SPF——如果接收方仅验证 MAIL FROM 地址,它有什么用?

SPF——如果接收方仅验证 MAIL FROM 地址,它有什么用?

如果我理解正确的话,电子邮件接收者会通过将 MAIL FROM(返回路径)地址的域 IP 与域的 SPF 策略(在 DNS 中)中列出的 IP 进行匹配来检查电子邮件来源的有效性。

我不明白的是,作为一个骗子,我可以创建任何域名,比如 xyzzzz.com,在 DNS 中添加 SPF 策略并将 MAIL FROM 地址设置为 xyzzzz.com,并且仍然可以伪造发件人地址(因为 SPF 仅根据 MA​​IL FROM 地址验证身份);而最终客户端实际看到的是发件人地址。

因此我不明白 SPF 的好处。

答案1

SPF 对于验证信封发件人地址即反对伪造发件人MAIL FROM)。它的设计就是为了这个目的,而不是为了反对锻造头密钥管理信息系统旨在保护标头和正文免遭伪造和篡改。From:标头始终是经过签名的,其​​他标头是可选的。

DKIM 只能保护已签名的邮件,但它不提供机制来证明未签名的邮件应该已签名。目前看来,SPF 和 DKIM 都无法抵御邮件头中的欺骗地址From:DMARC对齐来拯救你!DMARC 可以通过告诉接收者如何处理未签名的消息来强制执行 DKIM。DKIM+DMARC 一起保护地址From:

为什么保护该MAIL FROM地址仍然有意义?为什么不单独使用 DKIM+DMARC?

  • SPF 仍可保护您的域名不被用作信封发件人。既然有大量现有未受保护的域名,为什么有人会购买随机域名并将其用作信封发件人?如果没有 SPF 记录,有人可能会在该阶段使用您的域名,同时在标头中欺骗其他人的域名。

  • DMARC 对齐只需要通过 SPF 或 DKIM 即可。您可能有一些应用程序或设备需要在标From头中使用您的域,但无法对邮件进行 DKIM 签名。如果它们通过了同一域的 SPF 测试,则无需担心。同样,您可能有一些第三方提供商来发送新闻通讯代表您可能无法访问,但允许他们在 SPF 级别上访问可能过于广泛。只要他们能够使用自己的 DKIM 签名邮件,就没关系选择器

相关内容