)行驗(yàn)證。這個可以以ip4:ipv4或ip4:ipv4/cidr的形式使用。建議使用這個參數(shù)，以減少域名服務(wù)器的負(fù)荷。ip6：使用IPv6進(jìn)行驗(yàn)證。測試沒有完成的時候使用SPF參數(shù)說明v=spf1[[pre]type]...[mod]定義使用的確認(rèn)測試的類型include：包含一個給定的域名的測試。以include:domain的形式書寫all：終止測試序列。ip4：使用IPv4進(jìn)行驗(yàn)證。這個可以以ip4:ipv4或ip4:ipv4/cidr的形式使用。建議使用這個參數(shù)，以減少域名服務(wù)器的負(fù)荷。ip6：使用IPv6進(jìn)行驗(yàn)證。測試沒有完成的時候使用SPF參數(shù)說明v=spf1[[pre]type]...[mod]a：使用一個域名進(jìn)行驗(yàn)證。這將引起對域名服務(wù)器進(jìn)行一次ARR查詢?？梢园凑誥:domain,a:domain/cidr或a/cidr的形式來使用。mx：使用DNSMXRR進(jìn)行驗(yàn)證。MXRR定義了收信的MTA，這可能和發(fā)信的MTA是不同的，這種情況基于mx的測試將會失敗?？梢杂胢x:domain,mx:domain/cidr或mx/cidr這些形式進(jìn)行mx驗(yàn)證。ptr：使用域名服務(wù)器的PTRRR進(jìn)行驗(yàn)證。這時，SPF使用PTRRR和反向圖進(jìn)行查詢。如果返回的主機(jī)名位于同一個域名之內(nèi)，就驗(yàn)證通過了。這個參數(shù)的寫法是ptr:domainexist：驗(yàn)證域名的存在性?？梢詫懗蒭xist:domain的形式

ip6：使用IPv6進(jìn)行驗(yàn)證。測試沒有完成的時候使用SPF參數(shù)說明v=spf1[[pre]type]...[mod]這是最后的類型指示，作為記錄的一個修正值redirect：重定向查詢，使用給出的域名的SPF記錄。以redirect=domain的方式使用exp：這條記錄必須是最后一條，允許給出一條定制的失敗消息ip6：使用IPv6進(jìn)行驗(yàn)證。測試沒有完成的時候使用目錄技術(shù)規(guī)范介紹技術(shù)規(guī)范實(shí)施說明SPFDomainkeys簡評開啟你的Domainkeys配置_domainkeys.maildomain的DNSTXT記錄，用于容納DomainKeys查詢的信息配置你的電子郵件系統(tǒng)(qmail,sendmail)使用DomainKeys驗(yàn)證，也就是說對服務(wù)器上每封進(jìn)入的郵件進(jìn)行驗(yàn)證配置你的發(fā)件服務(wù)器，在每一封送出的郵件上加入domainkeys的郵件頭示例-郵件頭DomainKey-Signature:a=rsa-sha1;q=dns;c=nofws;s=s1024;d=;h=X-YMail-OSG:Received:Date:From:Subject:To:MIME-Version:Content-Type:Content-Transfer-Encoding:Message-ID;b=BtnXMQkyNWcbkEJCv5IF39uwupUEHFKylkLh0GQ03oUe0MJtGXJ585/kgFYBUZerhuqL4IV7hVwh7suD/VKiOD7OAIO/HzcBNfZah343Ie3XLbsu/spmBDZkVBqZ9swkACuNfVuBhDjetFSbraRfD+8EWq8P9q44H3ZOMPS3Big=;示例-DNS服務(wù)器"k=rsa\;t=y\;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDrEee0Ri4Juz+QfiWYui/E9UGSXau/2P8LjnTD8V4Unn+2FAZVGE3kL23bzeoULYv4PeleB3gfm""JiDJOKU3Ns5L4KJAUUHjFwDebt0NP+sBK0VKeTATL2Yr/S3bT/xhy+1xtj4RkdV7fVxTn56Lb4udUnwuxK4V5b5PdOKj/+XcwIDAQAB\;n=A1024bitkey\;"DNS設(shè)置數(shù)據(jù)存于_子域中使用txt來存儲查詢信息（公鑰）加入多個子域（selectors）用以支持并列查詢beta._s1024._Domainkeys-DNS參數(shù)說明brisbane._domainkeyINTXT"g=;k=rsa;p=MHww...IDAQAB”g=如果value長度非零，那么必須嚴(yán)格符合發(fā)送者地址的localpart部分（選項(xiàng))k=公鑰類型，簽名者和校驗(yàn)者都必須至少支持rsa。在缺省的情況下會使用rsa（選項(xiàng))n=不明信息（選項(xiàng))p=公鑰信息.Base64編碼t=定是了是否為測試狀態(tài)，y代表測試中。（選項(xiàng))公鑰的注意事項(xiàng)由于部分DNS服務(wù)處理大的TXT記錄有問題，所以TXT記錄應(yīng)該盡可能小對于512字節(jié)DNSUDP響應(yīng)包而言，公鑰最大也只能2048位通常公鑰長度不要超過1024位Domainkeys-郵件參數(shù)說明以DomainKey-Signature:形式存于郵件頭中包含的數(shù)據(jù)格式為：DomainKey-Signature:a=rsa-sha1;s=brisbane;d=;q=dns;c=simpleDomainkeys-郵件參數(shù)說明a=簽名算法，缺省是"rsa-sha1"，簽名者和校驗(yàn)者都必須支持s=selector。這里的例子就是brisbane._做公鑰發(fā)布d=域名，用于和selectortag聯(lián)合得到公鑰q=用于取得公鑰的方法，目前只有"dns"是合法的c=規(guī)范化，準(zhǔn)備簽名的數(shù)據(jù)是怎么被表示的，校驗(yàn)者必須支持"simple"和"nofws"，簽名者只需要支持一種b=名數(shù)據(jù)，有可能因?yàn)楦袷蕉迦隬hitespaceh=郵件頭部用于簽名的fieldname簽名約定-simpleemail的每一行數(shù)據(jù)都按順序組織起來簽名如果有"h"tag的話，那么只有處于value中的頭部才被用于簽名body的每一行都被用于簽名刪除每一行的邏輯結(jié)束符然后每一行再增加CRLF所有的尾部空行被忽略，用于分隔header/body的空行需要被包括簽名約定-nofwsemail的每一行數(shù)據(jù)都按順序組織起來簽名頭部續(xù)行被處理成一行如果有"h"tag的話，那么只有處于value中的頭部才被用于簽名body的每一行都被用于簽名刪除email中每一行的foldingwhitespace，RFC2822對之有定義，十進(jìn)制值是9(HTAB),10(NL),13(CR)and32(SP)然后每一行再增加CRLF所有的尾部空行被忽略，用于分隔header/body的空行需要被包括目錄技術(shù)規(guī)范