馬迎+張丹東+范楨

摘 要：在多出口的高校網(wǎng)絡(luò)中，提升校內(nèi)外用戶的網(wǎng)絡(luò)使用的體驗是非常重要的，例如網(wǎng)站及郵箱的訪問速度、保障郵件可靠送達、減少垃圾郵件數(shù)量及調(diào)整網(wǎng)絡(luò)出口流量等。中國人民大學(xué)通過在域名服務(wù)系統(tǒng)中進行相應(yīng)的設(shè)計與實施，簡單有效地解決了這些問題。

關(guān)鍵詞：DNS；域名劫持；反垃圾郵件

中圖分類號：TP393.1文獻標(biāo)志碼： A文章編號：1673-8454（2014）08-0070-04

高校的信息化在師生學(xué)習(xí)生活中起到越來越重要的作用。校內(nèi)外用戶快速、有效、及時、準(zhǔn)確獲取校園網(wǎng)資源的需求越來越強烈。下面對我校如何通過對DNS的配置優(yōu)化，解決我校網(wǎng)絡(luò)中使用中遇到的部分問題，提升網(wǎng)絡(luò)服務(wù)的品質(zhì)進行介紹。

一、域名服務(wù)器部署架構(gòu)

我校的DNS（Domain Name System）域名解析系統(tǒng)采用分布式部署，提供我校域的解析服務(wù)的DNS授權(quán)服務(wù)器與解析校內(nèi)用戶DNS請求的服務(wù)器分別部署。DNS授權(quán)服務(wù)器負責(zé)用戶的我校域IPv4、IPv6的DNS域名請求的解析，采用主備方式。校內(nèi)DNS域名請求服務(wù)器只做域名查詢轉(zhuǎn)發(fā)以及域名劫持。域名服務(wù)器組結(jié)構(gòu)清晰，各DNS服務(wù)器的設(shè)備的負載率很低，大大降低了出現(xiàn)問題的影響范圍。

我校校園網(wǎng)出口連接教育網(wǎng)、聯(lián)通、電信鏈路。因為各運營商網(wǎng)絡(luò)之間存在互聯(lián)互通的問題，因此我校DNS授權(quán)域名主備服務(wù)器上有聯(lián)通、教育網(wǎng)、電信的用戶視圖，對重要服務(wù)，我們根據(jù)用戶源地址不同，動態(tài)解析出用戶對應(yīng)的網(wǎng)絡(luò)IP地址，便于快速訪問。如圖1所示。

二、DNS在網(wǎng)絡(luò)訪問中的幾點應(yīng)用

1.對學(xué)校主頁等重要應(yīng)用做域名劫持

一個單位的門戶網(wǎng)站是否能夠快速訪問，在某種程度上代表了一個單位的信息化水平的高低。我校的主頁等信息服務(wù)不但服務(wù)于校內(nèi)用戶，更是大眾了解我校的窗口，為了提升用戶的訪問體驗，學(xué)校主頁服務(wù)器托管于運營商的IDC（互聯(lián)網(wǎng)數(shù)據(jù)中心）機房，校外人員訪問我校主頁資源受到運營商的網(wǎng)絡(luò)帶寬和速度保障，校內(nèi)用戶訪問主頁時，DNS把此域名解析到校內(nèi)一臺主頁的代理服務(wù)器，學(xué)校的主頁代理服務(wù)器與主頁服務(wù)器進行資源同步，校內(nèi)用戶的訪問主頁為內(nèi)網(wǎng)訪問，速度非?？?。如圖2所示，所有用戶都能得到快速的訪問體驗。

（1）校外用戶訪問主頁步驟

①校外用戶向我校對外服務(wù)的DNS授權(quán)服務(wù)器B請求解析主頁地址。

②我校對外服務(wù)的DNS服務(wù)器B解析返回主頁所在IDC機房服務(wù)器的域名rucweb.sinaapp.com。

www IN CNAMErucweb.sinaapp.com.

