我已经为我的域名设置了 SPF 记录,但我仍然可以使用如下虚假电子邮件服务来伪造我的域名的电子邮件地址:http://deadfake.com/Send.aspx
电子邮件确实顺利到达我的 Gmail 收件箱。
电子邮件标头中确实存在 SPF 错误像这样:但它仍然可以正常接收,这意味着任何人都可以伪造我的电子邮件地址......spf=fail (google.com: domain of [email protected] does not designate 23.249.225.236 as permitted sender)
我的 SPF 记录是:v=spf1 mx a ptr include:_spf.google.com -all
更新如果有人感兴趣的话,我已经发布了 DMARC 政策以及我的 SPF 记录,现在 Gmail 可以正确标记欺骗邮件(图片)
答案1
您公布 SPF 记录的事实绝不会迫使其他人遵守它。任何给定邮件服务器的管理员都可以自行决定接受哪些电子邮件。我认为如果他们不检查 SPF 记录并相应地拒绝,那他们就是愚蠢的,但是这取决于他们。我知道有些人喜欢 DMARC,但我自己认为这是一个可怕的想法,我不会重新配置我的电子邮件服务器以基于 DMARC 来接受/拒绝;毫无疑问有些人对 SPF 也有同样的感受。
我的想法 SPF做这样做可以让你对声称来自你的域名但实际上并非如此的电子邮件不承担任何进一步的责任。任何邮件管理员向你抱怨你的域名向他们发送垃圾邮件当他们没有检查你宣传的 SPF 记录时,该记录会告诉他们应该拒绝该电子邮件可以公平地将耳朵里的跳蚤送走。
答案2
SPF 无法阻止这种情况。它只是向其他服务器发出邮件被欺骗的提示,但大多数服务器仅将其作为决定是否应阻止邮件的几个因素之一。
答案3
是的,这很正常。任何人都可以伪造任何电子邮件地址,但 SPF(发件人策略框架)使电子邮件服务提供商和客户能够更好地识别和标记为垃圾邮件,或者最终完全退回邮件(如果这是他们流程的一部分)。