邮箱服务器如何验证发件方服务器的合法性

发件人策略框架（SPF）是一个开放标准用以识别邮件中伪造的发件人地址。它尤其保护 SMTP 信封发件人地址或返回路径中的域。它通过检查域中用于 SPF 策略的 DNS 记录以精确地查出哪台邮件主机可以代表域发送邮件，从而做到如上所述。如果域有 SPF 策略而发件主机并没有列于该策略下，那么您就可以知道该地址是伪造的。

假设邮件服务器收到了一封邮件，来自主机的 IP 是45.120.56.87，并且声称发件人为test@ qq102.com。为了确认发件人不是伪造的，邮件服务器会去查询 qq102.com 的 SPF 记录。如果该域的 SPF 记录设置允许 IP 为45.120.56.87的主机发送邮件，则服务器就认为这封邮件是合法的；如果不允许，则通常会退信，或将其标记为垃圾/仿冒邮件。

一、开启SPF验证机制

邮件系统一般都有SPF验证机制，只需在系统中开启SPF功能开关即可，例如：

不同邮件系统的开关位置可能不同，可能是图形化界面，也可能是命令模式，具体请咨询邮件系统服务提供者。

二、如果没有SPF配置，建议采取其它补偿措施

如果邮件系统没有spf校验功能，可以设置meta规则进行判断，例如：

(一)设置发件人为中国移动统一邮箱

[CHINAMOBILE_SENDER]

Sender="\\@chinamobile\\.com| \\@cmfc\\.chinamobile\\.com| \\@cmdi\\.chinamobile\\.com| \\@cmdc\\.chinamobile\\.com| \\@xj\\.chinamobile\\.com| \\@cmpak\\.chinamobile\\.com| \\@sd\\.chinamobile\\.com| \\@xz\\.chinamobile\\.com| \\@gx\\.chinamobile\\.com| \\@tj\\.chinamobile\\.com| \\@sx\\.chinamobile\\.com| \\@jl\\.chinamobile\\.com| \\@gz\\.chinamobile\\.com| \\@sn\\.chinamobile\\.com| \\@yn\\.chinamobile\\.com| \\@hi\\.chinamobile\\.com| \\@sh\\.chinamobile\\.com| \\@hb\\.chinamobile\\.com| \\@gs\\.chinamobile\\.com| \\@nm\\.chinamobile\\.com|\\@hn\\.chinamobile\\.com| \\@jx\\.chinamobile\\.com| \\@fj\\.chinamobile\\.com|\\@qh\\.chinamobile\\.com| \\@zj\\.chinamobile\\.com|\\@ha\\.chinamobile\\.com| \\@sc\\.chinamobile\\.com|\\@bj\\.chinamobile\\.com| \\@he\\.chinamobile\\.com|\\@ln\\.chinamobile\\.com| \\@hl\\.chinamobile\\.com|\\@cq\\.chinamobile\\.com| \\@js\\.chinamobile\\.com|\\@gd\\.chinamobile\\.com| \\@nx\\.chinamobile\\.com|\\@ah\\.chinamobile\\.com| \\@cmss\\.chinamobile\\.com|\\@cmos\\.chinamobile\\.com| \\@cmic\\.chinamobile\\.com|\\@cmhi\\.chinamobile\\.com| \\@cmiot\\.chinamobile\\.com|\\@migu\\.chinamobile\\.com| \\@cmii\\.chinamobile\\.com|\\@cmsr\\.chinamobile\\.com| \\@cmict\\.chinamobile\\.com|\\@cmtt\\.chinamobile\\.com|/i"

（二）配置发信ip为chinamobile.com的spf记录

[CHINAMOBILE_SPF_IP]

ip='221\\.176\\.66\\.79| 221\\.176\\.66\\.80|221\\.176\\.66\\.81| 221\\.176\\.67\\.231|221\\.176\\.67\\.232|221\\.176\\.67\\.233| 221\\.176\\.67\\.234|221\\.176\\.67\\.235|221\\.176\\.67\\.236| 221\\.176\\.67\\.237|221\\.176\\.67\\.238|111\\.22\\.67\\.134| 111\\.22\\.67\\.135|111\\.22\\.67\\.136| 111\\.22\\.67\\.137|111\\.22\\.67\\.138| 111\\.22\\.67\\.139| 111\\.22\\.67\\.140|111\\.22\\.67\\.151'

（三）发信人为中国移动统一邮箱，且发信ip不在chinamobile.com的spf记录中，则拒收

[CHINAMOBILE_SPF_RULE]

MetaEvalRule="CHINAMOBILE_SENDER AND NOT CHINAMOBILE_SPF_IP"

ActionID="3" #3为邮箱已配置的规则序号，对应的为“拒收”。

附：统一邮件在权威DNS上记录的SPF信息对应的IP地址

221.176.66.79

221.176.66.80/31

221.176.67.231

221.176.67.232/30

221.176.67.236/31

221.176.67.238

111.22.67.134/31

111.22.67.136/30

111.22.67.140

111.22.67.151