邮件服务器添加SPF、DKIM、DMARC、PTR

最新推荐文章于 2025-06-26 18:30:58 发布
最新推荐文章于 2025-06-26 18:30:58 发布
阅读量1.5w 收藏 9
点赞数 1
分类专栏: web安全

邮件服务器添加SPF、DKIM、DMARC、PTR

之前写过CenOS6系统下邮件服务器的搭建(Postfix+Dovecot),但是这样还是不够的!想要发送出去的邮件不被当成垃圾邮件处理,我们还需要进行一些配置,来启用身份验证。

1.SPF

SPF 记录是一种域名服务 (DNS) 记录,可确定允许哪些邮件服务器代表您的域来发送电子邮件。

SPF的设置选项可以参考:http://www.openspf.org/SPFRecordSyntax

注:需要fan墙

这里说几个常用的:

a:所有该域名的A记录都为通过,a不指定的情况下为当前域名
ip4:指定通过的IP
mx:mx记录域名的A记录IP可以发邮件
all:结束标志,“-”表示只允许设置的记录为通过,“~”表示失败,通常用于测试,“+”表示忽略SPF
例如我的:v=spf1 a mx -all,则表示允许A记录和MX记录IP收发邮件。添加的方法是在域名DNS解析设置一个txt记录,主机记录为空或者@,记录值为v=spf1 a mx -all,其他可以忽略。

2.DKIM

DomainKeys Identified Mail的缩写,域名密钥识别邮件标准。

下载安装EPEL:

64 bit:

rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
1
rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
32 bit:

rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
1
rpm -Uvh http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
安装Opendkim:

yum install opendkim
1
yum install opendkim
生成DKIM key (修改红色部分域名)

请替换下面的域名

export domain=ramuel.com

mkdir /etc/opendkim/keys/$domain

cd /etc/opendkim/keys/$domain

opendkim-genkey -d $domain -s default

chown -R opendkim:opendkim /etc/opendkim/keys/$domain

echo “default._domainkey. domain d o m a i n domain:default:/etc/opendkim/keys/$domain/default.private” >> /etc/opendkim/KeyTable

echo “*@ domaindefault.domainkey. d o m a i n d e f a u l t . d o m a i n k e y . domain” >> /etc/opendkim/SigningTable
1
2
3
4
5
6
7
8
9
10
11
12
13
14

请替换下面的域名

export domain=ramuel.com

mkdir /etc/opendkim/keys/$domain

cd /etc/opendkim/keys/$domain

opendkim-genkey -d $domain -s default

chown -R opendkim:opendkim /etc/opendkim/keys/$domain

echo “default._domainkey. domain d o m a i n domain:default:/etc/opendkim/keys/$domain/default.private” >> /etc/opendkim/KeyTable

echo “*@ domaindefault.domainkey. d o m a i n d e f a u l t . d o m a i n k e y . domain” >> /etc/opendkim/SigningTable
生成之后打开/etc/opendkim/keys/domain.com/default.txt,里面就是DKIM key,需要添加到DNS,主机记录为default._domainkey,记录值为括号里面的(去掉引号)。

修改OpenDKIM设置

vi /etc/opendkim.conf
1
vi /etc/opendkim.conf
1. 将Mode 改为 Mode sv 2. 将Domain 改为 Domain ramuel.com(ramuel.com是之前设置的域名) 3. 将所有变量前面的#去掉,但是KeyFile、Statistics加上# 4. 再把SigningTable /etc/opendkim/SigningTable改成SigningTable refile:/etc/opendkim/SigningTable

设置Postfix

vi /etc/postfix/main.cf

加上下面几行

opendkim setup

smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = inet:127.0.0.1:8891
milter_default_action = accept
1
2
3
4
5
6
7
vi /etc/postfix/main.cf

加上下面几行

opendkim setup

smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = inet:127.0.0.1:8891
milter_default_action = accept
重启服务

service opendkim restart
service postfix restart
chkconfig opendkim on
1
2
3
service opendkim restart
service postfix restart
chkconfig opendkim on
PS: 第一次启动如果出现 Generating default DKIM keys: hostname: Unknown host 可以在 /etc/hosts 上面加上域名,例如:

127.0.0.1 lomu.me localhost localhost.localdomain localhost4 localhost4.localdomain4

