Майте дійсний запис SPF, але все-таки можна підробляти електронну пошту

Я встановив запис SPF для свого домену, але я все ще можу підробляти адреси електронної пошти для свого домену за допомогою підроблених служб електронної пошти, як ця: http://deadfake.com/Send.aspx

Електронний лист дійсно надходить до моєї поштової скриньки gmail.

У електронній пошті є помилки SPF у заголовку, як це: spf=fail (google.com: domain of info@mydomain.com does not designate 23.249.225.236 as permitted sender)але він все одно отримується просто чудово, а це означає, що кожен може сфабрикувати мою електронну адресу ...

Мій запис SPF: v=spf1 mx a ptr include:_spf.google.com -all

ОНОВЛЕННЯ У випадку, коли когось цікавить, я опублікував політику DMARC разом зі своїм записом SPF і тепер Gmail правильно позначає повідомлення про підробку (малюнок)

введіть тут опис зображення

email spf

— джибіт
джерело

Так, кожен може підробляти ваш домен електронною поштою. Запис SPF не перешкоджає цьому, якщо сервер, що приймає, не робить жорсткого відхилення на основі відмови SPF, що, мабуть, мало хто робить.

— joeqwerty

Оскільки включена _spf.google.com ваша політика, ймовірно, буде оцінюватися ~allНЕ -all. Ви , ймовірно , буде потрібно тільки один з MX, Aі PTR.

— BillThor

@BillThor, оскільки стандарт робить явні , м'які або жорсткі помилки з included-запису, ігноруються при оцінці кінцевого результату; або, як вони зазначають, " оцінка директиви" -all "у згаданому записі не припиняє загальної обробки ".

— MadHatter

@MadHatter Так, я переглянув переглянуту документацію з цим уточненням. Це не було зрозуміло в попередній документації, і я вважаю, що я стикався з реалізаціями, які, схоже, не відрізнялися. Не всі реалізації обробляють такі крайові випадки як стандартний спосіб. Я вважаю, що саме тому пояснення було потрібно.

— BillThor

@BillThor ви цілком можете мати рацію! Як вони визнають, includeце не було великим іменем для політики, тому що кожен, хто має досвід програмування, негайно зробив набір припущень щодо того, як це буде працювати - деякі з яких були не праві!

— MadHatter

Відповіді:

Те, що ви рекламуєте запис SPF, ні в якому разі не зобов'язує когось іншого шанувати його. Адміні будь-якого поштового сервера залежить від того, яку електронну пошту вони приймуть. Я думаю, що вони нерозумні, якщо вони не перевіряють записи SPF і не відхиляють відповідно, але це залежить від них . Я знаю деяких людей, як DMARC, але я вважаю, що це сама жахлива ідея, і я не буду переналаштовувати свій сервер електронної пошти для прийняття / відхилення на основі DMARC; безсумнівно, деякі люди так само ставляться до SPF.

Я думаю, що SPF робить , це дозволяє вам зняти з себе будь-яку подальшу відповідальність за електронну пошту, яка, як стверджується, з вашого домену, але не була. Будь-який адміністратор пошти, що звертається до вас, скаржиться на те, що ваш домен посилає їм спам, коли вони не намагаються перевірити запис SPF, який ви рекламуєте, який би сказав їм, що повідомлення електронної пошти має бути відхилено, можна справедливо відправити з блохом у вухо.

— MadHatter
джерело

SPF не може цього запобігти. Він дає лише вказівку іншим серверам про те, що пошта підроблена, але більшість використовує це лише один із декількох факторів, щоб вирішити, чи потрібно блокувати пошту.

— Свен
джерело

Добре, спасибі, це те, що я підозрював ... Я насправді здивований, що Gmail не "поважає" невдачу spf як деякий попереджувальний прапор :(

— jitbit

@jitbit Gmail поважає SPF, але SPF-Hardfail не означає, що пошта доставляється безпосередньо в папку зі спамом. Це один з багатьох параметрів виявлення спаму.

— sebix

@sebix Нарешті я змусив Gmail трактувати це як спам / зловмисне, дивіться оновлення у питанні

— jitbit

Так, це нормально. Будь-хто може підробити будь-яку електронну адресу, але SPF (Sender Policy Framework) надає постачальникам послуг та електронним послугам можливість краще ідентифікувати та позначити як спам або зрештою відмовитись від повідомлень повністю, якщо це є частиною їхнього процесу.

— моргантний
джерело