邮件伪造

验证域名是否存在邮件伪造漏洞

解决对邮件伪造的疑惑，这里有一个在线的测试网站：https://emkei.cz/ 。可以尝试使用这个网站测试发送一封邮件给自己。例如：检测说baidu.com存在邮件伪造漏洞。那么我们可以尝试使用admin@baidu.com作为发件人，给一个自己的邮箱，发送一封测试邮件。内容随意填写，不到一分钟你应该就能收到邮件了，也有可能会在垃圾邮件里。

修复方案

Sender PolicyFramework SPF

当你定义了你域名的SPF记录后，接收邮件方会根据你的SPF记录来判断连接过来的IP地址是否被包含在SPF记录里面，如果在，则认为是一封正确的邮件，否则则认为是一封伪造的邮件。现在绝大部份反垃圾邮件系统都支持SPF过滤，这种过滤一般不会有误判，除非是邮件系统管理员自己把SPF记录配置错误或遗漏.

1. SPF是什么？

现有的一套可以杜绝邮件伪造的机制，只要遵照他们设计的方法来配置自己域名的DNS解析，就可以杜绝邮件伪造。

SPF的原理是这样的：伪造这虽然能伪造你的域名，但是却不能控制你的域名的DNS解析记录。因为只有拥有域名账户权限，才能更改解析记录。你的域名解析到的ip是1.1.1.1，而伪造者的ip是2.2.2.2。如果能做一个声明，告诉邮件接收者，我的域名发的邮件IP都是1.1.1.1，其他的都是假的，可以抛弃掉，那么就可以杜绝邮件伪造了。SPF就是这样的一个协议，你可以按照SPF的格式发出声明，邮件服务器按照SPF解读你的声明。这样的一次沟通，就可以解决邮件伪造问题了。

可以去这个网站了解更多：http://www.openspf.org

2. 如何使用SPF？

方式A：邮件服务器单个IP的情况

首先，登录你的域名解析服务商的管理页面，这个页面就是通常是用来设置域名解析IP地址的地方。可以这样声明，在域名的解析记录里添加一条txt记录

二级域名：空或@ txt记录值为：v=spf1 ip4:1.1.1.1 -all

这样，就设置了你的邮件只能是从1.1.1.1这个IP发出的。

其中txt记录的意义：

v=spf1 #版本号声明；
ip4:x.x.x.x #指定ip地址；
-all #对其余的标记为无效(FAIL)

方式B：邮件服务器多个IP的情况

上面的设置有些问题，就是你的域名可能需要变化的IP地址，或扩增多个IP，这时候就可以用其他方式，更改中间的部分(前面ip4对应位置):

二级域名：空或@ txt记录值为：v=spf1 include:spf1.a.com include:spf2.a.com -all

再设置一个spf1.a.com的txt解析记录，内容为：