3.DMARC

DMARC协议是有效解决信头From伪造而诞生的一种新的邮件来源验证手段,为邮件发件人地址提供强大保护,并在邮件收发双方之间建立起一个数据反馈机制。

具体信息可以看这里:http://dmarc.org/overview/

DMARC记录中常用的参数解释

p:用于告知收件方,当检测到某邮件存在伪造我(发件人)的情况,收件方要做出什么处理,处理方式从轻到重依次为:none为不作任何处理;quarantine为将邮件标记为垃圾邮件;reject为拒绝该邮件。初期建议设置为none。

rua:用于在收件方检测后,将一段时间的汇总报告,发送到哪个邮箱地址。

ruf:用于当检测到伪造邮件时,收件方须将该伪造信息的报告发送到哪个邮箱地址。

例如我设置的是v=DMARC1;p=reject;rua=admin@ramuel.com,意思是拒绝伪造邮件,并且将一段时间的汇总报告发送给我。

添加到DNS

添加TXT记录,主机名:_dmarc,记录值:v=DMARC1;p=reject;rua=admin@ramuel.com

4.PTR记录

PTR记录,是电子邮件系统中的邮件交换记录的一种;另一种邮件交换记录是A记录(在IPv4协议中)或AAAA记录(在IPv6协议中)。PTR记录常被用于反向地址解析。

PTR记录也就是IP反向解析,我们常见的解析都是将域名A记录解析到IP,PTR则是将IP反向解析到对应的域名,通过设置PTR可以提高发信方的信誉,从而提高到达率。

PTR设置

通过观察,一般国外的VPS都会直接将购买的时候的hostname设置为PTR记录值,但是我买的阿里云的并没有,所以这个需要提交售后工单要求客服帮你添加的,添加的值为安装postfix的时候设置的myhostname,例如我的是mail.ramuel.com。

添加好了以后可以通过以下命令查看

dig -x IP
1
dig -x IP
如果看到了PTR记录为你的域名那就说明成功了。

到这里,基本上只要不发垃圾邮件,邮件的到达率应该就没啥问题了。

这里给大家推荐一个测试工具:http://www.mail-tester.com/,只要给页面上的邮箱随便发一封邮件,然后点击按钮提交就可以看到测试结果,里面会有一些优化建议,非常好用。

本站所有关于邮件群发技术的文章均为未来邮件群发原创,转载请注明出处http://www.ramuel.com/linux-mail-spf-dkim-dmarc-ptr.html

