Exchange 2003 SP2在大家的热切期待下,终于正式发布了,值得庆贺的日子.前面Exchange 2003 SP2新功能（一）（http://news.5dmail.net/html/2005-10-21/20051021171502.htm）中,我们对SP2里的存储容量增强做了描述,大家还记得吗?(不记得了?那再看看以前的文章吧)

今天我们来看看SP2的第二个新功能--SENDER ID(发信人ID).

一.SENDER ID的概要

SENDER ID是一种针对垃圾邮件的伪造发信人来做的防范技术.其本质有点象我们用的很广泛的RDNS(反向DNS解析),他能够确保发信的服务器是真实的域名的提供者,而不是被伪造或钓鱼的.但是他和RDNS的区别在于,RDNS是要依靠注册反向记录(也被称为指针),他依赖于DNS的技术和局限,所以工作起来很有局限(比如在中国,大部分的域名是没有RDNS技术的),SENDERID是一种新的协议,他能够更好的借助DNS由管理员自己主动发布SPF记录来实现.SPF记录会声明正确的有效的发信服务器的信息,以防止被他人伪造.同时该技术不依赖DNS反向区域,因此实现起来比较方便.

二.SENDER ID是如何工作的?

了解了SENDER ID的基本概念,我们要从技术面来看看他是如何工作的了.首先我们来看一个图:



上图清楚的显示了SENDERID的工作方式,我们来解释一下:

DL.bitsCN.com网管软件下载

1.发信人向目标服务器发送邮件
2.目标服务器将接收此邮件传递
3.目标服务器将依据SENDER ID的机制向DNS服务器查询发信人声明的域名的SPF记录(发信人声明的域名就是发信人电子邮件的域名部分,如yinjie@163.net,则我声明的域名就是163.net),依据查询的记过,获得声明域名所发布的SPF记录中的有效合法电子邮件服务器的IP地址,并和当前提交邮件的服务器IP比较,看是否符合
4.假如比较符合,即发信人的IP地址是存在在声明域的SPF记录中的,则发信将被接收并被认证,反之则认为该邮件属于伪造而拒收.

从上面的工作过程中,是不是很象是反响域名解析啊,没错,很象.那这个东西有什么好处呢?很显然,他能够帮助您过滤掉伪造的邮件,比如在之前由于Exchange服务器没有MAIL FROM的验证能力,因此外人能够利用我的服务器向我的内部用户传递大量的垃圾邮件,尽管能够用各种手段去拦截,但收效很小,现在好了,您要向我的服务器传递邮件,必须有严格有效的域名,假如您是个动态域名或是个自己建立的没有域名的服务器.那么您将不能通过SPF的校验.能看清楚吗?这无疑能够对垃圾邮件制造者给予很大的打击.使我们的邮件系统更加的干净.呵呵..又说远了.

三.SENDER ID的实现

说了这么多了,有人已烦了,我知道这个东西很好,具体怎么做呢?怎么实现呢?别着急,听我慢慢说来.(又卖关子......) 中国网管联盟

1.SENDER ID的发信方实现--SPF记录的建立
通过一个简单的在现向导,能够帮助您建立SPF记录:SPF建立向导(http://www.anti-spamtools.org/SenderIDEmailPolicyTool/Default.aspx)

一个有效的SPF记录类似这样
v=spf1 ip4:202.108.255.192/26 ip4:202.108.252.129/26 -all
该记录是TXT类型的.任何DNS服务器都支持该记录类型.

更周详的建立SPF记录的方法请看:
建立自己的SPF记录(http://www.microsoft.com/downloads/details.aspx?FamilyId=B7CE1CAC-D884-4216-82FE-379F875663FF)

2.SENDER ID的检查
建立好自己的SENDER ID后,如何检查是否确实建立了呢?我们还是要用到NSLOOKUP这个熟悉的工具了.
在命令行输入:nslookup -q=TXT domainname
如:
D:\Documents and Settings\Administrator>nslookup -q=TXT 163.net
*** Can't find server name for address 192.168.1.40: Non-existent domain
Server: UnKnown
Address: 192.168.1.40

Non-authoritative answer:
163.net text =

"v=spf1 ip4:202.108.255.192/26 ip4:202.108.252.129/26 -all"
就能够查找到指定域名的SPF记录.

3.邮件服务器配置
作好了以上的步骤,您就能够在邮件服务器上配置使用SENDER ID技术了.当然,只有安装了Exchange 2003 SP2后您的邮件服务器才支持该技术哦.还没装SP2的赶快装哦.

装好SP2后,您会在全局配置的邮件传递里看到SENDER ID的配置页.见图:



在这个地方,您有三个选择:
* 接受:将邮件接收并附加上SENDER ID的检查结果传递.
* 删除:接受邮件并删除他,不提供NDR.
* 拒绝:不接受邮件,并提供NDR回应.

SENDER ID的检查结果和默认处理方式有以下情况:

Neutral (?)
描述:域名没有主动声明自己的SPF记录的IP地址(SPF记录有)
处理:接受
Pass ( )
描述:发信方被确认是合法的域名声明的SPF的IP地址,并经过验证
处理:接受
Fail (-)
描述:发信方被明确的认为是不符合SPF记录的IP地址,属于伪造
可能原因:
发信方域不存在(如动态域名)
发信人不被认可
伪造域名
在邮件头上没有找到发信人记录信息
处理:接受 OR 拒绝 OR 删除(取决您刚才配置页上的配置)
Soft Fail (~)
描述:发信人是从和SPF记录匹配的IP发送的邮件,但可能没有经过验证
处理:接受
None

www_bitscn_com

描述:域名不存在SPF记录信息
处理:接受
TempError
描述:在接收服务器反馈时出现临时性错误
处理:接受
PermError
描述:域名建立的SPF记录格式不正确,无法解释
处理:接受

为了确保SENDER ID的工作正常和不影响现有域名的过渡,因此除了FAIL的处理方式能够由用户配置外，其他处理方式都是不能修改的.

如同IMF的SCL相同,微软也把SPF的检查结果以数字来描述,如下:
NEUTRAL 0x1
PASS 0x2
FAIL 0x3
SOFT_FAIL 0x4
NONE 0x5
TEMP_ERROR 0x80000006
PERM_ERROR 0x80000007
并通过XCH50来交换和传递SENDER ID检查结果,因此假如您的邮件在传递过程中经过了不支持XCH50命令SMTP服务器,这些信息可能丢失!

4.查看SENDER ID的检查结果

我们能够通过OUTLOOK或OWA查看SENDER ID的检查结果,以做排错需要.
将以下文档保存为senderid.cfg文档:

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!