SPF認證的問題

隨風浮雲

已依照站上的教學文件，設置SPF，MDAEMON的SPF認證也開啟了，下面的LOG是由 SEEDNET連接到公司郵件伺服器(設在hinet下)，再發信給公司的某個人，但是出現了SPF認證錯誤，為何會如此呢?


Fri 2005-08-19 09:50:19: ----------
Fri 2005-08-19 09:52:31: Session 1435; child 1; thread 10056
Fri 2005-08-19 09:52:26: [1435:1] Accepting SMTP connection from [61.59.31.15 : 1279]
Fri 2005-08-19 09:52:26: [1435:1] Performing PTR lookup (15.31.59.61.IN-ADDR.ARPA)
Fri 2005-08-19 09:52:27: [1435:1] * D=15.31.59.61.IN-ADDR.ARPA TTL=(1431) PTR=[61-59-31-15.adsl.static.seed.net.tw]
Fri 2005-08-19 09:52:27: [1435:1] * Gathering A records...
Fri 2005-08-19 09:52:27: [1435:1] * D=61-59-31-15.adsl.static.seed.net.tw TTL=(1440) A=[61.59.31.15]
Fri 2005-08-19 09:52:27: [1435:1] ---- End PTR results
Fri 2005-08-19 09:52:27: [1435:1] --> 220 cfwater.com.tw ESMTP MDaemon 8.1.1; Fri, 19 Aug 2005 09:52:27 +0800
Fri 2005-08-19 09:52:27: [1435:1] <-- HELO win98ibm
Fri 2005-08-19 09:52:27: [1435:1] Performing IP lookup (win98ibm)
Fri 2005-08-19 09:52:30: [1435:1] * Error: Name server reports domain name unknown
Fri 2005-08-19 09:52:30: [1435:1] ---- End IP lookup results
Fri 2005-08-19 09:52:30: [1435:1] --> 250 cfwater.com.tw Hello 61-59-31-15.adsl.static.seed.net.tw, pleased to meet you
Fri 2005-08-19 09:52:31: [1435:1] <-- MAIL FROM: <[email protected]>
Fri 2005-08-19 09:52:31: [1435:1] Performing IP lookup (cfwater.com.tw)
Fri 2005-08-19 09:52:31: [1435:1] * D=cfwater.com.tw TTL=(1440) A=[211.21.191.230]
Fri 2005-08-19 09:52:31: [1435:1] * P=010 D=cfwater.com.tw TTL=(60) MX=[cfwater.com.tw] {211.21.191.230}
Fri 2005-08-19 09:52:31: [1435:1] ---- End IP lookup results
Fri 2005-08-19 09:52:31: [1435:1] Performing SPF lookup (cfwater.com.tw / 61.59.31.15)
Fri 2005-08-19 09:52:31: [1435:1] * cfwater.com.tw 61.59.31.15; matched to SPF cache
Fri 2005-08-19 09:52:31: [1435:1] * Result: fail
Fri 2005-08-19 09:52:31: [1435:1] ---- End SPF results
Fri 2005-08-19 09:52:31: [1435:1] --> 550 61.59.31.15 does not pass SPF requirements for domain [email protected]
Fri 2005-08-19 09:52:31: [1435:1] SMTP session terminated (Bytes in/out: 48/234)
Fri 2005-08-19 09:52:31: ----------


難道設了SPF，就不能由外部網路寄信了嗎?
另外SPF都會有下列錯誤：
Fri 2005-08-19 09:32:39: [1382:1] SPF lookup (cfwater.com.tw / 61.59.31.15)
Fri 2005-08-19 09:32:39: [1382:1] * Policy: v=spf1 mx -all
Fri 2005-08-19 09:32:40: [1382:1] * Evaluating mx: no match
Fri 2005-08-19 09:32:40: [1382:1] * Evaluating -all: match
Fri 2005-08-19 09:32:40: [1382:1] * Result: fail
Fri 2005-08-19 09:32:40: [1382:1] ---- End SPF results
Fri 2005-08-19 09:32:40: [1382:1] --> 550 61.59.31.15 does not pass SPF requirements for domain [email protected]
Fri 2005-08-19 09:32:40: [1382:1] SMTP session terminated (Bytes in/out: 48/234)
Fri 2005-08-19 09:32:40: ----------
問題是設定都是按照站上教學文件做的，而且做DNS report查詢，SPF也沒問題。
到底是那裏出了問題?

另外SPF lookup (cfwater.com.tw / 61.59.31.15)
是指 61.59.31.15與cfwater.com.tw的關係嗎?一個是來至外部網路，一個是郵件伺服器，怎麼樣也搭不上關係吧!

再多說一個問題，就是 8.11 又多增一個灰名單功能，結果也是造成非本地網路無法寄信，看來這個SPF和灰名單，我還得多研究一下，才能打開使用，不然快被公司員工罵慘了。

不過反過來說，目前不用SPF和灰名單的過濾功能，已達到過濾廣告信達80~90%以上，我想已經足夠了!

又來自問自答了：
SPF 在DNS加入 ALL 就會造成

No other servers are allowed to send mail from cfwater.com.tw.
This is a good default for sites particularly concerned about forgery.

外面的網路無法透過本地郵件伺服器寄信!

(迷之聲：那一家公司只會設定由本地網路寄信不給外網寄信啊，當然除了郵件供應商不列入)

MarchFun

說真的，SPF 的真正功效在哪，我們也不清楚...最大的用處似乎是用來增加或減去垃圾信的積分。

lewistekin

　　 我是初学的~我来说说~看看对不对~spf是设置在DNS上的文本txt上的反馈信息,它的作用是让收信方去验证寄信方的domain跟IP是否对应上,对应上的话就认为信的来源是真实可靠的,否则就是伪造的垃圾邮件.
Fri 2005-08-19 09:52:31: [1435:1] <-- MAIL FROM: <[email protected]>
Fri 2005-08-19 09:52:31: [1435:1] Performing IP lookup (cfwater.com.tw)
Fri 2005-08-19 09:52:31: [1435:1] * D=cfwater.com.tw TTL=(1440) A=[211.21.191.230]
Fri 2005-08-19 09:52:31: [1435:1] * P=010 D=cfwater.com.tw TTL=(60) MX=[cfwater.com.tw] {211.21.191.230}
Fri 2005-08-19 09:52:31: [1435:1] ---- End IP lookup results
Fri 2005-08-19 09:52:31: [1435:1] Performing SPF lookup (cfwater.com.tw / 61.59.31.15)
Fri 2005-08-19 09:52:31: [1435:1] * cfwater.com.tw 61.59.31.15; matched to SPF cache
Fri 2005-08-19 09:52:31: [1435:1] * Result: fail
Fri 2005-08-19 09:52:31: [1435:1] ---- End SPF results

　　而上面的都是楼主自己服务器上的log,就是说是自己服务器开了SPF验证,log是自己服务器去验证远程DNS上domain跟ip 的真实性.也就是说你收到别人的来信,去别人家验证来信是否真的是他家寄出.这跟别人在dns上是否设置spf记录和跟你的mail server 是否要求spf验证~都有关系