邮件安全之DKIM
shc45的博客
12-15 5544
0x1: DKIM是邮件发件人身份验证技术实现方式之一,数字签名在其中的应用同时保证了发件人身份可靠以及邮件内容的完整,用于防护发件人欺诈,是拦截垃圾邮件及钓鱼邮件的有效手段。 我们先来看一个DKIM签名,如下: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=<sender domain>; s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Vers..
邮件系统认证技术完全指南:PTRDKIMSPFDMARC详解
u012132698的博客
05-14 905
在数字化时代,确保邮件准确送达收件箱至关重要。本文详细介绍了邮件系统中的四大认证技术:PTRDKIMSPFDMARC,帮助构建安全可靠的邮件系统。通过正确配置这些技术,邮件送达率可提升至99.9%以上。PTR记录用于验证邮件服务器的IP地址合法性,DKIM通过数字签名验证邮件真实性,SPF防止邮件伪造,DMARC则提供认证、报告一致性协议。
邮件服务器DKIM添加 为Postfix增加DKIM功能
ttfy1234的专栏
07-23 2107
http://www.banping.com/2011/07/19/postfix-dkim/ 为了防止邮件被判定为垃圾邮件,可以给邮件系统增加DKIM(DomainKeys Identified Mail)功能,其主要的原理通俗的说,就是在发送邮件的时候通过私钥在邮件头写一段加密信息,然后公钥放到DNS服务器上,邮件的接收方通过邮件头的加密信息来DNS上的公钥比对来判定邮件来源是否合
开启 DMARC 的作用对发件域名来说
最新发布
m0_64036296的博客
06-26 678
DMARC()是一个基于 SPF DKIM 的邮件身份验证机制,它让域名拥有者可以:指定邮件的验证规则;指示收件方如何处理未验证成功的邮件;获取未授权使用该域名发信的报告。对于作为发件邮箱使用的域名,开启 DMARC 是“必须要做的基础安全配置”。不开启虽然不会立刻阻止你发信,但长期来看会严重影响投递率、品牌信誉域名安全,甚至被黑名单系统封锁,得不偿失。
邮件服务器DNS设置(MX、SPFDKIM)记录详解
07-26
DNS记录,需要你到你的域名托管商那里进行设置或者你自己管理DNS服务器。不少域名托管商不支持txt记录或者不支持DKIM记录,所以你就无法使用SPFDKIM的功能。 DNS的修改,需要48小时以上才能生效。 国内的万网是不支持DKIM,目前新网是支持SPFDKIM
添加域名并配置SPF、MX、DKIMDMARC记录
weixin_43078114的博客
06-28 7053
背景 使用第三方邮件发送平台发送邮件,新建域名时要求配置SPF、MX、DKIMDMARC记录。第一次听说这几个记录,在配置上走了一些弯路,网上这方面的资料很少,特意记录一下,梳理一下整个配置的过程,也方便大家少走一些弯路。 1.概念 SPF:为了防范垃圾邮件而提出来的一种 DNS 记录类型, 用于登记某个域名拥有的外发邮件的所有 IP 地址 MX:邮件交换记录, 它指向一个邮件服务器, ...
邮件服务器添加SPFDKIMDMARCPTR提高送达率
PHP程序员 - muzihao2014
06-18 4053
之前写过Linux系统下邮件服务器的搭建(Postfix+Dovecot),但是这样发送出去的邮件多半是被当垃圾邮件处理了,所以我们还需要进行一些配置,来启用身份验证。 1.SPF SPF 记录是一种域名服务 (DNS) 记录,可确定允许哪些邮件服务器代表您的域来发送电子邮件。 SPF的设置选项可以参考:http://www.openspf.org/SPFRecordSyntax 这里说几个常用的: a:所有该域名的A记录都为通过,a不指定的情况下为当前域名 ip4:指定通过的IP mx:mx
配置方式SPF】如何配置域名的SPF解析以避免退信-aliyun 解决被gmail当成垃圾邮件退信的问题
weixin_44002043的博客
02-20 909
解决发给gmail遭到退信的问题
SPF邮件伪造漏洞利用及反邮件伪造技术学习
2301_79837041的博客
03-20 4366
之前只是听说了能伪造邮件后缀进行钓鱼......后来偶然在其他师傅那边了解到邮件伪造漏洞......我就就就就浅浅复现学习了一下!特此对学习到的内容做一个梳理记录~首先,目前很多邮件用的是简单邮件传输协议SMTP进行通信,但是由于这个协议本身没有很好的安全机制,这也让很多不法分子钻了空子进行钓鱼诈骗。我们先来了解一下SPF是什么,以及怎么用?SPF这个东西的全名是(Sender Policy Framework, SPF),是一个电子邮件验证的机制。
Ubuntu操作系统的邮件服务器配置教程
操作系统内核探秘的博客
05-08 1425
