邮件服务器DNS设置-----MX、SPF、DKIM记录详解

邮件服务器的DNS设置

DNS记录,需要你到你的域名托管商那里进行设置或者你自己管理DNS服务器。不少域名托管商不支持txt记录或者不支持DKIM记录,所以你就无法使用SPF和DKIM的功能。
DNS的修改,需要48小时以上才能生效。
国内的万网是不支持DKIM,目前新网是支持SPF和DKIM。

1.MX记录
邮件的MX记录最好是指向机器A记录,尽量不要直接指向IP地址(不符合规范)。
1.1 添加A记录
mail.example.com 192.168.1.100
1.2 添加MX记录
example.com mail.example.com
1.3 测试MX记录
# host exmple.com
example.com mail is handled by 10 mail.example.com.
#nslookup mail.example.com
Name:mail.example.com
Address:192.168.1.100

2.SPF记录
SPF是指Sender Policy Framework,是为了防范垃圾邮件而提出来的一种DNS记录类型,SPF是一种TXT类型的记录。SPF记录的本质,就是向收件人宣告:本域名的邮件从清单上所列IP发出的都是合法邮件,并非冒充的垃圾邮件。设置好SPF是正确设置邮件发送的域名记录和STMP的非常重要的一步。
例如:
SPF 记录指向A主机记录
example.com.           3600    IN      TXT     "v=spf1 mx mx:mail.example.com ~all"
SPF 记录指向IP地址
example.com.          3600    IN      TXT     "v=spf1 ip4:192.168.1.100 ~all"

2.1 如何查看SPF
Windows下进入DOS模式后用以下命令:
nslookup -type=txt 域名
Unix操作系统下用:
# dig -t txt 域名

2.2 SPF的简单说明如下:
v=spf1 表示 spf1 的版本
IP4 代表IPv4进行验证(IP6代表用IPv6进行验证), 注意 “ip4:” 和“IP”之间是没有空格的
~all 代表结束

2.3 SPF记录例释
我们看这条SPF:
yourdomain.com "v=spf1 a mx mx:mail.jefflei.com ip4:202.96.88.88 ~all"
这条SPF记录具体的说明了允许发送 @yourdomain.com 的IP地址是:a (这个a是指 yourdomain.com 解析出来的IP地址,若没有配置应取消)
mx (yourdomain.com 对应的mx,即 mail.yourdomain.com的A记录所对应的ip)
mx:mail.jefflei.com (如果没有配置过mail.jefflei.com这条MX记录也应取消)
ip4:202.96.88.88 (直接就是 202.152.186.85 这个IP地址)
其他还有些语法如下:
- Fail, 表示没有其他任何匹配发生
~ 代表软失败,通常用于测试中
? 代表忽略

如果外发的ip不止一个,那么必须要包含多个
v=spf1 ip4:202.96.88.88 ip4:202.96.88.87 ~all

2.4 测试SPF设置结果
设置好 DNS中的SPF记录后,发送邮件给自己的gmail,然后查看邮件的源文件,应该能看到类似的邮件头,其中有pass表示设置成功。
Received-SPF: pass (google.com: domain of [email protected] designates
    202.96.88.87 as permitted sender) client-ip=202.96.88.87;
需要注意的是,服务器的IP若有更改,需要同时修改SPF!!!

2.5 利用SPF记录防止垃圾邮件
在Unix下可以安装配置SpamAssassin之类的插件来防止垃圾邮件和钓鱼邮件(Phishing)

3.DKIM记录
DKIM 技术通过在每封电子邮件上增加加密的数字标志,然后与合法的互联网地址数据库中的记录进行比较。当收到电子邮件后,只有加密信息与数据库中记录匹配的电子邮件,才能够进入用户的收件箱。它还能检查邮件的完整性,避免黑客等未授权者的修改。 DKIM 的基本工作原理同样是基于传统的密钥认证方式,他会产生两组钥匙,公钥(public key)和私钥(private key),公钥将会存放在 DNS 中,而私钥会存放在寄信服务器中。私钥会自动产生,并依附在邮件头中,发送到寄信者的服务器里。公钥则放在DNS服务器上,供自动获得。收信的服务器,将会收到夹带在邮件头中的私钥和在DNS上自己获取公钥,然后进行比对,比较寄信者的域名是否合法,如果不合法,则判定为垃圾邮件。 由于数字签名是无法仿造的,因此这项技术对于垃圾邮件制造者将是一次致命的打击,他们很难再像过去一样,通过盗用发件人姓名、改变附件属性等小伎俩达到目的。在此之前,垃圾邮件制造者通过把文本转换为图像等方式逃避邮件过滤,并且使得一度逐渐下降的垃圾邮件数目再度抬头。
注意:Amavisd-new 只有 2.6.0 及以上版本集成了 DKIM 功能。

