我已经为我的域设置了 SPF 记录,但我仍然可以使用以下虚假电子邮件服务来欺骗我的域的电子邮件地址:http: //deadfake.com/Send.aspx
电子邮件确实可以很好地到达我的 gmail 收件箱。
该电子邮件确实在标头中有 SPF 错误,如下所示:spf=fail (google.com: domain of [email protected] does not designate 23.249.225.236 as permitted sender)但它仍然可以正常接收,这意味着任何人都可以欺骗我的电子邮件地址......
我的 SPF 记录是:v=spf1 mx a ptr include:_spf.google.com -all
更新如果有人感兴趣,我已经发布了 DMARC 政策以及我的 SPF 记录,现在 Gmail 正确标记了欺骗邮件(图片)
您宣传 SPF 记录这一事实绝不会迫使其他任何人尊重它。任何给定邮件服务器的管理员都可以选择接受什么电子邮件。如果他们不检查 SPF 记录并相应地拒绝,我认为他们是愚蠢的,但这取决于他们。我知道有些人喜欢 DMARC,但我自己认为这是一个可怕的想法,我不会重新配置我的电子邮件服务器以基于 DMARC 接受/拒绝;毫无疑问,有些人对 SPF 也有同感。
我认为 SPF所做的是允许您对声称来自您的域但并非来自您的域的电子邮件不承担任何进一步的责任。任何来找您的邮件管理员抱怨您的域向他们发送垃圾邮件,而他们却没有费心检查您宣传的 SPF 记录,这些记录会告诉他们该电子邮件应该被拒绝,他们可以公平地发送他们耳中的跳蚤。
SPF 无法阻止这种情况。它只是向其他服务器提供邮件被欺骗的指示,但大多数服务器仅使用这几个因素之一来决定是否应该阻止邮件。
是的,这很正常。任何人都可以欺骗任何电子邮件地址,但 SPF(发件人策略框架)使电子邮件服务提供商和客户能够更好地识别和标记为垃圾邮件,或者最终完全退回邮件(如果这是他们流程的一部分)。