Google 针对 SPF 的建议两个都GMail 和 GSuite 是
v=spf1 include:_spf.google.com ~all
我担心的是,Google 和 GMail 的情况都一样。如果我没记错的话,这意味着我可以从 GSuite 服务器作为我的个人域发送邮件,而不会被标记为垃圾邮件。然而,这还允许任何拥有 GMail 帐户的人都可以制作一封电子邮件,就好像它来自我的域一样,只要他们通过 Google 的 SMTP 服务器发送(这将包含在 SPF 记录中),就不会违反 SPF。
对于使用 GSuite 的人来说,这难道不是一个明显的安全漏洞吗,还是我忽略了什么?
谢谢!
答案1
SPF 记录本身意味着从 Gmail/Gsuite 服务器发送的任何邮件都是可以的。
然而,我坚信 Gmail/Gsuite 服务不允许用户在未经事先所有权验证的情况下使用任何任意选择的发件人地址。
也就是说,这不是 SPF 政策违规,不会在事后导致此类滥用行为显而易见,而是 Gmail/Gsuite 邮件服务器首先会拒绝该无关用户转发此类消息的请求。