问：用IP欺骗工具来对基于IP级垃圾邮件过滤的SPF服务器发送垃圾邮件会有难度吗？行得通吗？对这一情况该采取什么防范措施？

　　答：发件方策略框架（SPF）的目的是阻止电子邮件欺骗或者发件人地址伪造，而不是IP（互联网协议）欺骗。

　　IP欺骗伪造，或“欺骗”，是使一个IP包头的源地址看起来就是原始的发送数据包的那台计算机该有的源IP地址。为了使垃圾邮件发送者使用这种方法，他们必须欺骗整个TCP序列，这不太可能并且目前还没有发现。

　　如果有人能想出这样的攻击，那么，只要假冒的IP地址与真正允许向该域名和该邮件地址发送电子邮件的计算机匹配，他或她将可以通过一个SPF检查。另一方面，电子邮件欺骗非常普遍， SPF在防止这种垃圾邮件来源上发挥着作用。当垃圾邮件发送者改变电子邮件标题使电子邮件看起来是从别人或者别的地方发过来时，电子邮件欺骗就产生了。

　　SPF提供了一个方法，当邮件服务器或邮件传输代理（MTA）收到一封电子邮件时，使它们可以确认发送邮件的服务器是被授权这个地址代表发送邮件的。域名发布邮件交换（MX）记录在域名系统（DNS）里，指明哪些机器从域上收取邮件。SPF基本上是一个反向MX记录，指定哪些机器被授权可以从域发送邮件。发布的SPF记录包含独特的用来描述一个组织电子邮件的属性，属性包括授权发件人和邮件服务器的IP地址。SPF的更多信息可在Open SPF上找到，其中包括完整的常见问题解答，回顾了甚至是在SPF检查发生之前的如何阻止大量的垃圾邮件。

　　为了帮助减少不受欢迎的电子邮件，你应该遵循最佳实践，执行所有的垃圾邮件过滤测试，并拒绝不想要的传入邮件，即使发送邮件服务器处于连接状态。如果您的服务器接受这封信，然后判定它是垃圾邮件，任何给发件人地址的回复指示信息失败，说明该地址是一个有效但是伪造的地址。这就是所谓的email  backscatter，并且这本身就是一个问题。

　　SPF检查需要DNS查询，在一定程度上这种计算有点麻烦。如果你不能在SMTP连接拒绝电子邮件，那么你应该减少发送使用诸如返回地址标记验证作为主题的垃圾邮件的数量，作为评估一封电子邮件信封返回或者退回处理的验证方法。

　　如果电子邮件认证变得普遍，那么垃圾邮件发送者的邮件成功传递将会有一个非常艰难的时期。如果想了解更多新的验证电子邮件的方法，请查看《Messaging Anti-Abuse Working Group》白皮书，《从认证开始信任电子邮件》，这是去年出版的。