本文旨在为系统管理员提供在Ubuntu 20.04 LTS/22.04 LTS环境下搭建高性能邮件服务器的详细指南。内容包括邮件传输代理(MTA)、邮件投递代理(MDA)、用户认证系统的配置,以及域名解析、加密通信、虚拟用户管理等关键技术点。适用于企业自建邮件系统、个人私有邮箱或中小型组织的通信平台搭建。核心组件原理:解析邮件服务器架构及关键协议基础环境搭建:Ubuntu系统准备与核心组件安装Postfix深度配置:从基础参数到高级安全策略Dovecot用户服务:IMAP/POP3协议配置与用户认证。
发件人策略框架(SPF)——防止别人仿冒本域邮箱发件人
上海云璨的博客
03-10 3585
发件人策略框架(SPF)是一个开放标准用以识别邮件中伪造的发件人地址。它尤其保护 SMTP 信封发件人地址或返回路径中的域。它通过检查域中用于 SPF 策略的 DNS 记录以精确地查出哪台邮件主机可以代表域发送邮件,从而做到如上所述。如果域有 SPF 策略而发件主机并没有列于该策略下,那么您就可以知道该地址是伪造的。 假设邮件服务器收到了一封邮件,来自主机的 IP 是45.120.56.87,并且声称发件人为test@example.com。为了确认发件人不是伪造的,邮件服务器会去查询exampl..
DKIMGenerate:生成DKIM使用节点
04-30
生成DKIM使用node.js ====生成DKIM使用nodejs 安装 cd DKIMGenerate npm install 必要的配置
postfix大量外发邮件服务器配置之DomainKey
weixin_34318326的博客
07-01 577
DomainKey 介绍: 雅虎的这项技术被称之为“DNS端的电子签名(DomainKeys)”,专门对付各种各样经过改头换面的垃圾邮件。 垃圾邮件经常通过改动电子邮件的发送着对用户进行欺骗,用户往往会误以为这不是垃圾邮件,因而打开查看的可能性加大。 雅虎的“DomainKeys”允许接受电子邮件的系统对邮件进行检查,以确定邮件发送者的身份是不是假的。 “DomainKeys”通过使用加密...
postfix邮件服务器配置DKIM环境
weixin_33743703的博客
11-11 1236
1、DKIM介绍DKIM(DomainKeys Identified Mail),电子邮件验证标准——域名密钥识别邮件标准。采用DKIM能有效的提高信件发送的成功率。通常结合spf使用。2、实验环境说明系统:rhel 6.3邮件服务器:postfix 2.6.6, dovecot 2.0.9,cyrus-sasl 2.1.23DKIM 版本:2.8.3IP:10.40.212...
搭建邮箱服务器 垃圾邮件,如何让你服务器发出的邮件不被其它邮箱拒收
weixin_35850669的博客
07-30 2595
最近看着Tao的服务器cPanel用的如此欢畅,邮件账号一分钟就可以建立起来……但是却被巨硬邮箱列为垃圾邮件,这让他很尴尬……进入邮件测试网站(大中国局域网第一次进去较慢,请耐心等待……)进去之后把邮件发送到指定邮箱,点击查看你的邮件得分,它会自动搜寻你发的邮件并作出评估,满分10分。下面我根据网站建议,列出邮件服务器的一些设置注意点。邮件内容邮件里面不要有任何不需要的危险内容,例如JavaScr...
Postfix + Dovecot IMAP 服务器的终极指南,完整支持 SPFDKIM DMARC,以及多域名设置的额外说明
宋志辉的博客
03-31 1916
本指南将带您完成Postfix + Dovecot IMAP服务器的设置,支持SPFDKIMDMARC,还将提供多域名配置的额外指导。在本指南中,domain.com 将作为您的根域名,mail.domain.com 将作为您邮件服务器的主机名。
邮件服务器DNS设置-----MX、SPFDKIM记录详解
热门推荐
mal327的专栏
08-19 7万+
邮件服务器的DNS设置 DNS记录,需要你到你的域名托管商那里进行设置或者你自己管理DNS服务器。不少域名托管商不支持txt记录或者不支持DKIM记录,所以你就无法使用SPFDKIM的功能。 DNS的修改,需要48小时以上才能生效。 国内的万网是不支持DKIM,目前新
电子邮件欺诈防护之 SPF+DKIM+DMARC
javagty6778的博客
03-19 1万+
PoC:php?后面检查了一下,发现确实是这样子,我们的电子邮件没有加上对应的安全检查,很容易被别人冒发,从而有可能对我们的用户造成严重的电子邮件欺诈。通过 SPF + DKIM + DMARC, 我们的站点可以很好的解决电子邮件欺诈的问题了。
搭建企业级邮件服务器
04-02
