为 Microsoft 365 配置 SPF 记录

从未经授权的发件人那里收到带有您的域地址的电子邮件对您的公司来说并不好。为了保护您的域免受垃圾邮件和网络钓鱼攻击，您必须设置 SPF（发件人策略框架）。在本文中，您将了解如何为 Microsoft 365 域配置 SPF 记录。

什么是 SPF、DKIM 和 DMARC？

DMARC、DKIM 和 SPF 是三种电子邮件身份验证方法。它们共同帮助防止垃圾邮件发送者、网络钓鱼者和其他未经授权的各方代表他们不拥有的域发送电子邮件。

1. 为 Microsoft 365 配置 SPF 记录（本文）
2. 为 Microsoft 365 配置 DKIM 记录
3. 为 Microsoft 365 配置 DMARC 记录

什么是SPF记录？

SPF 是您的安全策略的重要组成部分。通过实施 SPF，您将减少域中的垃圾邮件网络钓鱼攻击。它有助于保护您的域并改进合法电子邮件的发送。

SPF 记录是域的 DNS（域名系统）区域中的 TXT 记录。它包含允许代表该域发送电子邮件的授权邮件服务器或 IP 地址的列表。

重要提示：即使您不从您的域名发送电子邮件，也建议您设置 SPF 记录。在这种情况下，SPF 记录将类似于 v=spf1 -all。此后，任何服务器都无权从该域发送电子邮件。

获取 SPF 记录值 Microsoft 365

SPF 记录语法的值与所有 Microsoft 365 租户相同。

Exchange Online 邮件服务器的 SPF 值应如下所示：

v=spf1 include:spf.protection.outlook.com -all

将 SPF 与“包含”结合使用是 Microsoft 365 电子邮件身份验证的重要组成部分，可确保代表您的域发送的电子邮件合法且不被伪造。您可以包含上述 SPF 记录，而不是在 SPF 记录中列出 Exchange Online 服务器的所有 IP 地址或域。

我们将向您展示如何查看特定 Microsoft 365 域的 SPF 记录的值。

1. 登录 Microsoft 365 管理中心
2. 单击设置 > 域
3. 单击您想要查看其 SPF 记录的域。

在我们的示例中，它是域a-d.site。

1. 单击DNS记录选项卡

它显示与 Exchange Online 服务相关的 DNS 记录的所有信息。在TXT记录类型旁边，您可以找到SPF记录值。

1. 点击TXT记录

它表明您为域正确设置了记录。

• TXT 值为 v=spf1 include:spf.protection.outlook.com -all

在此示例中，“spf.protection.outlook.com”是包含所有 Exchange Online 服务器的 SPF 信息的域。末尾的 -all 是 SPF 限定符，表示任何不匹配指定 SPF 策略的服务器都将无法通过 SPF 身份验证（例如，来自未经授权的服务器的电子邮件应被视为可疑）。

为多个邮件服务器创建SPF记录

有些将 Exchange Online 作为邮件基础设施，并使用另一个邮件服务器来代表域名发送电子邮件。在这种情况下，您需要证明您的组织的域名正在使用两个不同的实体：

• Exchange 在线邮件服务器
• 组织中托管的另一个邮件服务器

假设您的邮件基础结构托管在 Microsoft 365 上，并且您有一个公共 IP 地址为 212.25.80.239 的本地邮件服务器。所以你需要用另一台邮件服务器来扩展原来的SPF记录，例如：

