技术园地
TECHNOLOGY
再论SPF的重要性!
近期两周,靠谱®云安全网关不断监测到新的钓鱼及病毒邮件开始爆发,在被我们网关屏蔽的同时,我们也在研究这些钓鱼病毒邮件发件域名,大多都是没有设置SPF记录。因为我们观察,发送钓鱼病毒邮件的黑客就喜欢冒用没有SPF记录的域名,如果收件服务器设置了强制检测SPF,退信几率就大;如果没有设置检测SPF,这些钓鱼病毒邮件可能就进入到用户的收件箱了。
近几年由于大量垃圾病毒勒索等邮件安全问题的影响,大家对域名的SPF的设置也越来越重视,但是我们在服务客户过程中发现,还是有不少客户忽视这个问题,他们的邮箱域名都没有设置或正确设置SPF记录,今天我们就来普及下相关知识点
什么是SPF?
SPF是为了防范垃圾邮件而提出来的一种DNS记录类型,它是一种TXT类型的记录,它用于登记某个域名拥有的用来外发邮件的所有IP地址。
通过以上定义来看,如果收件服务器设置强制检测SPF,而发件域名没有SPF或者设置的格式有错误,就会存在发送过去的邮件立即退信或者进入到收件服务器的隔离箱。
正确格式举例,这里经过DOS查询来看一个正确的设置,一个错误的设置。先看QQ邮箱的,QQ邮箱由于IP众多,设置了几层递归,每条递归里面都保证是只存在一条v的记录:
继续看一个错误的案例
可以对比下错误点,就是在子的spf.fpmail.axnsc.cn这条中,包含了两条v的记录;
这是其中一个错误的样例,除了这类错误,我们还经常遇到以下其他几种,例如:
1. ip4:写成了ip:
2. spf1 注意这里是数字1,错误的就写成小写字母l
3. 有些是多个ip 换算成了位的形式,也注意下是否单个还是多个IP
4. -all 前面要有空格 ,每个ip4之间以及include之间也要有空格
设置好后,可通过第三方网站https://www.kitterman.com/spf/test5.py 来检测设置是否有误;
举例,抽查下我们自己的corp-email.com pass 通过!
接下来,一起来看2封钓鱼邮件的例子:
通过信息头查询发送IP 根据网站https://www.kitterman.com/spf/test5.py 检测了两个域名的一个共性都没有SPF!
而这类钓鱼邮件,目标针对性极强,就是破解员工账户和密码,或者让员工电脑中毒,然后就找到一个突破口了,后面的钓鱼邮件和病毒事件爆发得更多。
所以企业一定要给自己的域名设置正确的SPF记录,以及针对接收邮件方面,设置较强的SPF检测。当然防御垃圾钓鱼病毒邮件单靠SPF只是其中的一个方法而已,如果需要更多邮件安全咨询,不妨可以考虑选择一家靠谱的邮件服务商,比如我们靠谱邮件。