③用戶向rucweb.sinaapp.com所在的DNS服務(wù)器D請求解析地址。

④DNS服務(wù)器D解析出rucweb.sinaapp.com地址A.B.C.D。

⑤校外用戶訪問到IDC機房的主頁服務(wù)器上的信息。

（2）校內(nèi)用戶訪問主頁步驟

①用戶向校內(nèi)DNS服務(wù)器C請求解析主頁地址。

②校內(nèi)DNS服務(wù)器C將請求轉(zhuǎn)發(fā)到我校DNS授權(quán)服務(wù)器B。

③DNS授權(quán)服務(wù)器B返回托管于運營商機房主頁域名rucweb.sinaapp.com。

④用戶向校內(nèi)DNS服務(wù)器C請求解析域名rucweb.sinaapp.com。

⑤校內(nèi)DNS服務(wù)器C劫持到rucweb.sinaapp.com.域名請求，返回用戶校內(nèi)代理服務(wù)器的地址：E.F.G.H。

⑥用戶訪問校內(nèi)代理服務(wù)器上的信息。

說明：校內(nèi)主頁代理服務(wù)器定時與主頁服務(wù)器同步信息。

域名服務(wù)器C的配置：

zone "rucweb.sinaapp.com" IN {

type master;

file

"/etc/bind/db.rucweb.sinaapp.com";

allow-update { none; };

};

db.rucweb.sinaapp.com文件內(nèi)容：

@ IN SOAns1.ruc.edu.cn.

ns2.ruc.edu.cn. (

6 ; serial

10m; refresh

15m; retry

30m ; expire

5m ); minimum

@ INNSns1.ruc.edu.cn.

ns1 INA 202.112.112.101

@ INA222.29.240.20

//代理服務(wù)器的地址

2.DNS在郵件服務(wù)的域名解析中的使用及作用

高校的用戶郵箱是每位師生對內(nèi)外聯(lián)系的身份的標(biāo)志。郵件服務(wù)器部署在校內(nèi)，校外或國外用戶訪問郵件速度慢，垃圾郵件過多，郵件被國外郵箱退信、拒收等是高校郵件系統(tǒng)經(jīng)常遇到的問題，因此用戶對學(xué)校郵箱使用率很低。為了解決這個棘手的問題，除了在郵件系統(tǒng)本身進行設(shè)置，我們還從郵件協(xié)議上著手，從郵件傳輸上處理解決這些問題。

（1）提高用戶郵件訪問速度的感知

為了提高用戶訪問郵箱的速度，首先分析一下郵件服務(wù)在DNS中使用的相關(guān)記錄:

①SMTP：是Simple Message Transfer Protocol（簡單郵件傳輸協(xié)議）的縮寫，默認端口是25。SMTP主要負責(zé)郵件的轉(zhuǎn)發(fā)，以及接收其他郵件服務(wù)器發(fā)來的郵件。

②POP3：是Post Office Protocol3（郵局協(xié)議3）的縮寫，默認端口是110。郵件客戶端使用POP3協(xié)議連接郵件服務(wù)器收郵件。

③IMAP：是Internet Message Access Protocol的縮寫，主要提供通過Internet獲取信息的一種協(xié)議。IMAP像POP那樣提供了方便的郵件下載服務(wù)，讓用戶能進行離線閱讀等。IMAP提供的摘要瀏覽功能可以讓你在閱讀完所有的郵件到達時間、主題、發(fā)件人、大小等信息后才作出是否下載的決定。

圖3中顯示郵件發(fā)送接受所用到的各個協(xié)議。

因為中國的教育網(wǎng)及各運營商的網(wǎng)絡(luò)之間存在互連互通問題，如果重要應(yīng)用只使用教育網(wǎng)的地址，勢必造成用戶訪問速度很慢。因此我校在教育網(wǎng)和聯(lián)通分別申請了郵件服務(wù)，做了rDNS，在學(xué)校的出口防火墻做了郵箱教育網(wǎng)地址與公網(wǎng)地址的NAT轉(zhuǎn)換，給郵箱服務(wù)器做了雙地址解析。 用戶對郵件系統(tǒng)使用快慢感知主要體現(xiàn)在用戶打開郵件服務(wù)器Web界面速度的感知上，而用戶對郵件從發(fā)送郵件服務(wù)器送達接收郵件服務(wù)器的快慢是不在意的。我校根據(jù)用戶的源IP地址，動態(tài)解析出來對應(yīng)的郵件主頁地址，這樣用戶的訪問速度都很快。郵件系統(tǒng)發(fā)送郵件（smtp）、接收郵件（pop3、imap）是郵件客戶端與郵件服務(wù)器之間的數(shù)據(jù)傳輸，所以郵件記錄（smtp、pop3、imap）動態(tài)解析出與用戶的源地址為相應(yīng)的運營商地址，保障郵件發(fā)送、接收的順暢。

