首页  :: 新随笔  :: 管理

postfix配置spf认证和dkim认证

Posted on 2017-03-04 14:48  季枫  阅读(662)  评论(0编辑  收藏  举报

1.为邮箱域名添加spf认证:

登录域名解析控制台添加txt记录:

 v=spf1 include:spf1.domain.com ~all

spf1.domain.com  A记录解析到你的固定IP

1、什么是SPF?
(Sender Policy Framework) 的缩写,一种以IP地址认证电子邮件发件人身份的技术,是非常高效的垃圾邮件解决方案。
接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回。
2、为什么需要添加SPF记录?
SPF记录是一种发送者身份验证系统。通过设置SPF记录,可以阻止其他用户伪造你的域名进行发送。
3、如何设置SPF来防止我的邮件被拒收呢?
为了提升域名邮箱发送外域邮件的成功率,建议您给自己的域名设置一条TXT记录来避免这种情况。
添加SPF记录的方法:
    这方法很简单,只要我们的DNS供应商提供的管理界面中可以添加SPF记录就可以设置了(不是所有的供应商会提供这设置,我的域名是在godaddy.com上注册的,可以设置SPF记录)。设置时,添加一个SPF记录,然后输入域名,如果是本域,可用@来表示。然后在VALUE中输入如“v=spf1 ip4:67.202.107.106 -all”的值。 这值分三部分:
   (1)v=spf1 说明是一个SPF的v1记录
   (2)ip4:67.202.107.106 说明邮件会从此声明IPv4地址发出。它可以是一个IP,或一个IP段。如果有多个IP或多个IP段的话,可以声明多个ip4记录(如“ip4:1.0.1.0/24 ip4:1.0.2.0/24″),每个ip4记录间用空格分隔。
      3)-all 定义匹配时的返回值,可有如下选择:
           1) + 缺省值。在测试完成的时候表示通过。
           2) – 表示测试失败。这个值通常是-all,表示没有其他任何匹配发生。
           3) ~ 表示软失败,通常表示测试没有完成。
           4) ? 表示不置可否。这个值也通常在测试没有完成的时候使用。
所以“v=spf1 ip4:67.202.107.106 -all”的意思是这个域只有67.202.107.106这个IP可以发邮件出来,其他IP的都是非法的。
注意:
1、 有些域名运营商要求输入的TXT记录的值当中包括前后的双引号的,即: "v=spf1 include:spf1.alibaba.mail.aliyun.com -all"才是对的。
2、 TXT记录设置完了之后,并不是即时生效的,需要等待DNS缓存失效之后,才能看到最新的设置结果。
4、如何验证SPF记录?
WindowsXP左下角的"开始"菜单选择运行(Win7点左下角图标后在搜索框里),输入cmd,点击确定;
输入"nslookup -qt=txt 你的域名"(如******.com),然后按回车键; 
如果返回有如下结果就算成功了: 
******.com text = "v=spf1 include:spf1.alibaba.mail.aliyun.com -all "
View Code

2、Ip反向解析,找isp添加一条IP到mail.domain.com记录

 

3.为postfix添加dkim认证:(http://blog.eqoe.cn/posts/build-perfect-mail-server.html)  http://www.mail-tester.com/

为了后期更新,在这里我实用yum进行安装

yum search opendkim,查找opendkim安装包

找到安装包进行安装

yum install opendkim.x86_64

 

安装完毕后,修改opendkim配置文件 

vim /etc/opendkim.conf,将以下内容复制到文件末尾,保存

AutoRestart             Yes
AutoRestartRate         10/1h
LogWhy                  Yes
Syslog                  Yes
SyslogSuccess           Yes
Mode                    sv
Canonicalization        relaxed/simple
ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
InternalHosts           refile:/etc/opendkim/TrustedHosts
KeyTable                refile:/etc/opendkim/KeyTable
SigningTable            refile:/etc/opendkim/SigningTable
SignatureAlgorithm      rsa-sha256
Socket                  inet:8891@localhost
PidFile                 /var/run/opendkim/opendkim.pid
UMask                   022
UserID                  opendkim:opendkim
TemporaryDirectory      /var/tmp

  

将接下来步骤的所有 test.com 替换成你自己的域名

mkdir /etc/opendkim/keys/test.com  新建域名目录
opendkim-genkey -D /etc/opendkim/keys/test.com/ -d test.com -s default  生成随机密钥
chown -R opendkim: /etc/opendkim/keys/test.com  将目录所有者改为opendkim
cp /etc/opendkim/keys/test.com/default.private /etc/opendkim/keys/test.com/default 复制一份,来作为私钥(不改直接用default.private也可以)

chown opendkim default 将复制的default文件的所有者改为opendkim(若不改发送邮件会显示没有权限)

把test.com添加到/etc/opendkim/KeyTable

default._domainkey.test.com test.com:default:/etc/opendkim/keys/test.com/default

修改/etc/opendkim/SigningTable并添加如下记录

*@test.com default._domainkey.test.com

添加信任主机到/etc/opendkim/TrustedHosts:

127.0.0.1
test.com

添加txt记录(基本就是default.txt中的内容)

配置完毕后,可以在http://dkimcore.org/tools/进行检测

配置成功,下面为postfix添加dkim认证:

修改postfix的main.cf文件,vim /etc/postfix/main.cf

smtpd_milters           = inet:127.0.0.1:8891
non_smtpd_milters       = $smtpd_milters
milter_default_action   = accept
milter_protocol         = 2

配置完毕后重启postfix服务,启动opendkim服务

service postfix reload 重启postfix

service opendkim start 启动opendkim服务

 

dkim配置完毕

通过之前使用的phpmailer继续像gmail邮箱发送邮件,并查看原始邮件:

显示dkim:pass,配置完成

3.阿里云直接提交工单进行反向解析

至此全部配置完毕,邮件发送完成。

 

ps:在完成spf,dkim,反向解析之后,测试邮箱均能正常接收服务器发送的邮件,但是QQ邮箱依旧无法接收被拦截,查看log文件依旧提示550 ip受限,希望解决了这个的人能在下面留言给我点帮助。。

ps:在联系腾讯客服反馈问题后,问题得到解决,现在QQ邮箱能够正常接收邮件。

 智读

智读 | 成都会领科技有限公司官网 | 智读App下载 | 每天听本书的博客 | |