• mx（MX 记录）
• ip4（IPv4 地址）
• ip6（IPv6 地址）

您需要使用 Microsoft 365 SPF 记录的原始语法，并为公共 IP 地址为 212.25.80.239 的本地邮件服务器添加额外信息。

将以下信息添加到 SPF 记录中。

ip4:212.25.80.239

SPF 记录语法将类似于以下示例。

v=spf1 ip4:212.25.80.239 include:spf.protection.outlook.com -all

更新后的 SPF 记录包括有关您域的两台服务器的所有信息。

SPF 记录可能存在问题

如果您的域的 SPF 记录失败，则意味着该域不受保护，并且电子邮件可能是伪造的或未经授权的。

关于 SPF 记录有以下几种结果：

• 无 SPF 记录：组织不使用 SPF 记录。
• 多个 SPF 记录：当 DNS 包含两个或多个 SPF 记录时，这是一种常见错误。由于 SPF 记录设置错误，结果将给出未知结果。某些邮件服务器仅与一条 SPF 记录相关，而其他邮件服务器将拒绝接受邮件。
• SPF 记录配置不当：SPF 记录基于非常严格的语法规则，这些规则规定了如何构造 SPF 记录。有时，SPF 记录包含语法错误，并且结果是未知的结果。
• 不包含有关组织所有邮件服务器的信息的 SPF 记录：这是当您拥有基于两个独立邮件（Exchange Online 和 Exchange 本地）基础结构的混合环境时。

所有这些情况都可能导致外部邮件服务器阻止您组织的用户发送的邮件的问题。

注意：即使您不从您的域名发送电子邮件，您也需要为 Microsoft 365 配置 SPF 记录。将 SPF 记录更改为 v=spf1 -all，任何服务器都将没有权限发送电子邮件。

在公共 DNS 上发布 SPF 记录

在 Microsoft 365 环境中获取或创建 SPF 记录的值后，我们必须将所需的 SPF 记录添加到我们的公共 DNS 服务器。 SPF 记录作为 TXT 记录实现。

注意：如果您使用其他 DNS 管理基础设施（例如 GoDaddy 等），界面会有所不同，但概念保持不变。

1. 登录您的提供商 (Cloudflare) 并转到 DNS 记录
2. 打开TXT
3. 在“内容”下添加 SPF 记录 v=spf1 include:spf.protection.outlook.com -all（必需）

现在您已添加 Microsoft 365 的 SPF 记录，我们将在下一步中检查 SPF 是否已正确发布。

验证 SPF 记录

让我们检查一下您在 DNS 中是否正确设置了 SPF 记录并且不包含任何错误。我们将向您展示验证 SPF 的不同方法。

在Windows中查看SPF记录

如何使用命令提示符查看SPF记录：

1. 在 Windows 上单击开始
2. 打开应用运行
3. 输入cmd
4. 使用下面的语法

nslookup -q=txt domain name

1. 填写域名并按Enter

nslookup -q=txt a-d.site

您将看到以下结果。在我们的示例中，域 a-d.site 包含一条 TXT 记录。 SPF 记录的值为 v=spf1 include:spf.protection.outlook.com -all。

C:\>nslookup -q=txt a-d.site
Server:  comp
Address:  212.25.80.239

Non-authoritative answer:
a-d.site    text =

        "MS=ms62326082"
a-d.site    text =

        "v=spf1 include:spf.protection.outlook.com -all"

与 Kitterman 检查 SPF 记录

使用 Kitterman SPF 记录测试工具进行验证：

1. 输入域名a-d.site
2. 点击获取 SPF 记录（如果有）

SPF 结果将如下例所示。

1. 它发现 SPF 语法正确，并且 SPF 记录通过验证测试

注意：Kitterman 允许您使用“检查 SPF 记录”选项测试 SPF 记录，以在发布之前查看其是否有效。

使用MxToolBox检查SPF记录

使用 MxToolbox SPF 记录检查验证 SPF：

1. 输入域名 a-d.site
2. 点击SPF记录查找

结果表明SPF验证测试成功完成。有关 a-d.site SPF 记录的状态信息为绿色。

如下所示，测试 SPF 多个记录结果显示找到的记录少于两条。这是正确的，因为我们不使用多个 SPF 记录。

注意： MxToolBox 具有 SPF 向导工具，可在您发布域之前为您的域生成 SPF 记录。

使用 Dmarcian 检查 SPF 记录

使用 Dmarcian SPF Surveyor 检查您的 SPF 记录：

1. 输入您的域名
2. 点击调查域

向下滚动可查看有关 SPF 记录的结果和信息。

1. 验证测试成功提取 include:spf.protection.outlook.com 记录中的内容

注意： Dmarcian 显示有关 include 机制的附加信息，这非常有帮助。

注意：使用上述方法之一检查您的 SPF 记录是不够的，因为它们不会在发送的电子邮件中测试 SPF 身份验证。因此，您需要使用 Gmail 和 CheckTLS 验证 SPF 身份验证。

