什么是 SPF

发送者策略框架 (Sender Policy Framework, SPF) 是一种电子邮件验证机制，它使得只有被允许的发送者代表域名发送邮件，并且阻止未被允许的用户这样做。SPF 允许接收服务器检查邮件是否真的来自域名管理者指定的 IP 地址。

比如，当一个恶意的邮件服务器试图将邮件投递到您的邮箱，该邮件号称来自 trustedbank.com，并且要求获取重要并且秘密的信息，这为您和您的邮箱服务提供商带来了安全上的问题。如果邮件服务器不对邮件做任何安全检查的话，该邮件将会抵达收件箱，并有可能引起财务损失。

SPF 能够解决这个问题。这是它的工作原理：假设 SPF 已经在您的邮件服务器上面正确设置，并且恶意邮件服务器的 IP 地址是：1.2.3.4。当恶意服务器连接到您的邮件服务器的时候，您的服务器会检查发起连接的服务器的 IP 地址是否已经被列入发布在域名上面的 SPF 记录。如果是的话，SPF 检查通过，否则不通过。

可以把 SPF 记录看成是一个合法 IP 地址的白名单，当进来的邮件来自一个白名单中指定的 IP 地址，SPF 才会通过。

SPF 如何改进邮件抵达率

当一封电子邮件到达接收服务器时，服务器对该邮件做 SPF 检查。如果该邮件的确来自指定的 IP 地址中的一个的话，检查通过。这种情况叫 SPF 验证通过。

此外，如果该邮件有 DMARC identifier 对齐，即邮件的 envelope from 地址中的域名和 header from 地址中的域名对齐的话，该邮件被称为 SPF 对齐。了解更多的信息：DMARC identifier 对齐。

如果邮件是 SPF 对齐的，那么它是 DMARC 对齐的。DMARC 对齐的电子邮件抵达收件箱的几率更大。在这里了解更多。

https://dmarcly.com/blog/introduction-to-spf

SPF 缺少什么

SPF 中有两个 from 地址：envelope from 地址，由 SMTP 会话中的 mail from 命令指定；header from 地址，由 SMTP data 命令在 From 头域中指定。

在 SPF 检查中，SPF 只检查 envelope from 地址，而并不检查 header from 地址。这意味着攻击者仍然能够从白名单中指定的一个主机使用假冒的 header from 地址向用户发送邮件。这意味着，用户在邮件客户端看到的 from 域名和通过 SPF 验证的域名可能是不一样的。这个安全缺陷可以通过实施前面提到的 DMARC identifier 对齐来解决。

而且，SPF 没有内建报告功能。也就是说仅有 SPF，没有办法获得 SPF 验证报告。DMARC 引入了报告功能，来允许用户获取这些信息。

常见 SPF 错误和修复

SPF 检查失败的话会返回以下的值之一：none, neutral, fail (hard fail), softfail (soft fail), temperror (temporary error), 和 permerror (permanent error)。

要了解这些错误是如何发生的，以及如何修复它们，请参阅为什么 SPF 验证失败：none, neutral, fail(hard fail), soft fail, temperror, 和 permerror 全解释。

帮助实施 SPF 的工具

有各种工具可以用来帮助实施 SPF。

可以使用免费 SPF 记录检查器来检查 SPF 设置是否正确。

这个免费 SPF 记录生成器根据指定设置生成 SPF 记录。

此外，可以使用我们的 DMARC 监测服务来监测电子邮件验证状态，包括 SPF 验证情况，来确保最优电子邮件送达率。

本文翻译自 https://dmarcly.com/blog/introduction-to-spf，转载请保留完整内容。