DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

ddos防御_盾墙手游下载_指南

07-22 CC防护

ddos防御_盾墙手游下载_指南

Valimail博客什么是SPF?作者:Valimail相关岗位:什么是电子邮件身份验证?什么是DMARC?什么是DKIM?电子邮件认证的五大关键标准发件人策略框架(SPF)是电子邮件身份验证的基石,也是为此目的建立的若干标准中的第一个。SPF允许域名所有者创建规则集,定义给定IP地址的电子邮件服务器是否允许代表该域发送电子邮件。简单地说,SPF允许您为IP地址创建一个白名单。如果IP地址不在您列表中的邮件服务器试图使用您的域发送电子邮件,centoscc防御,它将无法通过SPF身份验证测试。SPF的工作始于2003年,目的是为了控制垃圾邮件,自那以后,域名已经越来越广泛地部署它。SPF于2006年发布为RFC4408,并于2014年通过RFC7208成为正式提出的互联网标准。虽然该标准尚未得到IETF的正式批准,但它是一个事实上的标准,因为它被主要和次要的电子邮件接收者(Google、Microsoft、Yahoo等)以及所有安全电子邮件网关(seg)广泛使用。SPF的工作原理非常简单:域所有者将SPF记录发布到域名系统(DNS)中,该系统为其域指定规则集。SPF记录是纯文本的,它可以简单到一行列出允许代表域发送电子邮件的IP地址。当电子邮件服务器接收到传入的电子邮件时,它会检查邮件返回路径标头中显示的域。它使用DNS检查该域是否有SPF记录。如果有记录,接收服务器会检查发送消息的邮件服务器的IP地址,以确定它是否符合SPF规则。如果有匹配项,则电子邮件通过测试,并且在大多数情况下,将被发送到用户的收件箱;如果不匹配,接收服务器通常会拒绝该邮件或在邮件中添加标记,将其标记为可疑邮件。虽然理论上简单,但在实践中实现SPF可能很复杂。一个潜在的问题是SPF记录是文本的,但是语法有点复杂,很容易出现打字错误或其他难以识别的错误,从而使SPF记录变得无用。例如,我们检查了2017年RSA大会所有62个赞助商的SPF记录。我们发现了58名发表过SPF记录的人,但其中17人的记录有错误。这是一个近30%的失败率-这是安全公司。一般来说,在网络安全(尤其是电子邮件安全)方面缺乏专业知识的公司往往会发现SPF更加棘手。即使是一些提供电子邮件安全系统的公司,他们的SPF记录也有问题!其次,规则(SPF语言中的"指令")可能比IP地址列表复杂得多。例如,SPF记录可以包括:特定允许的IP地址或网络块列表(IP范围)指向其他类型的DNS记录。例如,"如果发送服务器的MX记录或A记录包含特定的IP地址,则让消息通过。"引用由另一个实体控制的SPF规则的"Include"指令。例如,如果您正在使用Google的G套件,并且您希望为Gmail发送的邮件(以及由Google Docs、Google Calendar等发送的电子邮件通知)启用SPF,则应添加"包括:_spf.google.com网站"你的SPF记录。这将告诉邮件服务器对_spf.google.com网站查找此处列出的其他SPF规则。许多其他代表客户发送电子邮件的云服务(有数千个)使用类似的方法。以下是一些SPF的潜在症结。返回路径与起始地址SPF的第一个大问题是,vb防御ddos,它使用消息的返回路径字段中显示的域进行身份验证,而不是人类可以实际读取的From地址。(公平地说,人类也可以读取返回路径地址,但通常只能通过选择一个选项来查看消息的完整标题或完整消息的原始文本。默认情况下通常不显示。)返回路径用于指示跳出邮件(如未送达报告)应转到的位置。在某些情况下,该地址与"发件人"字段中显示的域相同,但在其他情况下,域可能不同。例如,如果您通过邮件列表发送邮件,则"发件人"字段可能显示您的地址,而"返回路径"字段则显示电子邮件列表的地址。或者,如果您使用的是像MailChimp这样的批量邮件服务,那么返回路径地址可能是一个将bounces指向MailChimp的地址,而"可读自"字段则显示您公司的地址。如果邮件返回路径中显示的域没有正确验证,则邮件可能会被拒绝。更糟糕的是,网络钓鱼者可以利用返回路径的一般不可见性,用自己的SPF记录建立自己的域。