上一篇說(shuō)了hmailserver如何設(shè)置反垃圾郵件功能���,現(xiàn)在來(lái)說(shuō)說(shuō)如何讓自己的hmailserver發(fā)出去的郵件不要被別人反垃圾了��。
在hmailserver的反垃圾郵件功能中有提到給垃圾評(píng)分標(biāo)準(zhǔn)����,其中比較主要的四個(gè)���,SPF���、HELO�����、DNS MX�、DKIM簽名��,看hmailserver默認(rèn)的分值���,無(wú)疑DKIM簽名是最高的�����,如果校驗(yàn)DKIM失敗,直接會(huì)當(dāng)作垃圾郵件的����。無(wú)疑��,如果對(duì)方的郵件服務(wù)器啟用了這幾個(gè)校驗(yàn),如果你發(fā)出去的郵件未通過(guò)��,就會(huì)被當(dāng)作垃圾郵件了��,我試了一下,都沒(méi)有設(shè)置,發(fā)往gmail的郵件直接發(fā)送失敗���,發(fā)往騰訊企業(yè)郵箱的郵件還收到了。
那如何讓這些校驗(yàn)通過(guò)呢?首先你最好得有一個(gè)固定IP,這樣才好設(shè)置SPF�,需要給你的域名添加一個(gè)txt記錄���,里面包含你郵件服務(wù)器的IP�����。可以用nslookup來(lái)查詢(xún)一下qq.com的txt記錄���,那就是SPF了,關(guān)于SPF的介紹�����,可以查看http://baike.baidu.com/view/1372988.htm來(lái)了解一下����。HELO這是直接在hmailserver的Settings-Protocols-SMTP-Delivery of e-mail中的local host name中填寫(xiě)�����。MX記錄解析,這個(gè)在域名中添加mx記錄即可�����,最后就到了DKIM簽名���。
DKIM的全稱(chēng)是Domain Key Identified Mail�,域名密鑰識(shí)別郵件�����,就是郵件服務(wù)器對(duì)自己發(fā)的郵件簽名�����,表示這個(gè)郵件是自己發(fā)出去的,如果一個(gè)對(duì)方郵件服務(wù)器能夠驗(yàn)證這個(gè)簽名,就表明這個(gè)郵件可能不是垃圾郵件����,因?yàn)槔]件一般都會(huì)偽造地址發(fā)送的�����。那豈不是那些垃圾郵件發(fā)送者只要給垃圾郵件也每個(gè)簽名也能表示它發(fā)送的不是垃圾郵件?接收郵件服務(wù)器如何能辨別這個(gè)簽名真假?那發(fā)送郵件服務(wù)器跟接收郵件服務(wù)之間有個(gè)約定,呃���,你記好了,我的簽名是如何如何防偽的,這就是基于私鑰與公鑰的簽名�。
發(fā)送方基于私鑰給郵件DKIM簽名�����,接收方根據(jù)發(fā)送方的公鑰來(lái)驗(yàn)證這個(gè)DKIM簽名,很明顯,私鑰是給發(fā)送郵件服務(wù)器來(lái)使用的����,那公鑰如何傳輸呢����?不多說(shuō)了�,了解一下就行了,下面是網(wǎng)上的介紹。
一些簽名的具體細(xì)節(jié):
1����、算法,必須支持rsa-sha256�,可選支持rsa-sha1�。key size建議1024����。
標(biāo)準(zhǔn)化(Canonicalization). 有的郵件服務(wù)器可能會(huì)少量修改文件內(nèi)容,比如換行或者移除一些空格等等�。因此DKIM定義了兩種2�����、標(biāo)準(zhǔn)化方法,simple和relaxed���。simple最簡(jiǎn)單,就是一個(gè)字節(jié)也不能改����,改了就錯(cuò)���。relaxed就是可以少量的修改一些空格等等��。郵件頭和內(nèi)容這兩部分的標(biāo)準(zhǔn)化可以選擇不同的方法,表示起來(lái)用/隔開(kāi)���,比如simple/relaxed表示頭部用simple方式,內(nèi)容用relaxed方式來(lái)標(biāo)準(zhǔn)化����。
3��、過(guò)程�����,簽名是先對(duì)內(nèi)容(body)部分hash�����,然后把這個(gè)body hash放在header里面���,再對(duì)頭部做簽名�。頭部也不是所有字段都簽名的�,只有一些常用的字段,或者比較有意義的����,會(huì)被簽名�。像Received和Return-Path這樣的字段一般不被簽名�。而From則必須被簽名。
下面我們來(lái)給hmailserver加上DKIM簽名��,工欲善其事����,必先利其器,咱們得把器準(zhǔn)備好�,hmailserver這個(gè)主角可不能少����,當(dāng)然�����,用其他的郵件服務(wù)器也可以參考一下�����。