使用 Gmail 验证 SPF

我们想要验证我们的组织发送给收件人的电子邮件是否包含 SPF 身份验证。

为了测试 SPF，我们将从组织发件人向具有 Gmail 地址的外部收件人发送电子邮件。

在我们的例子中：

• 组织发件人：[email protected]
• 外部收件人：[email protected]

转到收件人收件箱查看电子邮件标头：

1. 打开电子邮件
2. 单击三个点
3. 点击显示原始内容

SPF签名信息显示：

1. 使用 IP PASS

注意：Gmail 原始邮件不会显示 SPF 是否未通过测试，但会删除整个 SPF 行。因此，当您在原始邮件中找不到 SPF 时，则说明您没有设置 SPF，或者配置不正确。

使用 CheckTLS 验证 SPF

使用 CheckTLS 工具测试邮件标头中的 SPF 身份验证：

1. 转到检查TLS
2. 单击选择要显示的额外项目
3. 选择SPF信息
4. 单击启动侦听器

在我们的示例中，我们将从 [email protected] 发送电子邮件。

如何发送测试电子邮件：

1. 将地址复制并粘贴到 [email protected]
2. 将密码复制并粘贴到电子邮件主题中
3. 在消息中输入SPF

1. 创建包含所需信息的新电子邮件
2. 发送测试电子邮件

发送电子邮件后，您需要检查收件箱，因为您将收到一封来自 CheckTLS 的电子邮件。

1. 打开来自 CheckTLS 的电子邮件以查看 SPF 报告
2. 结果显示SPF_mfrom:pass，表示邮件发送成功

常见问题 (FAQ)

什么是 SPF？

SPF 代表发件人策略框架。 SPF 记录是一种 DNS（域名系统）记录，指定哪些邮件服务器有权代表特定域发送电子邮件。它是一种电子邮件身份验证方法，用于检测和防止电子邮件欺骗。

为什么我需要设置 SPF 记录？

SPF 是一种协议，有助于减少通过电子邮件发送的针对您域名的垃圾邮件。如果你不设置 SPF 记录，你就是自找麻烦。您的合法电子邮件可能会被延迟、拒绝或进入收件人的垃圾文件夹。因此，即使您不从您的域发送电子邮件，您也应该始终配置 SPF 记录。它提高了组织域的电子邮件可靠性和传入电子邮件的真实性。

Exchange Online/Microsoft 365 的默认 SPF 记录是什么？

SPF 记录的值不是唯一的，并且与所有 Microsoft 365 域相同 (v=spf1 include:spf.protection.outlook.com)。

SPF 记录中包含哪些信息？

SPF 记录包含有关可以代表特定域发送电子邮件的授权邮件服务器或 IP 地址的信息。

SPF 是唯一需要设置的电子邮件身份验证方法吗？

SPF 只是三种电子邮件身份验证方法中的一部分。每个组织都应实施邮件安全标准 SPF、DKIM 和 DMARC。

结论

您了解了如何为 Microsoft 365 域配置 SPF 记录。在 Microsoft 365 管理中心获取 Exchange Online 服务器的 SPF 记录。然后在命令提示符、Kitterman、MxToolBox 或 Dmarcian 中检查 SPF 记录，以验证其是否已正确发布。请记住通过发送电子邮件并使用 Gmail 和 CheckTLS 测试邮件标头来测试 SPF 身份验证。

您喜欢这篇文章吗？您可能还喜欢如何模拟垃圾邮件。不要忘记关注我们并分享这篇文章。