logo标签列表

使用MX记录验证电子邮件地址

phpemail-validationmx-record
17

场景:
我的网站上有一个联系表单,它收到了很多垃圾邮件。
我宽松地验证了电子邮件地址的格式,即^.+@.+\..+$
我正在使用一个垃圾邮件过滤服务(defensio),但返回的垃圾邮件分数与有效邮件重叠。在0.4的阈值下,一些垃圾邮件会通过,一些客户的问题会被错误地记录并显示错误。

所有垃圾邮件都使用假电子邮件地址,例如zxmzxm@ywduasm.com

美国的专用PHP5 Linux服务器,mysql,仅记录垃圾邮件,向非垃圾邮件发送电子邮件(未存储)。

建议: 使用php的checkdnsrr(preg_replace(/^.+?@/, '', $_POST['email']), 'MX')检查邮件域名是否解析为有效地址,记录到文件中,然后对于不能解析的邮件,重定向并显示错误,对于根据checkdnsrr()可以解析的地址,继续使用垃圾邮件过滤服务。

我已经阅读了(我自己也持怀疑态度)你不应该把这种验证交给远程查询,但为什么?

除了连接问题,我会有比联系表单更大的问题之外,checkdnsrr是否会遇到误报/漏报?
是否会有某些地址类型无法解析?政府地址?ip电子邮件地址?
我需要转义传递给checkdnsrr()的主机名吗?

解决方案: 采用所有三个答案的组合(希望我可以接受不止一个作为复合答案)。

我正在使用:

$email_domain = preg_replace('/^.+?@/', '', $email).'.';
if(!checkdnsrr($email_domain, 'MX') && !checkdnsrr($email_domain, 'A')){
   //validation error
}

所有垃圾邮件都已被记录并进行了轮换。目的是为了日后升级到作业队列。

有些评论提到向邮件服务器请求用户进行验证,但我觉得这会产生太多流量,可能会导致我的服务器被禁止或以某种方式陷入麻烦,而且这只是为了消除由于无效服务器地址而导致的大部分电子邮件被退回的问题。

http://en.wikipedia.org/wiki/Fqdn

RFC2821
The lookup first attempts to locate an MX record associated with the name.
If a CNAME record is found instead, the resulting name is processed as if 
it were the initial name.
If no MX records are found, but an A RR is found, the A RR is treated as
if it was associated with an implicit MX RR, with a preference of 0,
pointing to that host.  If one or more MX RRs are found for a given
name, SMTP systems MUST NOT utilize any A RRs associated with that
name unless they are located using the MX RRs; the "implicit MX" rule
above applies only if there are no MX records present.  If MX records
are present, but none of them are usable, this situation MUST be
reported as an error.

十分感谢所有人的帮助(特别是 ZoogieZork 提供的 A 记录后备提示)。

1
+1..我从未听说过通过检查MX记录来检查有效电子邮件..我认为这是个好主意。 - Earlz
4
请注意,如果没有列出MX记录,则需要检查A记录,如RFC 5321中定义的那样。虽然很少见,但某些域可能没有MX记录(由于各种原因)。更多信息请参见:http://en.wikipedia.org/wiki/MX_record#History_of_fallback_to_A 。 - ZoogieZork
1
谢谢Zork,正是我担心的那些陷阱。 - Question Mark
5个回答
6

我认为使用checkdnsrr()进行MX查找是没有害处的,而且我也不知道会出现什么误报。你不需要转义主机名,事实上你可以使用这种技术并通过与MTA通信来测试用户是否存在于给定主机中(但是这种技术可能会在某些主机中产生一些误报)。

7
大多数在网络上找到的SMTP主机对VRFY命令都会做出不良反应(你可能会得到始终为"OK"或者始终为"ERROR"的响应)。强烈不建议使用VRFY命令来验证地址。 - Guss
5

根据网络流量和拥堵情况,DNS查找有时可能会很慢,因此需要注意。

如果我是你,我会测试一下看看效果如何。在一周左右的时间里,将所有电子邮件记录到数据库或日志文件中,并包括一个字段来指示它是否被标记为垃圾邮件或合法邮件。一周结束后,查看结果并检查其表现是否符合预期。

采用此记录/测试方法可以让您灵活地测试而不必担心丢失客户邮件。

我已经养成了向我的表单添加额外字段的习惯,该字段使用CSS隐藏,如果填写,则假定由垃圾邮件机器人提交。我还确保使用像“url”或“website_url”这样的名称,这些名称看起来像是针对垃圾邮件机器人的合法字段名称。为该字段添加一个标签,上面写着“不要填写此字段”,以便如果某人的浏览器未正确呈现它,他们将知道不要填写垃圾邮件字段。到目前为止,这对我非常有效。

1
关于隐藏字段 - 好主意!至于日志记录 - 确保您还记录了解析DNS记录所花费的时间。您可能会发现这需要太长时间,导致用户体验不佳。 - Guss
我现在正在测试隐藏字段,看起来工作正常,尽管一些用户正在输入“不确定在这个字段中放什么”。 - Question Mark
如果用户在字段中输入了任何内容,则该内容不会被正确隐藏。可能是由于您的CSS存在错误,无法正确隐藏该字段。我通常会这样做:<span style="display:none;visibility:hidden;"> <label for="url"> 忽略此文本框。它用于检测垃圾邮件发送者。 如果您在此文本框中输入任何内容,您的消息将无法发送。 </label> <input type="text" id="url" name="url" size="1" value="" /> </span> 我已经很长一段时间没有看到任何垃圾邮件发向我实现了此方法的表格。 - bradym
3
function mxrecordValidate($email){
        list($user, $domain) = explode('@', $email);
        $arr= dns_get_record($domain,DNS_MX);
        if($arr[0]['host']==$domain&&!empty($arr[0]['target'])){
                return $arr[0]['target'];
        }
}
$email= 'user@radiffmail.com';

if(mxrecordValidate($email)) {
        echo('This MX records exists; I will accept this email as valid.');
}
else {
        echo('No MX record exists;  Invalid email.');
}
1
//The Code *https://davidwalsh.name/php-email-validator*  
function domain_exists($email, $record = 'MX'){
    list($user, $domain) = explode('@', $email);
    return checkdnsrr($domain, $record);
}

if(domain_exists('user@davidwalsh.name')) {
    echo('This MX records exists; I will accept this email as valid.');
} else {
    echo('No MX record exists;  Invalid email.');
}
0

MX查找只是其中的一部分,如果您想确保电子邮件地址本身有效,则需要尝试向该帐户发送电子邮件。

另一个可能的情况是,有人可以从被攻击的计算机中简单地使用劫持的电子邮件帐户。当然,这可能发生的可能性稍微小一些,但它仍然存在。

有一些电子邮件地址验证库可以做到这一点,只需搜索电子邮件验证即可。

所有这些都可以异步完成。我在我的网站上设置了这个功能,在这种情况下,电子邮件被保存在数据库中(用于审计目的),作业排队,然后当作业执行时,在那个时间点执行任何其他验证。它将繁重的工作转移到另一个线程。

对于用户来说,似乎电子邮件已经发送了,实际上也是如此(它在数据库中),并且可以在内部查看,但是实际的电子邮件直到作业执行才会发送,这可以立即执行或根据服务器负载设置一定的时间。

沃尔特

我喜欢验证作业队列的想法。 - Question Mark
这是一个作业队列,其中一部分工作是进行验证。这种模型的问题在于,有人可能会输入一个认为是有效和已发送的电子邮件,但当它稍后被处理时,系统将拒绝它。 - Walter White
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接