<think>嗯,用户想知道怎么搭建企业级邮件服务器。首先,我得理清楚搭建的基本步骤,可能涉及哪些关键点。记得系统级指令里要求用中文,数学表达式用$符号,独立公式用$$,还要生成相关问题。不过用户的问题主要是关于邮件服务器的搭建,可能数学公式用得不多,但得注意格式。 首先,用户提到了几个引用,比如Poste.io、Winwebmail、MX记录这些。可能需要结合这些引用内容来组织回答。比如引用[2][3]提到用Poste.io通过Docker搭建,引用[5]是Winwebmail在Windows下的配置,引用[4]讲到了MX记录的重要性。所以回答里应该涵盖不同系统的方案,比如Linux用Docker部署Poste,Windows用Winwebmail,还有DNS配置的要点。 然后,搭建步骤大概需要分几个部分:前期准备、选择方案、安装配置、DNS设置、客户端配置、测试维护。每个部分下再细分。比如前期准备需要域名服务器,引用[4]提到MX记录,所以这里要强调域名解析的设置。安装配置部分,Poste.io的Docker命令可能需要具体写出来,引用[3]有相关教程,可以引用。Winwebmail在Windows下的安装步骤,引用[5]的环境配置可以作为参考。 DNS设置部分,MX记录的优先级指向很重要,引用[4]详细解释了MX的作用,所以需要包含进去。同时,SPFDKIM这些安全记录也要提到,防止邮件被标记为垃圾邮件,这可能引用中没有直接提到,但属于常见的最佳实践。 客户端配置部分,引用[1][4]提到Outlook的设置,可以引用说明如何配置SMTPIMAP。测试维护方面,需要检查端口是否开放,比如25、465、587等,引用里可能没提,但实际搭建中很重要,所以需要补充。 注意事项里,企业级服务器可能需要高可用备份,引用里没提,但属于常识。安全性方面,防火墙SSL证书,引用[3]提到SSL,可能需要强调。 然后生成相关问题,根据用户可能感兴趣的扩展问题,比如优缺点、安全防护、迁移数据、云服务器vs自建、邮件群发优化等。引用[1]提到自建优缺点,可以对应第一个问题。其他问题需要结合常见疑问点。 现在要确保回答结构清晰,分步骤,每个步骤有子项,引用标注正确。比如在DNS设置部分引用[4],Poste.io部分引用[2][3],Winwebmail引用[5]。同时,避免使用Markdown,用自然的中文描述,符合用户可见层的要求。 可能还要检查是否有遗漏的关键点,比如邮件服务器的反向解析,很多邮件服务商要求PTR记录,否则可能拒收。引用里没提到,但实际中很重要,应该包含在DNS设置或注意事项里。 另外,企业级可能需要考虑用户管理、邮件存储、备份策略、垃圾邮件过滤等功能,Poste.ioWinwebmail是否支持这些,根据引用内容,Poste.io适合内部使用,可能功能足够,但企业级可能需要更多高级功能,可能需要提及或者建议扩展方案。 总之,回答需要综合引用内容,分步骤讲解,涵盖不同系统方案,强调DNS配置安全性,最后给出相关问题引导进一步学习。</think>### 企业级邮件服务器搭建教程 #### 一、搭建核心步骤 1. **前期准备** - 域名:需购买企业专属域名(如`example.com`)[^4] - 服务器:建议选择Linux/Windows系统,配置至少2核4GB内存 - 网络:开放25(SMTP)、143(IMAP)、465(SMTPS)、993(IMAPS)端口 2. **选择邮件服务器方案** - **Linux系统推荐**:Poste.io(基于Docker)[^3] ```bash # 安装Docker后执行 docker run -d --name poste \ -p 25:25 -p 143:143 -p 465:465 -p 993:993 \ -v /data/mail:/data \ -e TZ=Asia/Shanghai \ analogic/poste.io ``` - **Windows系统推荐**:Winwebmail(图形化界面)[^5] 需配置IIS服务与.NET Framework环境 3. **DNS解析配置** - MX记录:指向邮件服务器IP,优先级设为10[^4] ```plaintext example.com. MX 10 mail.example.com. ``` - A记录:绑定`mail.example.com`到服务器IP - 安全记录:添加SPFDKIMDMARC防止垃圾邮件 4. **服务器配置** - 设置管理员账户与邮箱域名 - 配置SSL证书(Let's Encrypt免费证书) - 开启反垃圾邮件模块(如SpamAssassin) 5. **客户端配置** - Outlook设置:输入服务器地址`mail.example.com`,选择SSL加密[^1] - 移动端配置:使用IMAP/SMTP协议 #### 二、关键注意事项 1. **性能优化** - 邮件存储建议采用SSD硬盘 - 使用负载均衡处理高并发场景 2. **安全防护** - 定期更新系统补丁 - 配置防火墙规则限制访问IP段 - 启用双因素认证(如Google Authenticator) 3. **备份策略** - 每日全量备份邮件数据 - 设置自动归档策略(保留期限根据企业需求) ####
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值