記錄一次網站郵箱（STMP）被惡意僞造事件

網站運行了一段時間了，最近用戶增長的比較多，忽然有用戶反饋說遇到騙子了，給我看了他跟騙子的郵件記錄，發現騙子居然能夠用咱們域名的郵件發郵件，真是被驚嚇到了，趕忙開始查找問題.

• 首先懷疑是企業郵箱密碼泄露了，因而趕忙把密碼給改了。
• 而後進入服務器的郵箱發送日誌列表，過濾搜索用戶提供給咱們的關鍵字，未找到對應的郵件記錄。
• 進入到企業郵箱帳戶，搜索郵件關鍵字，也未找到任何記錄。

到這裏我就疑問了，由於郵件客戶端咱們一直登着，因此不會存在郵箱記錄被刪除的狀況，因而我猜應該是咱們的郵箱服務被攻擊了，經過Google瞭解到STMP的郵件能夠很容易被僞造，只要域名解析中沒有配置SPF記錄（SPF是 Sender Policy Framework 的縮寫，一種以IP地址認證電子郵件發件人身份的技術，是很是高效的垃圾郵件解決方案），若是沒有這條TXT記錄，那麼任何人均可以你域名的郵箱發郵件，因而趕忙將騰訊的 SPF 加入。

SPF是一條 TXT 記錄，主機記錄爲@就好了，值設置爲

v=spf1 include:spf.mail.qq.com ~all

加入以後發現仍是能夠僞造郵件，通過反覆嘗試查閱資料，最後將SPF的值改爲以下解決此問題：

v=spf1 include:spf.mail.qq.com -all

-all 表示前面的策略沒有命中，則直接拒絕郵件，因此安全級別更高。

如何測試本身的域名是否能夠被僞造，我提供兩種方法：

1. 經過在線網站測試（https://emkei.cz/）
2. 若是有Linux主機，能夠直接安裝 mail，經過命令行測試

sudo apt install mailutils
internet site >> example.com  # 安裝的時候會讓你配置, example.com 能夠隨便設置
echo "成功僞造啦！" | mail -s "我是XXX" -r no-reply@example.com youremail

而後查看 mail 日誌 （/var/log/mail.log），若是發送結果是 250，表示這封郵件發送成功了，此時就要去配置SPF，若是提示 SPF 未經過，代表已經加了SPF，則不用理會。

此次的查錯過程很曲折，甚至都把企業郵箱服務商都改了（固然我用的免費版的，無所謂）

說說對騰訊企業郵箱和網易企業郵箱的感覺

騰訊企業郵箱

優勢：
一、 DNS解析生效很快（多是咱們用了DNSpod的緣由）
二、 能夠綁定微信，管理安全方便。

缺點：
客服人員的專業性比較差，問什麼都不知道，還騙我說免費版不支持SPF，總想着怎麼讓你辦理收費套餐。

網易企業郵箱

優勢：

1. 客服人員服務態度好，即便用的是免費版。
2. 相比騰訊客服的比較專業。

缺點：
MX驗證花了兩三個小時，後面在知乎上看到有人說須要增長CNAME記錄，因而照作了，結果一會兒就驗證經過了（不肯定是CNAME的影響仍是確實時間到了）。

參考文章

SPF語法
域名健康查詢