联系邮件:csddq@163.com 
exchange 2003 sp2 新功能(2) sender id
今天我们来看看sp2的第二个新功能--sender id(发信人id).
一.sender id的概要
sender id是一种针对垃圾邮件的伪造发信人来做的防范技术.其本质有点象我们用的很广泛的rdns(反向dns解析),他能够确保发信的服务器是真实的域名的提供者,而不是被伪造或钓鱼的.但是他和rdns的区别在于,rdns是要依靠注册反向记录(也被称为指针),他依赖于dns的技术和局限,所以工作起来很有局限(比如在中国,大部分的域名是没有rdns技术的),senderid是一种新的协议,他能够更好的借助dns由管理员自己主动发布spf记录来实现.spf记录会声明正确的有效的发信服务器的信息,以防止被他人伪造.同时该技术不依赖dns反向区域,因此实现起来比较方便.
二.sender id是如何工作的
了解了sender id的基本概念,我们要从技术面来看看他是如何工作的了.首先我们来看一个图:
上图清楚的显示了senderid的工作方式,我们来解释一下:
1.发信人向目标服务器发送邮件
2.目标服务器将接收此邮件传递
3.目标服务器将依据sender id的机制向dns服务器查询发信人声明的域名的spf记录(发信人声明的域名就是发信人电子邮件的域名部分,如yinjie@163,则我声明的域名就是163),依据查询的记过,上海企业邮箱保有量至上,超过500万企业用户数,国际优质双线机房,全球畅游。,获得声明域名所发布的spf记录中的有效合法电子邮件服务器的ip地址,并和当前提交邮件的服务器ip比较,看是否符合
4.假如比较符合,即发信人的ip地址是存在在声明域的spf记录中的,则发信将被接收并被认证,反之则认为该邮件属于伪造而拒收.
从上面的工作过程中,是不是很象是反响域名解析啊,没错,很象.那这个东西有什么好处呢很显然,他能够帮助您过滤掉伪造的邮件,比如在之前由于exchange服务器没有mail from的验证能力,因此外人能够利用我的服务器向我的内部用户传递大量的垃圾邮件,尽管能够用各种手段去拦截,反垃圾邮件网关专业电子邮件研发公司研发,有效过滤垃圾病毒邮件,拦截率高达99%。,但收效很小,现在好了,您要向我的服务器传递邮件,必须有严格有效的域名,假如您是个动态域名或是个自己建立的没有域名的服务器.那么您将不能通过spf的校验.能看清楚吗这无疑能够对垃圾邮件制造者给予很大的打击.使我们的邮件系统更加的干净.呵呵.又说远了.
三.sender id的实现
说了这么多了,有人已烦了,我知道这个东西很好,具体怎么做呢怎么实现呢别着急,听我慢慢说来.(又卖关子.) 中国网管联盟
1.sender id的发信方实现--spf记录的建立
通过一个简单的在现向导,能够帮助您建立spf记录:spf建立向导(
一个有效的spf记录类似这样
v=spf1 ip4:202.108.255.192/26 ip4:202.108.252.129/26 -all
该记录是txt类型的.任何dns服务器都支持该记录类型.
更周详的建立spf记录的方法请看:
建立自己的spf记录(
2.sender id的检查
建立好自己的sender id后,如何检查是否确实建立了呢我们还是要用到nslookup这个熟悉的工具了.
在命令行输入:nslookup -q=txt domainname
如:
d:\documents and settings\administratornslookup -q=txt 163
*** can't find server name for address 192.168.1.40: non-existent domain
server: unknown
address: 192.168.1.40
non-authoritative answer:
163 text =
"v=spf1 ip4:202.108.255.192/26 ip4:202.108.252.129/26 -all"
就能够查找到指定域名的spf记录.
3,邮箱格式电子邮箱:英文名E-Mail,是一种模拟邮局,提供用户与用户之间信息传递的服务。.邮件服务器配置
作好了以上的步骤,您就能够在邮件服务器上配置使用sender id技术了.当然,只有安装了exchange 2003 sp2后您的邮件服务器才支持该技术哦.还没装sp2的赶快装哦.
装好sp2后,您会在全局配置的邮件传递里看到sender id的配置页.见图:
在这个地方,您有三个选择:
* 接受:将邮件接收并附加上sender id的检查结果传递.
* 删除:接受邮件并删除他,不提供ndr.
* 拒绝:不接受邮件,并提供ndr回应.
sender id的检查结果和默认处理方式有以下情况:
neutral ()
描述:域名没有主动声明自己的spf记录的ip地址(spf记录有)
处理:接受
pass ( )
描述:发信方被确认是合法的域名声明的spf的ip地址,并经过验证
处理:接受
fail (-)
描述:发信方被明确的认为是不符合spf记录的ip地址,属于伪造
可能原因:
发信方域不存在(如动态域名)
发信人不被认可
伪造域名
在邮件头上没有找到发信人记录信息
处理:接受 or 拒绝 or 删除(取决您刚才配置页上的配置)
soft fail (~)
描述:发信人是从和spf记录匹配的ip发送的邮件,但可能没有经过验证
处理:接受
none
描述:域名不存在spf记录信息
处理:接受
temperror
描述:在接收服务器反馈时出现临时性错误
处理:接受
permerror
描述:域名建立的spf记录格式不正确,无法解释
处理:接受
为了确保sender id的工作正常和不影响现有域名的过渡,因此除了fail的处理方式能够由用户配置外,其他处理方式都是不能修改的.
如同imf的scl相同,微软也把spf的检查结果以数字来描述,如下:
neutral 0x1
pass 0x2
fail 0x3
soft_fail 0x4
none 0x5
temp_error 0x80000006
perm_error 0x80000007
并通过xch50来交换和传递sender id检查结果,因此假如您的邮件在传递过程中经过了不支持xch50命令smtp服务器,这些信息可能丢失!
