邮箱安全设置
原创2024年11月6日大约 3 分钟
提示
自搭建邮箱服务器非常容易被黑,导致被拉黑,无法发邮件,因此需要进行安全设置
而安全设置除了邮箱服务器安全设置之外,还需要在DNS端进行配置,确保邮箱发送端安全认证
SPF记录
SPF记录或发件人策略框架记录通过指定允许代表域发送电子邮件的服务器来帮助防止电子邮件欺骗
基本SPF记录是TXT记录包含下表中所示的标签和值。有关SPF记录语法的更多信息请访问此网站
| 标签 | 值 | 示例 |
|---|---|---|
| v | SPF 版本。现在请使用版本“spf1” | v=spf1 |
| ip4 | 授权邮件服务器的 IP 地址。这必须是标准格式的 IPv4 地址或范围 | ip4:your mail server's IP address |
| all | 此值定义接收服务器是否应拒绝来自未经授权的发件人的邮件 | -all拒绝并放弃 ~all允许但标记为可疑 |
按照上述格式如果域名为example.comIP 地址为127.0.0.1则 SPF 记录可能为
- 名称example.com
- 信息v=spf1 ip4: 127.0.0.1 -all
也可以使用SPF在线生成器生成记录进行配置
注意
-all是建议选项因为它可以更好地确保电子邮件来自授权发件人。
DKIM记录
DKIM代表DomainKeys Identified Email。通过在每封传出电子邮件上附加数字签名DKIM提供了一种验证电子邮件是否确实由域所有者授权的方法。
DKIM记录按以下格式添加为TXT记录
| 格式 | 示例 | |
|---|---|---|
| 名称 | DKIM selector prefix._domainkey.your domain name | abc._domainkey.example.com |
| 信息 | v=DKIM1; k=rsa; p=DKIM public key | v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQE |
DMARC记录
DMARC代表基于域的邮件验证、报告和一致性确定如何处理未通过SPF和DKIM检查的电子邮件。借助DMARC的报告功能域所有者可以深入了解邮件流量以更好地检测欺骗攻击。有关DMARC记录的更多信息请访问此网站
DMARC记录是包含以下标签和值的TXT记录
| 标签 | 值 | 示例 |
|---|---|---|
| v | DMARC 版本。现在请使用版本“DMARC1” | v=DMARC1 |
| p | 对未经验证的电子邮件实施的策略 | p=none仅监控 p=quarantine发送到隔离邮箱 p=reject拒绝并封锁 |
| pct | 指定策略强制实施的电子邮件百分比 | pct=100即 100% 的电子邮件将受到监控、隔离或拒绝 |
| rua=mailto | 用于接收报告的电子邮件地址 | rua=mailto:your email address |
按照上述格式如果域名为example.com且用于接收报告的电子邮件地址为postmaster@example.com则DMARC记录可以是
- 名称_dmarc.example.com
- 信息v=DMARC1; p=none; pct=100; rua=mailto:postmaster@example.com
注意
p=none是分析电子邮件流的良好起点但它是一种宽松的策略不会封锁可疑邮件。建议在启用 SPF、DKIM 和 DMARC 一段时间后更改为p=quarantine以更好地防范域欺骗。
DANE记录
TLSA传输层安全验证记录会将 TLS 服务器证书与记录所在的域名相关联。
注意
此功能需要DNS服务器上的DNSSEC功能,DNSSEC需要收费