3.1 这里可以通过iredmail.tips 获得域名的DKIM,也可以在命令行下输入
# amavisd-new showkeys
; key#1, domain example.com, /var/lib/dkim/example.com.pem
dkim._domainkey.example.com.    3600 TXT (
  "v=DKIM1; p="
  "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDGNVMuQRKqYeySIzqTGTm3xRzF"
  "/ZzhmMnpZkEcVVjFAk+t7E388oFGu/knyh6KBKwpZxHUN5HoOYVjMudqaR2FcSvK"
  "z+joFj8Vh3rXoTLa1zHDyfD7hICzxdEgmQZ8MJM5rjPPrRGZXnPowNYDsd6nDJ86"
  "N38iFYU+jALBYDLBwQIDAQAB")

3.2 把上面记录添加到ISP的DNS记录
dkim._domainkey.example.com.   v=DKIM1; p=MIGfMA0....(省略)DLBwQIDAQAB

3.3 添加完DNS记录后,如果记录生效,可以通过运行命令检测
# amavisd-new testkeys
TESTING: dkim._domainkey.example.com      => pass

检查DNS设置
下面有几种方法,可以帮助你检测DNS是否设置生效和正常工作:
1.nslookup
#nslookup
Default Server:  unknown
Address:  192.168.1.1
> server 4.2.2.1
Default Server:  vnsc-pri.sys.gtei.net
Address:  4.2.2.1
> set type=mx
> example.com
Server:  vnsc-pri.sys.gtei.net
Address:  4.2.2.1
Non-authoritative answer:
example.com      MX preference = 20, mail exchanger = mail.example.com
> set type=txt
> example.com
Server:  vnsc-pri.sys.gtei.net
Address:  4.2.2.1
Non-authoritative answer:
example.com      text =
        "v=spf1 ip4:192.168.1.100 -all"
> dkim._domainkey.example.com
Server:  vnsc-pri.sys.gtei.net
Address:  4.2.2.1
Non-authoritative answer:
dkim._domainkey.example.com      text =
        "v=DKIM1; p= MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCsgZaIvYHAos2jbp3CHW0
AwrTnAEwV1p4EaZP/JuF8t1BETBVg6WJr3YWN5ijCpi9vnw96nmf/u5MgtbLwZ+AzDBkbOY7Jbb/hIO+
mpmmfdJAY3w8KoXLCuQKDysXOys45YtfJEj66s51EHH3W+iXPYw3I/NWHjY3a5/mXnk4XJQIDAQAB"

2.linux dig
MX记录
# host exmple.com
example.com mail is handled by 10 mail.example.com.

SPF记录
# dig txt hotmail.com
; <<>> DiG 9.4.2-P2 <<>> txt hotmail.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43130
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;hotmail.com.                   IN      TXT

;; ANSWER SECTION:
hotmail.com.            3600    IN      TXT     "v=spf1 include:spf-a.hotmail.com include:spf-b.hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com ~all"

;; Query time: 176 msec
;; SERVER: 64.71.161.8#53(64.71.161.8)
;; WHEN: Sat Dec  5 08:43:51 2009
;; MSG SIZE  rcvd: 157

DKIM记录

#dig txt  dkim._domainkey.example.com

时间: 2024-10-18 14:07:52

邮件服务器DNS设置-----MX、SPF、DKIM记录详解的相关文章

css网页中设置背景图片的方法详解

css网页中设置背景图片的方法详解 在css代码中设置背景图片的方法,包括背景图片.背景重复.背景固定.背景定位等 用css设置网页中的背景图片,主要有如下几个属性: 1,背景颜色 {background-color:数值}2,背景图片 {background-image: url(URL)|none}3,背景重复 {background-repeat:inherit|no-repeat|repeat|repeat-x|repeat-y}4,背景固定 {background-attachment