（2）提高郵件接收性

郵件系統(tǒng)要保障每封郵件可達。在一段時間內(nèi)，郵件無法及時送到收件人郵箱的事件時有發(fā)生。郵件是否發(fā)出、送達到對方的郵箱和MX記錄密切相關(guān)。

MX（Mail Exchanger）記錄是郵件交換記錄，它指向一個郵件服務(wù)器，用于電子郵件系統(tǒng)發(fā)郵件時根據(jù)收信人的地址后綴來定位郵件服務(wù)器。MX記錄的作用是給寄信者指明某個域名的郵件服務(wù)器有哪些。例如，當(dāng)Internet上的某用戶要發(fā)一封信給webmaster@ruc.edu.cn 時，該用戶的計算機將通過DNS查找ruc.edu.cn這個域名的MX記錄，假如MX記錄存在，用戶計算機就將郵件發(fā)送到MX記錄所指的郵件服務(wù)器上。MX服務(wù)是驗證在域名服務(wù)器中是否有發(fā)件郵箱后綴。為了避免因網(wǎng)絡(luò)結(jié)構(gòu)不同導(dǎo)致的郵件收發(fā)不了的問題，MX的值要與教育網(wǎng)申請的郵箱服務(wù)的ip地址的值一致。

綜上，我們在DNS中對郵件服務(wù)做了如下配置：

① 教育網(wǎng)用戶解析出來的地址：

mailIN A 222.29.216.17（郵件主頁教育網(wǎng)地址）

pop3IN A 222.29.216.11(教育網(wǎng)地址)

smtpIN A 222.29.216.11(教育網(wǎng)地址)

imapIN A 222.29.216.11(教育網(wǎng)地址)

mx IN A 222.29.216.11(教育網(wǎng)地址)

② 公網(wǎng)用戶解析出來的地址：

mailIN A218.106.181.17（郵件主頁公網(wǎng)地址）

pop3IN A218.106.181.11 （公網(wǎng)地址）

smtpIN A218.106.181.11 （公網(wǎng)地址）

imapIN A218.106.181.11 （公網(wǎng)地址）

mx IN A222.29.216.11 （教育網(wǎng)地址）

如表1所示，說明各個ip地址值的設(shè)定原因。

（3）依據(jù)郵件安全策略要求，提高郵件的可達性，減少被當(dāng)作垃圾郵件的可能

為了有效防范、抑制隨意偽造郵件地址發(fā)送垃圾郵件，很多國外的郵件服務(wù)器都配置了SPF檢查項，如果學(xué)校的DNS中不配置TXT記錄SPF項，學(xué)校的郵件很容易被當(dāng)作垃圾郵件拋棄掉。同時為了防止本校的郵箱接受大量偽造郵箱的垃圾郵件，也需要在郵箱服務(wù)器上設(shè)置SPF的檢查要求項。

SPF是Sender Policy Framework（發(fā)送方策略框架）的縮寫，2003年首次被提出，是為了防范垃圾郵件而提出來的，內(nèi)容寫在DNS的txt類型的記錄里面，登記某個域名擁有的用來外發(fā)郵件的所有IP地址。其原理是將郵件頭中的發(fā)件人地址（Reply Address）與該地址域名的TXT 解析記錄進行比對，以判斷該郵件是否為仿冒的電子郵件。當(dāng)用戶定義了他的域名SPF 記錄之后，接收郵件方會根據(jù)該用戶的SPF記錄來確定連接過來的IP地址是否被包含在SPF 記錄里面，如果在，則認為是一封正確的郵件，否則則認為是一封偽造的郵件。

SPF 字符串的參數(shù)格式：

“v=Spf1[A|MX|PTR|IP4|IP6|Include|Exists|Redirect|Exp|All]”

