SPF(发件人策略框架)
SPF(发件人策略框架) 是什么?
SPF(发件人策略框架)RFC 7208 定义的邮件认证机制,允许域名所有者在 DNS 中公开授权使用其域名作为信封 MAIL FROM 的 IP 地址或主机。
SPF (Sender Policy Framework) 由 RFC 7208 规定,允许域名所有者发布一条 TXT 记录(例如 v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all),列出允许的发送方。接收方 MTA 将 SMTP MAIL FROM (return-path) 域名与该策略对比,得出 pass、fail、softfail、neutral 或 temperror 等结果。SPF 仅认证信封发件人,而非用户看到的 From: 头域,因此单独使用无法阻止显示名伪造。它与 DKIM 一起是 DMARC 的两大基础组件。运维上需避免超过 10 次 DNS 查询限制,使用合适的限定符,并优先采用 -all(硬失败)而非 ~all 以实现真正的执行。
● 示例
- 01
发布 v=spf1 include:_spf.google.com -all,授权 Google Workspace 的出站 IP 并拒绝其他来源。
- 02
使用第三方 SPF flatten 服务,保持在 10 次 DNS 查询的限制之内。
● 常见问题
SPF(发件人策略框架) 是什么?
RFC 7208 定义的邮件认证机制,允许域名所有者在 DNS 中公开授权使用其域名作为信封 MAIL FROM 的 IP 地址或主机。 它属于网络安全的 网络安全 分类。
SPF(发件人策略框架) 是什么意思?
RFC 7208 定义的邮件认证机制,允许域名所有者在 DNS 中公开授权使用其域名作为信封 MAIL FROM 的 IP 地址或主机。
SPF(发件人策略框架) 是如何工作的?
SPF (Sender Policy Framework) 由 RFC 7208 规定,允许域名所有者发布一条 TXT 记录(例如 v=spf1 ip4:192.0.2.0/24 include:_spf.example.net -all),列出允许的发送方。接收方 MTA 将 SMTP MAIL FROM (return-path) 域名与该策略对比,得出 pass、fail、softfail、neutral 或 temperror 等结果。SPF 仅认证信封发件人,而非用户看到的 From: 头域,因此单独使用无法阻止显示名伪造。它与 DKIM 一起是 DMARC 的两大基础组件。运维上需避免超过 10 次 DNS 查询限制,使用合适的限定符,并优先采用 -all(硬失败)而非 ~all 以实现真正的执行。
如何防御 SPF(发件人策略框架)?
针对 SPF(发件人策略框架) 的防御通常结合技术控制与运营实践,详见上方完整定义。
SPF(发件人策略框架) 还有哪些其他名称?
常见的别称包括: 发件人策略框架。
● 相关术语
- network-security№ 333
DMARC
RFC 7489 定义的邮件认证标准,域名所有者可发布策略告诉接收方如何处理 SPF/DKIM 失败或不对齐的邮件。
- network-security№ 330
DKIM
RFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。
- attacks№ 375
电子邮件欺骗
伪造邮件头使邮件看似来自可信发件人,通常用于钓鱼、欺诈或投递恶意软件。
- attacks№ 135
商业邮件诈骗
针对性诈骗:攻击者冒充或接管企业邮箱,诱使员工汇款、修改付款信息或发送敏感数据。
- network-security№ 984
安全邮件网关
位于网络边界或云端的服务,在邮件抵达用户邮箱前过滤入站和出站邮件中的垃圾邮件、钓鱼、恶意软件、数据泄漏和违规行为。
- network-security№ 095
BIMI
一项邮件标准,在支持的客户端中为通过认证的邮件展示经过验证的品牌徽标,前提是该域名启用 quarantine 或 reject 的 DMARC 策略。
● 参见
- № 058ARC(已认证接收链)
- № 452灰名单
- № 336DNS 黑名单 (DNSBL)