Openssl,我們要用它來(lái)生成私鑰與公鑰�����,在這里下載openssl的windows版本���,根據(jù)需求吧�,64位系統(tǒng)就下64位的��,我這里下的是Win32 OpenSSL v1.0.0a�,安裝這個(gè)得先安裝Visual C++ 2008 Redistributables��,呃�����,中文windows就下中文的,英文就下英文的,別搞得裝不上重下����,裝好openssl咱就來(lái)生成密鑰吧����。
詳情可以參考一下這篇文章
http://www.elandsys.com/resources/sendmail/dkim.html
默認(rèn)openssl安裝在C:\OpenSSL-Win32���,按照下面命令生成
cd C:\OpenSSL-Win32\bin
openssl.exe genrsa -out rsa.private 1024 //生成私鑰
openssl.exe rsa -in rsa.private -out rsa.public -pubout -outform PEM //生成公鑰
然后會(huì)看到bin目錄下多了兩個(gè)文件rsa.private與rsa.public��,先把私鑰rsa.private移到hmailserver的安裝目錄去�,然后用記事本打開(kāi)rsa.public����,里面有一串base64編碼的字符串,掏出來(lái),然后到域名解析的控制面板去添加一個(gè)txt記錄,名稱(chēng)為hmail._domainkey(hmail這個(gè)可自定義����,后面的_domainkey是必需的)����,記錄值為k=rsa; t=y; p=base64��,這個(gè)p=后面的base64換成rsa.public里面的那串字符串�,添加完txt記錄��,可以用以下命令來(lái)查看一下是否生效了
nslookup
set type=txt
hmail._domainkey.domain.com //domain.com替換為你的域名
如果看到像下面的結(jié)果就表示生效了
非權(quán)威應(yīng)答:
s0907._domainkey.qq.com text =
“k=rsa; t=y; p=MHwwDQYJKoZIhvcNAQEBBQADawAwaAJhAJJepXlnnJe5bFumOeyG8v2W8
LFpudv3kOkV3eMapHGkl1TU6hgVCyNSOJgYgQkvozdZRJ5b9d7FJsrEhHbeR+klTcLYCe1u1HP7HbxdU
fDU34szV/Tc0rE125WENSGXlwIDAQAB”
這里公鑰就設(shè)置完成�,然后在hmailserver郵件服務(wù)器中設(shè)置私鑰�。
打開(kāi)到Domains-你的域名-DKIM signing,選上Enabled激活DKIM簽名先,
Private key file就選擇之前移到hmailserver目錄的rsa.private文件����,
Selector里填入hmail��,這個(gè)要跟添加txt記錄時(shí)_domainkey前面的值一致。
Header method與Body method都選擇Relaxed,前面說(shuō)了Simple比較嚴(yán)格一些���,如果你添加的記錄里面多或少了一個(gè)空格,那就通不過(guò)了。
Signing algorithm�,簽名算法���,SHA1肯定是趕不上SHA256安全�����,不過(guò)SHA256加密時(shí)占用CPU資源會(huì)高一些,根據(jù)你自己的需求選吧。
設(shè)置完成�,當(dāng)然得Save一下���,然后發(fā)個(gè)郵件給gmail試試�,呃����,為啥選gmail呢�����,因?yàn)間mail比較好看��,比較好看原始郵件,可以在里面查找到dkim=pass字樣�����,還有dkim-signature后面的簽名��,OK��,成功了,DKIM簽名就說(shuō)到這里�,費(fèi)了一中午時(shí)間�。
并不是說(shuō)你做到了這樣你的郵件就不會(huì)被判為垃圾郵件了�,只是少了許多可能罷了,還有方方面面的原因�,比如你的ip在rbl里之類(lèi)的����,不在贅述��。
最后還是補(bǔ)充一點(diǎn)關(guān)于SPF記錄的設(shè)置吧�����,讓你的郵件通過(guò)SPF驗(yàn)證,哪怕你是動(dòng)態(tài)IP���,也一樣過(guò)
參考:http://www.linuxfocus.org/ChineseGB/December2004/article354.shtml