在DNS中設(shè)定TXT記錄的SPF值為郵件服務(wù)器公網(wǎng)和教育網(wǎng)地址：

ruc.edu.cn. IN TXT "v=spf1 ip4:222.29.216.11 ip4:218.106.181.11a mx ~all"（我校郵箱的教育網(wǎng)及公網(wǎng)地址）

3.DNS在出口訪問的引導(dǎo)作用

目前，因為各運營商網(wǎng)絡(luò)之間的互連互通問題。很多大型網(wǎng)站將服務(wù)器部署在各運營商的IDC（Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心）機房，網(wǎng)站根據(jù)用戶的源IP地址動態(tài)解析出用戶所在網(wǎng)絡(luò)的網(wǎng)站訪問地址。我校的有三個校園網(wǎng)出口，用戶通過域名訪問，依據(jù)解析出目的地址所在的網(wǎng)絡(luò)，并從相應(yīng)的網(wǎng)絡(luò)出口出去訪問。通過對校內(nèi)DNS外網(wǎng)訪問的指向（forward），用戶獲得相應(yīng)網(wǎng)絡(luò)的IP地址解析的數(shù)量會更多，對用戶鏈路訪問走哪個互聯(lián)網(wǎng)出口起到引導(dǎo)和調(diào)整的作用。

forward only;

forwarders {

219.141.136.10; 運營商的DNS服務(wù)器

8.8.8.8;運營商的DNS服務(wù)器

};

4.保障用戶的外網(wǎng)域名訪問的健壯性

網(wǎng)絡(luò)中的基礎(chǔ)服務(wù)——域名服務(wù)器如果因為鏈路或系統(tǒng)等原因出現(xiàn)故障，將會導(dǎo)致校內(nèi)用戶上網(wǎng)的全面癱瘓，為了保障域名訪問始終有效，我們在交換機上配置dhcp pool（地址池）指定DNS時，第一個DNS配置為校內(nèi)DNS服務(wù)器地址，第二個配置為公網(wǎng)長期、穩(wěn)定的運營商DNS地址，即使校內(nèi)DNS出現(xiàn)鏈路或服務(wù)器故障，斷開校內(nèi)DNS服務(wù)器鏈路，用戶DNS請求自動跳轉(zhuǎn)到第二個DNS服務(wù)器，不會影響到用戶的主要業(yè)務(wù)——外網(wǎng)訪問。交換機配置如下：

#ip dhcp pool pool1

ip-pool pool1

lease-time 7 0 0

default-router10.34.1.1

dns-server10.21.1.2058.8.8.8

因為運營商之間的互聯(lián)互通引起的網(wǎng)絡(luò)互訪問題，我們通過對DNS的調(diào)整解決了網(wǎng)絡(luò)訪問不暢的部分問題，達到了很好的效果。

參考文獻：

[1]wikipedia Home Page [EB/OL]. http://en.wikipedia.org /wiki/Sender_Policy_Framework.

[2]百度百科[EB/OL].http://baike.baidu.com/link?url=DF8TV0ZpPZTtIPE9Fn64omTpK0QRyJhESaok_1KuuXspBI1yfe4cyebB_jsEb-QR.

（編輯：魯利瑞）

（2）提高郵件接收性

郵件系統(tǒng)要保障每封郵件可達。在一段時間內(nèi)，郵件無法及時送到收件人郵箱的事件時有發(fā)生。郵件是否發(fā)出、送達到對方的郵箱和MX記錄密切相關(guān)。

MX（Mail Exchanger）記錄是郵件交換記錄，它指向一個郵件服務(wù)器，用于電子郵件系統(tǒng)發(fā)郵件時根據(jù)收信人的地址后綴來定位郵件服務(wù)器。MX記錄的作用是給寄信者指明某個域名的郵件服務(wù)器有哪些。例如，當(dāng)Internet上的某用戶要發(fā)一封信給webmaster@ruc.edu.cn 時，該用戶的計算機將通過DNS查找ruc.edu.cn這個域名的MX記錄，假如MX記錄存在，用戶計算機就將郵件發(fā)送到MX記錄所指的郵件服務(wù)器上。MX服務(wù)是驗證在域名服務(wù)器中是否有發(fā)件郵箱后綴。為了避免因網(wǎng)絡(luò)結(jié)構(gòu)不同導(dǎo)致的郵件收發(fā)不了的問題，MX的值要與教育網(wǎng)申請的郵箱服務(wù)的ip地址的值一致。

