มีระเบียน SPF ที่ถูกต้อง แต่ยังสามารถหลอกลวงอีเมลของฉันได้

ฉันได้ตั้งค่าระเบียน SPF สำหรับโดเมนของฉันแล้ว แต่ฉันยังสามารถหลอกที่อยู่อีเมลสำหรับโดเมนของฉันโดยใช้บริการอีเมลปลอมเช่นนี้: http://deadfake.com/Send.aspx

อีเมลมาถึงกล่องจดหมาย Gmail ของฉันก็ใช้ได้

อีเมลมีข้อผิดพลาด SPF ในส่วนหัวเช่นนี้spf=fail (google.com: domain of info@mydomain.com does not designate 23.249.225.236 as permitted sender)แต่ก็ยังได้รับอยู่ซึ่งก็หมายความว่าทุกคนสามารถหลอกที่อยู่อีเมลของฉัน ...

ระเบียน SPF ของฉันคือ: v=spf1 mx a ptr include:_spf.google.com -all

อัปเดตในกรณีที่ใครสนใจฉันได้เผยแพร่นโยบาย DMARC พร้อมกับบันทึก SPF ของฉันและตอนนี้ Gmail ทำเครื่องหมายข้อความปลอมอย่างถูกต้อง (ภาพ)

ป้อนคำอธิบายรูปภาพที่นี่

email spf

— Jitbit
แหล่งที่มา

ใช่ทุกคนสามารถหลอกลวงโดเมนของคุณในอีเมล ระเบียน SPF ไม่ได้ป้องกันสิ่งนี้เว้นแต่ว่าเซิร์ฟเวอร์ที่รับจะทำการปฏิเสธอย่างหนักตามความล้มเหลวของ SPF ซึ่งอาจมีน้อย

— joeqwerty

เพราะคุณรวม _spf.google.com นโยบายของคุณมีแนวโน้มที่จะได้รับการประเมินไม่ได้~all -allคุณอาจต้องการเพียงหนึ่งMX, และA PTR

— BillThor

@BillThor เนื่องจากมาตรฐานทำให้ความล้มเหลวที่ชัดเจนนุ่มนวลหรือยากลำบากจากการincludeบันทึกแบบ d จะถูกเพิกเฉยเมื่อประเมินผลสุดท้าย หรือตามที่วางไว้ " การประเมินคำสั่ง '- ทั้งหมด' ในบันทึกอ้างอิงไม่ได้ยกเลิกการประมวลผลโดยรวม "

— MadHatter

@MadHatter ใช่ฉันตรวจสอบเอกสารที่แก้ไขแล้วพร้อมคำชี้แจงนั้น ยังไม่ชัดเจนในเอกสารก่อนหน้านี้และฉันเชื่อว่าฉันพบการใช้งานที่ไม่ทำให้เกิดความแตกต่าง การใช้งานไม่ได้ทั้งหมดจัดการกับกรณีขอบเช่นนั้นในลักษณะมาตรฐาน ฉันเชื่อว่าอาจเป็นสาเหตุที่ทำให้ต้องมีการชี้แจง

— BillThor

@BillThor คุณอาจจะพูดถูก! ในขณะที่พวกเขารับรู้includeก็ไม่ได้เป็นชื่อที่ดีสำหรับนโยบายเพราะทุกคนที่มีประสบการณ์การเขียนโปรแกรมได้ตั้งข้อสันนิษฐานทันทีว่ามันทำงานอย่างไร - บางอย่างไม่ถูกต้อง!

— MadHatter

คำตอบ:

ความจริงที่ว่าคุณโฆษณาระเบียน SPF นั้นไม่บังคับให้บุคคลอื่นให้เกียรติมัน มันขึ้นอยู่กับผู้ดูแลระบบของเซิร์ฟเวอร์อีเมลใด ๆ ที่พวกเขาเลือกที่จะยอมรับ ผมคิดว่าพวกเขากำลังโง่ถ้าพวกเขาไม่ได้ตรวจสอบระเบียน SPF และปฏิเสธตาม แต่ก็ขึ้นอยู่กับพวกเขา ฉันรู้จักบางคนเช่น DMARC แต่ฉันคิดว่ามันเป็นความคิดที่น่าเกลียดและฉันจะไม่กำหนดค่าเซิร์ฟเวอร์อีเมลใหม่เพื่อยอมรับ / ปฏิเสธตาม DMARC; บางคนไม่ต้องสงสัยเลยรู้สึกแบบเดียวกับ SPF

สิ่งที่ผมคิดว่าค่า SPF ไม่ทำคือการช่วยให้คุณสามารถปฏิเสธความรับผิดชอบใด ๆ ต่อไปสำหรับอีเมลที่อ้างว่ามาจากโดเมนของคุณ แต่ก็ไม่ ผู้ดูแลระบบจดหมายใด ๆ ที่มาหาคุณบ่นว่าโดเมนของคุณกำลังส่งสแปมเมื่อพวกเขาไม่ได้ใส่ใจที่จะตรวจสอบระเบียน SPF ที่คุณโฆษณาซึ่งจะบอกพวกเขาว่าอีเมลที่ถูกปฏิเสธควรถูกส่งไปพร้อมกับหมัดในหูของพวกเขา

— MadHatter
แหล่งที่มา

SPF ไม่สามารถป้องกันสิ่งนี้ได้ มันเป็นเพียงการบ่งบอกถึงเซิร์ฟเวอร์อื่น ๆ ที่เมลปลอม แต่ส่วนใหญ่ใช้สิ่งนี้เพียงหนึ่งในหลาย ๆ ปัจจัยในการตัดสินใจว่าควรจะบล็อกเมลหรือไม่

— สเวน
แหล่งที่มา

ตกลงขอบคุณนั่นคือสิ่งที่ฉันสงสัย ... ฉันประหลาดใจจริง ๆ Gmail ไม่ "เคารพ" ความล้มเหลวของ spf เนื่องจากการเตือนบางสถานะ :(

— jitbit

@jitbit Gmail ให้ความสำคัญกับ SPF แต่ SPF-Hardfail ไม่ได้หมายความว่าอีเมลจะถูกส่งโดยตรงไปยังโฟลเดอร์สแปม มันเป็นหนึ่งในพารามิเตอร์จำนวนมากสำหรับการตรวจจับสแปม

— sebix

@sebix ในที่สุดฉันก็ทำให้ Gmail ถือว่าสิ่งนี้เป็นสแปม / ประสงค์ร้ายโปรดดูการอัปเดตคำถาม

— jitbit

ใช่นั่นเป็นเรื่องปกติ ทุกคนสามารถหลอกที่อยู่อีเมลใดก็ได้ แต่ SPF (กรอบนโยบายผู้ส่ง) ช่วยให้ผู้ให้บริการอีเมลและลูกค้าสามารถระบุและตั้งค่าสถานะเป็นสแปมหรือตีกลับข้อความได้ในที่สุดหากเป็นส่วนหนึ่งของกระบวนการ

— morgant
แหล่งที่มา