SPF 記錄包含在一個(gè) TXT 記錄之中,格式如下:v=spf1 [[pre] type [ext] ] … [mod]
最常見(jiàn)的就是v=spf1 ip4:xxx.xxx.xxx.xxx ~all���,還有v=spf1 include:sub.domain.com ~all,實(shí)際上一樣的�����。
參數(shù)描述
v=spf1����,SPF 的版本,如果使用 Sender ID 的話(huà)����,這個(gè)字段就應(yīng)該是 v=spf2
ip4:xxx.xxx.xxx.xxx或include:sub.domain.com����,include:包含一個(gè)給定的域名的測(cè)試�����,include:domain 的形式書(shū)寫(xiě)����。
ip4:使用 IPv4 進(jìn)行驗(yàn)證,這個(gè)可以以 ip4:ipv4 或 ip4:ipv4/cidr 的形式使用��。建議使用這個(gè)參數(shù)���,以減少域名服務(wù)器的負(fù)荷����。
還有幾個(gè)可選參數(shù):
ip6:使用 IPv6 進(jìn)行驗(yàn)證
a:使用一個(gè)域名進(jìn)行驗(yàn)證�����,這將引起對(duì)域名服務(wù)器進(jìn)行一次A記錄查詢(xún)�,可以按照a:domain, a:domain/cidr a/cidr 的形式來(lái)使用�。
mx:使用DNS MX記錄進(jìn)行驗(yàn)證��,MX記錄定義了收信的MTA�,這可能和發(fā)信的MTA是不同的�����,這種情況基于mx的測(cè)試將會(huì)失敗��,可以用mx:domain, mx:domain/cidr或mx/cidr這些形式進(jìn)行mx驗(yàn)證。
ptr:使用域名服務(wù)器的PTR記錄進(jìn)行驗(yàn)證,這時(shí)���,SPF使用PTR記錄和反向圖進(jìn)行查詢(xún)。如果返回的主機(jī)名位于同一個(gè)域名之內(nèi)�����,就驗(yàn)證通過(guò)了���,這個(gè)參數(shù)的寫(xiě)法是ptr:domain
exist:驗(yàn)證域名的存在性����,可以寫(xiě)成exist:domain的形式。
另外可用ext對(duì)上面的幾個(gè)參數(shù)進(jìn)行的擴(kuò)展,如果沒(méi)有這個(gè)字段�,那么僅使用單個(gè)記錄進(jìn)行問(wèn)詢(xún)��。
看了上面的幾個(gè)應(yīng)該明白了吧,既然我動(dòng)態(tài)IP沒(méi)法用IP地址來(lái)驗(yàn)證,我可以驗(yàn)證mx����、驗(yàn)證域名是否存在�,這樣就可以了�����,于是老夫發(fā)到gmail的郵件��,里面就會(huì)顯示已經(jīng)通過(guò)了����。
信息如下:
Return-Path:
Received: from mail.osmail.cn ([121.35.164.244])
by mx.google.com with SMTP id o2si8011332ybn.89.2010.11.18.23.51.54;
Thu, 18 Nov 2010 23:51:55 -0800 (PST)
Received-SPF: pass (google.com: domain of admin@osmail.cn designates 121.35.164.244 as permitted sender) client-ip=121.35.164.244;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of admin@osmail.cn designates 121.35.164.244 as permitted sender) smtp.mail=admin@osmail.cn; dkim=pass (test mode) header.i=@osmail.cn
dkim-signature: v=1; a=rsa-sha256; d=osmail.cn; s=hmail;
c=relaxed/relaxed; q=dns/txt; h=From:Subject:Date:Message-ID:To:MIME-Version:Content-Type;
bh=KJqaSfBaD5OTEAwPyYjfJB0AduS/gOcD2VRqIXQZ69k=;
b=dMePUGCBJVvJNuATpLIEH8XaL5IeWHufhDYf4nCpWd0MvLt3DtfRCNsuyA413wsGoaSZJ
該文章在 2011/2/22 1:06:18 編輯過(guò)
400 186 1886