綜上，我們在DNS中對郵件服務(wù)做了如下配置：

① 教育網(wǎng)用戶解析出來的地址：

mailIN A 222.29.216.17（郵件主頁教育網(wǎng)地址）

pop3IN A 222.29.216.11(教育網(wǎng)地址)

smtpIN A 222.29.216.11(教育網(wǎng)地址)

imapIN A 222.29.216.11(教育網(wǎng)地址)

mx IN A 222.29.216.11(教育網(wǎng)地址)

② 公網(wǎng)用戶解析出來的地址：

mailIN A218.106.181.17（郵件主頁公網(wǎng)地址）

pop3IN A218.106.181.11 （公網(wǎng)地址）

smtpIN A218.106.181.11 （公網(wǎng)地址）

imapIN A218.106.181.11 （公網(wǎng)地址）

mx IN A222.29.216.11 （教育網(wǎng)地址）

如表1所示，說明各個ip地址值的設(shè)定原因。

（3）依據(jù)郵件安全策略要求，提高郵件的可達性，減少被當(dāng)作垃圾郵件的可能

為了有效防范、抑制隨意偽造郵件地址發(fā)送垃圾郵件，很多國外的郵件服務(wù)器都配置了SPF檢查項，如果學(xué)校的DNS中不配置TXT記錄SPF項，學(xué)校的郵件很容易被當(dāng)作垃圾郵件拋棄掉。同時為了防止本校的郵箱接受大量偽造郵箱的垃圾郵件，也需要在郵箱服務(wù)器上設(shè)置SPF的檢查要求項。

SPF是Sender Policy Framework（發(fā)送方策略框架）的縮寫，2003年首次被提出，是為了防范垃圾郵件而提出來的，內(nèi)容寫在DNS的txt類型的記錄里面，登記某個域名擁有的用來外發(fā)郵件的所有IP地址。其原理是將郵件頭中的發(fā)件人地址（Reply Address）與該地址域名的TXT 解析記錄進行比對，以判斷該郵件是否為仿冒的電子郵件。當(dāng)用戶定義了他的域名SPF 記錄之后，接收郵件方會根據(jù)該用戶的SPF記錄來確定連接過來的IP地址是否被包含在SPF 記錄里面，如果在，則認為是一封正確的郵件，否則則認為是一封偽造的郵件。

SPF 字符串的參數(shù)格式：

“v=Spf1[A|MX|PTR|IP4|IP6|Include|Exists|Redirect|Exp|All]”

在DNS中設(shè)定TXT記錄的SPF值為郵件服務(wù)器公網(wǎng)和教育網(wǎng)地址：

ruc.edu.cn. IN TXT "v=spf1 ip4:222.29.216.11 ip4:218.106.181.11a mx ~all"（我校郵箱的教育網(wǎng)及公網(wǎng)地址）

3.DNS在出口訪問的引導(dǎo)作用

目前，因為各運營商網(wǎng)絡(luò)之間的互連互通問題。很多大型網(wǎng)站將服務(wù)器部署在各運營商的IDC（Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心）機房，網(wǎng)站根據(jù)用戶的源IP地址動態(tài)解析出用戶所在網(wǎng)絡(luò)的網(wǎng)站訪問地址。我校的有三個校園網(wǎng)出口，用戶通過域名訪問，依據(jù)解析出目的地址所在的網(wǎng)絡(luò)，并從相應(yīng)的網(wǎng)絡(luò)出口出去訪問。通過對校內(nèi)DNS外網(wǎng)訪問的指向（forward），用戶獲得相應(yīng)網(wǎng)絡(luò)的IP地址解析的數(shù)量會更多，對用戶鏈路訪問走哪個互聯(lián)網(wǎng)出口起到引導(dǎo)和調(diào)整的作用。

forward only;

forwarders {

219.141.136.10; 運營商的DNS服務(wù)器

8.8.8.8;運營商的DNS服務(wù)器

};