邮件安全之SPF记录详解

什么是SPF   就是Sender Policy Framework.SPF可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案.当你定义了你的domain name的SPF记录之后,接收邮件方会根据你的SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则 则认为是一封伪造的邮件. 下面为SPF的详细介绍, 一 句型 在一条SPF记录中,按照排列的先后顺序,对所给出的机制进行验证.如果在SPF记录中,没有机制或修改符,默认结果是中性(Neutra

邮件的DNS设置

为了反垃圾,在发件人使用的域名下面最好配置两条DNS记录:SPF和DKIM,他们都是用来反垃圾的,邮件接受服务器会检查这两项,只有符合要求才会进入用户的邮箱. 一般来说,大批量发送邮件时,我们会使用第三方的邮件服务,比如sendgrid, postmarkapp等,他们会给你提供这两条记录的值,你自己在域名托 管商那里,在发送邮件的那个域名下面添加这两条记录即可.比如你用[email protected]发送邮件,那你就到fuck.com域名下面添加这两条记录 1. DKIM记录 DKIM 的基

马哥教育第十八天DNS、bind的基本配置详解

1.DNS: Domain Name Service DNS工作在53端口上,查询时使用udp协议,传送时使用tcp协议,全称域名:称为FQDN(Full Qualified Domain Name) 根域:root domain                        一级域:top-level domain                        二级域:公司.组织.个人使用                        主机: 递归:A --> B --> C -->

DNS原理总结及其解析过程详解

一.域名系统 1.域名系统概述 域名系统DNS(Domain Name System)是因特网使用的命名系统,用来把便于人们使用的机器名字转换成为IP地址.域名系统其实就是名字系统.为什么不叫“名字”而叫“域名”呢?这是因为在这种因特网的命名系统中使用了许多的“域(domain)”,因此就出现了“域名”这个名词.“域名系统”明确地指明这种系统是应用在因特网中. 我们都知道,IP地址是由32位的二进制数字组成的.用户与因特网上某台主机通信时,显然不愿意使用很难记忆的长达32位的二进制主机地址.即使

PHP header函数设置http报文头示例详解

//定义编码 header( 'Content-Type:text/html;charset=utf-8 '); //Atom header('Content-type: application/atom+xml'); //CSS header('Content-type: text/css'); //Javascript header('Content-type: text/javascript'); //JPEG Image header('Content-type: image/jpeg'

搭建主从DNS服务器及重要传送和递归属性详解

1.allow-recursion 主要功能是允许哪些主机递归查询,以免DNS服务器挂机或浪费网络资源 例如:仅允许1.1.1.0/24网段内的主机递归DNS查询,其他主机一律不许递归 allow-recursion { 1.1.1.0/24; }; 2.allow-transfer,仅对从服务器进行区域数据传送,否则安全风险 例如:仅对1.1.1.19这台从DNS服务器进行区域数据传送 allow-transfer { 1.1.1.19; }; 3.背景:搭建主从DNS服务器,要求如下: a.

DNS子域授权、view配置详解

子域授权:其实就是将一个比较大的域再分割成小区域,每个小区域可以交由一组或多组服务器管理,这些服务器只解析其管辖范围内的域名,超出其范围的解析请求一般会转发给父域或直接转发给根域.子域是相对而言的,对于根来说顶级域名就是它的子域,依次类推,我们这里讲提到的子域授权是针对二级域名来说的,也就是三级域名授权. 正向区域的子域授权:使用胶水记录(glue record),也就是在父域中添加一条NS记录和一条A记录即可.如果客户端的请求超出子域的解析范文,那么我们就需要定义转发服务器. 定义转发服务器:

树莓派的设置及opencv的安装详解

1.树莓派的系统下载网站为:https://www.raspberrypi.org/downloads/raspbian/,其中选择Raspbian Jessie with desktop此版本,另外的mini版功能不是很健全,不推荐. 当然也可以在https://www.raspberrypi.org/downloads/网址下载NOOBS然后选择安装,据说会更简洁. 下载raspbian系统时可以用utorrent种子软件来下载,速度可达2M左右,很节省时间.系统压缩包为1.6G,安装完成占