如果发件人域没有有效的 SPF-Entry,并且没有在电子邮件元数据中提供 Reply-To / Error-To / Return-Path 字段,是否实际上可以伪造电子邮件?
答案1
您需要仔细查看欺骗性电子邮件的发送域。它可能与您的域相似但不完全相同。
垃圾邮件发送者不会使用您的域名;他们使用自己的电子邮件发送设备。
我经常看到这种情况 - 大多是在垃圾邮件文件夹中,有时是普通电子邮件。
货运代理(DHL、FedEx)就是这种现象的受害者。电子邮件域名包括(比如说)dhl,但实际上并非来自 DHL。垃圾邮件发送者可以让它看起来像是您发送电子邮件。
因此,您的反向查找在这里不起作用这一事实并不影响垃圾邮件发送者的发送设备。
如果电子邮件来自您的域,请检查计算机是否有病毒。垃圾邮件发送者可以在您的计算机上安装虚假发件人。
答案2
是的 - 如果相关域名没有 SPF(并且不需要通过 DMARC 进行 DKIM 签名),则任何发件人都可以直接连接到任何收件人的传入邮件服务器(根据 MX 记录)并进行投递他们想要的任何数据。如果你想添加一个虚假的发件人:,就添加一个虚假的发件人:。如果你不想添加回复:,就不要添加回复:。
“Return-Path:” 很特殊;如果缺失,则收件人入站服务器本身将根据您在 SMTPMAIL FROM:命令中指定的内容(即 Envelope-From)添加 Return-Path 标头 - 但您也可以将欺骗域放入其中,因为没有 SPF 可以阻止您。
唯一无法完全伪造的是最顶层的“已接收”标头,它也由收件人的服务器标记,并且将包含提交该消息的人的 IP 地址。
然而,读取此标头需要格外小心——虽然 IP 地址是真实的,但旁边包含的“反向 DNS”名称可能不是。服务器的 rDNS 通常由发送者控制,发送者可以如果这是一项自定义工作,则使用看起来相似的域名。更糟糕的是,它通常显示在 SMTP“HELO”域名旁边,发件人可以再次撒谎。
(请注意,根据收件人的邮件系统,它可以标记 2-3 个标题,例如,邮件服务器接受消息的情况并不少见;通过“本地主机”将其中继到反恶意软件扫描程序;然后在不同的端口上再次接受它。收件人应该查看一些合法消息,以了解本地/外部“已接收”标头之间的边界在哪里。)
此swaks工具可用于测试/试验 SMTP。在默认模式下(即指定“--to”,但未指定“--server”),它将直接查找 MX 记录并将邮件发送给收件人,而无需经过任何中继。telnet <server> 25也可以使用经典的类似工具。