4.保障用戶的外網(wǎng)域名訪問的健壯性

網(wǎng)絡(luò)中的基礎(chǔ)服務(wù)——域名服務(wù)器如果因為鏈路或系統(tǒng)等原因出現(xiàn)故障，將會導(dǎo)致校內(nèi)用戶上網(wǎng)的全面癱瘓，為了保障域名訪問始終有效，我們在交換機上配置dhcp pool（地址池）指定DNS時，第一個DNS配置為校內(nèi)DNS服務(wù)器地址，第二個配置為公網(wǎng)長期、穩(wěn)定的運營商DNS地址，即使校內(nèi)DNS出現(xiàn)鏈路或服務(wù)器故障，斷開校內(nèi)DNS服務(wù)器鏈路，用戶DNS請求自動跳轉(zhuǎn)到第二個DNS服務(wù)器，不會影響到用戶的主要業(yè)務(wù)——外網(wǎng)訪問。交換機配置如下：

#ip dhcp pool pool1

ip-pool pool1

lease-time 7 0 0

default-router10.34.1.1

dns-server10.21.1.2058.8.8.8

因為運營商之間的互聯(lián)互通引起的網(wǎng)絡(luò)互訪問題，我們通過對DNS的調(diào)整解決了網(wǎng)絡(luò)訪問不暢的部分問題，達到了很好的效果。

參考文獻：

[1]wikipedia Home Page [EB/OL]. http://en.wikipedia.org /wiki/Sender_Policy_Framework.

[2]百度百科[EB/OL].http://baike.baidu.com/link?url=DF8TV0ZpPZTtIPE9Fn64omTpK0QRyJhESaok_1KuuXspBI1yfe4cyebB_jsEb-QR.

（編輯：魯利瑞）

（2）提高郵件接收性

郵件系統(tǒng)要保障每封郵件可達。在一段時間內(nèi)，郵件無法及時送到收件人郵箱的事件時有發(fā)生。郵件是否發(fā)出、送達到對方的郵箱和MX記錄密切相關(guān)。

MX（Mail Exchanger）記錄是郵件交換記錄，它指向一個郵件服務(wù)器，用于電子郵件系統(tǒng)發(fā)郵件時根據(jù)收信人的地址后綴來定位郵件服務(wù)器。MX記錄的作用是給寄信者指明某個域名的郵件服務(wù)器有哪些。例如，當(dāng)Internet上的某用戶要發(fā)一封信給webmaster@ruc.edu.cn 時，該用戶的計算機將通過DNS查找ruc.edu.cn這個域名的MX記錄，假如MX記錄存在，用戶計算機就將郵件發(fā)送到MX記錄所指的郵件服務(wù)器上。MX服務(wù)是驗證在域名服務(wù)器中是否有發(fā)件郵箱后綴。為了避免因網(wǎng)絡(luò)結(jié)構(gòu)不同導(dǎo)致的郵件收發(fā)不了的問題，MX的值要與教育網(wǎng)申請的郵箱服務(wù)的ip地址的值一致。

綜上，我們在DNS中對郵件服務(wù)做了如下配置：

① 教育網(wǎng)用戶解析出來的地址：

mailIN A 222.29.216.17（郵件主頁教育網(wǎng)地址）

pop3IN A 222.29.216.11(教育網(wǎng)地址)

smtpIN A 222.29.216.11(教育網(wǎng)地址)

imapIN A 222.29.216.11(教育網(wǎng)地址)

mx IN A 222.29.216.11(教育網(wǎng)地址)

② 公網(wǎng)用戶解析出來的地址：

mailIN A218.106.181.17（郵件主頁公網(wǎng)地址）

pop3IN A218.106.181.11 （公網(wǎng)地址）

smtpIN A218.106.181.11 （公網(wǎng)地址）

imapIN A218.106.181.11 （公網(wǎng)地址）

mx IN A222.29.216.11 （教育網(wǎng)地址）

如表1所示，說明各個ip地址值的設(shè)定原因。

（3）依據(jù)郵件安全策略要求，提高郵件的可達性，減少被當(dāng)作垃圾郵件的可能

為了有效防范、抑制隨意偽造郵件地址發(fā)送垃圾郵件，很多國外的郵件服務(wù)器都配置了SPF檢查項，如果學(xué)校的DNS中不配置TXT記錄SPF項，學(xué)校的郵件很容易被當(dāng)作垃圾郵件拋棄掉。同時為了防止本校的郵箱接受大量偽造郵箱的垃圾郵件，也需要在郵箱服務(wù)器上設(shè)置SPF的檢查要求項。