然后,他们可以发送看似来自可信公司或品牌的仿冒邮件,在"发件人"字段中显示该公司的域,但在"返回路径"中显示仿冒者自己的域。这些消息是假的,网吧ddos防御怎么填,但它们将通过SPF身份验证。这就是为什么SPF本身不是一个完整的电子邮件身份验证解决方案的原因之一。另外一个标准(DMARC)通过允许域所有者要求"对齐"来解决这个问题,这意味着消息必须通过SPF,并且其返回路径和From地址必须相同。我们将在稍后的帖子中对此有更多的了解。10域查找限制第二个大问题是,SPF包含对邮件服务器在评估SPF记录时将执行的DNS查找的数量的限制。这一限制是10,之所以设立这个限制是因为SPF的创建者担心防止拒绝服务攻击。例如,当SPF记录具有指定域的"include"指令时,身份验证服务器需要对该域执行DNS查找,抗ddos攻击防御系统,以便检索包含其他规则的SPF记录。虽然10个查找听起来可能很多,但您可以快速使用它们,特别是因为一个查找可能包含自己的其他查找。例如,"包括_spf.google.com网站"实际上包含四个不同的查找,因为SPF记录在_spf.google.com网站包含另外三个自己的查找。情况变得更糟,因为许多公司现在都在使用各种各样的云服务,类似于G套件,它们代表自己发送电子邮件(用于通知、客户电子邮件等)。所有这些,来自Salesforce.com网站对于Sendgrid,需要在SPF记录"include"指令中说明,如果您想让他们的消息验证为来自您公司的合法电子邮件。它们的任何包含都可能包括多个DNS查找。即使你仔细计算了查找的总数,你使用的供应商之一可能会更改他们自己的SPF记录,改变他们的查找次数,这会影响你的查找总数,而且你不会得到任何通知。接收电子邮件的服务器在尝试验证电子邮件时不会告诉您它们是否超过了10个查找限制。在第10次查找之后,即使有更多的"include"要评估,它们也会停止。因此,域所有者打算验证的电子邮件可能无法通过SPF,nginx防御ddos模块,因为服务器可能永远无法使用本应验证它们的规则。SPF记录中没有IP地址的数量限制,因此一些组织试图通过按IP地址而不是域名列出授权服务器来绕过10个域查找限制。这被称为"扁平化",但它也有自己的问题,我们将在以后的文章中解决这些问题。转发限制SPF的第三个问题是它不支持电子邮件转发。例如,如果你是一所大学的校友,该校为你提供终身电子邮件地址(@校友大学或者类似的),可能会将电子邮件转发到您的实际地址(@gmail.com网站或您的公司地址)。发件人试图通过该地址联系您的任何SPF记录都不会生效,因为在Gmail服务器上,邮件似乎来自学院的电子邮件服务器,而不是来源。同样的问题也适用于电子邮件列表。自动化解决了SPF限制SPF是电子邮件身份验证的一个重要部分,但它不是为云时代设计的,如果您使用两个或三个以上的代表您发送电子邮件的云服务,它将非常笨拙。手工制作SPF记录并将其保存在传统的DNS中对大多数组织都不起作用。更重要的是,SPF不能确保邮件被传递(如果通过)或者被隔离/拒绝(如果失败)。在没有DMARC记录的情况下,接收服务器如何处理SPF失败的消息完全取决于它们。Valimail已经自动化了电子邮件认证的关键方面,包括SPF。Valimail的电子邮件反模拟系统包括一个专门构建的DNS服务,该服务通过一次性委托来响应对域SPF记录的查询。Valimail系统自动为每个查询动态生成一个完美的SPF记录,无需平坦SPF记录(通过列出IP地址而不是域名),并且避免了10个查找限制,无论您授权多少个服务。我们的服务使您只需单击一下就可以轻松添加或删除授权发件人。要了解更多信息,请立即请求演示。在下一篇文章中继续学习电子邮件身份验证的关键标准:什么是DKIM?返回博客2017年5月5日出版网络安全

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/66037.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8784955访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X