SPF是Sender Policy Framework（發(fā)送方策略框架）的縮寫，2003年首次被提出，是為了防范垃圾郵件而提出來的，內(nèi)容寫在DNS的txt類型的記錄里面，登記某個域名擁有的用來外發(fā)郵件的所有IP地址。其原理是將郵件頭中的發(fā)件人地址（Reply Address）與該地址域名的TXT 解析記錄進行比對，以判斷該郵件是否為仿冒的電子郵件。當(dāng)用戶定義了他的域名SPF 記錄之后，接收郵件方會根據(jù)該用戶的SPF記錄來確定連接過來的IP地址是否被包含在SPF 記錄里面，如果在，則認為是一封正確的郵件，否則則認為是一封偽造的郵件。

SPF 字符串的參數(shù)格式：

“v=Spf1[A|MX|PTR|IP4|IP6|Include|Exists|Redirect|Exp|All]”

在DNS中設(shè)定TXT記錄的SPF值為郵件服務(wù)器公網(wǎng)和教育網(wǎng)地址：

ruc.edu.cn. IN TXT "v=spf1 ip4:222.29.216.11 ip4:218.106.181.11a mx ~all"（我校郵箱的教育網(wǎng)及公網(wǎng)地址）

3.DNS在出口訪問的引導(dǎo)作用

目前，因為各運營商網(wǎng)絡(luò)之間的互連互通問題。很多大型網(wǎng)站將服務(wù)器部署在各運營商的IDC（Internet Data Center，互聯(lián)網(wǎng)數(shù)據(jù)中心）機房，網(wǎng)站根據(jù)用戶的源IP地址動態(tài)解析出用戶所在網(wǎng)絡(luò)的網(wǎng)站訪問地址。我校的有三個校園網(wǎng)出口，用戶通過域名訪問，依據(jù)解析出目的地址所在的網(wǎng)絡(luò)，并從相應(yīng)的網(wǎng)絡(luò)出口出去訪問。通過對校內(nèi)DNS外網(wǎng)訪問的指向（forward），用戶獲得相應(yīng)網(wǎng)絡(luò)的IP地址解析的數(shù)量會更多，對用戶鏈路訪問走哪個互聯(lián)網(wǎng)出口起到引導(dǎo)和調(diào)整的作用。

forward only;

forwarders {

219.141.136.10; 運營商的DNS服務(wù)器

8.8.8.8;運營商的DNS服務(wù)器

};

4.保障用戶的外網(wǎng)域名訪問的健壯性

網(wǎng)絡(luò)中的基礎(chǔ)服務(wù)——域名服務(wù)器如果因為鏈路或系統(tǒng)等原因出現(xiàn)故障，將會導(dǎo)致校內(nèi)用戶上網(wǎng)的全面癱瘓，為了保障域名訪問始終有效，我們在交換機上配置dhcp pool（地址池）指定DNS時，第一個DNS配置為校內(nèi)DNS服務(wù)器地址，第二個配置為公網(wǎng)長期、穩(wěn)定的運營商DNS地址，即使校內(nèi)DNS出現(xiàn)鏈路或服務(wù)器故障，斷開校內(nèi)DNS服務(wù)器鏈路，用戶DNS請求自動跳轉(zhuǎn)到第二個DNS服務(wù)器，不會影響到用戶的主要業(yè)務(wù)——外網(wǎng)訪問。交換機配置如下：

#ip dhcp pool pool1

ip-pool pool1

lease-time 7 0 0

default-router10.34.1.1

dns-server10.21.1.2058.8.8.8

因為運營商之間的互聯(lián)互通引起的網(wǎng)絡(luò)互訪問題，我們通過對DNS的調(diào)整解決了網(wǎng)絡(luò)訪問不暢的部分問題，達到了很好的效果。

參考文獻：

[1]wikipedia Home Page [EB/OL]. http://en.wikipedia.org /wiki/Sender_Policy_Framework.

[2]百度百科[EB/OL].http://baike.baidu.com/link?url=DF8TV0ZpPZTtIPE9Fn64omTpK0QRyJhESaok_1KuuXspBI1yfe4cyebB_jsEb-QR.

（編輯：魯利瑞）