如果我理解正确的话,电子邮件接收者会通过将 MAIL FROM(返回路径)地址的域 IP 与域的 SPF 策略(在 DNS 中)中列出的 IP 进行匹配来检查电子邮件来源的有效性。
我不明白的是,作为一个骗子,我可以创建任何域名,比如 xyzzzz.com,在 DNS 中添加 SPF 策略并将 MAIL FROM 地址设置为 xyzzzz.com,并且仍然可以伪造发件人地址(因为 SPF 仅根据 MAIL FROM 地址验证身份);而最终客户端实际看到的是发件人地址。
因此我不明白 SPF 的好处。
答案1
SPF 对于验证信封发件人地址即反对伪造发件人(MAIL FROM
)。它的设计就是为了这个目的,而不是为了反对锻造头。密钥管理信息系统旨在保护标头和正文免遭伪造和篡改。From:
标头始终是经过签名的,其他标头是可选的。
DKIM 只能保护已签名的邮件,但它不提供机制来证明未签名的邮件应该已签名。目前看来,SPF 和 DKIM 都无法抵御邮件头中的欺骗地址From:
。DMARC对齐来拯救你!DMARC 可以通过告诉接收者如何处理未签名的消息来强制执行 DKIM。DKIM+DMARC 一起保护地址From:
。
为什么保护该MAIL FROM
地址仍然有意义?为什么不单独使用 DKIM+DMARC?
SPF 仍可保护您的域名不被用作信封发件人。既然有大量现有未受保护的域名,为什么有人会购买随机域名并将其用作信封发件人?如果没有 SPF 记录,有人可能会在该阶段使用您的域名,同时在标头中欺骗其他人的域名。
DMARC 对齐只需要通过 SPF 或 DKIM 即可。您可能有一些应用程序或设备需要在标
From
头中使用您的域,但无法对邮件进行 DKIM 签名。如果它们通过了同一域的 SPF 测试,则无需担心。同样,您可能有一些第三方提供商来发送新闻通讯代表您可能无法访问,但允许他们在 SPF 级别上访问可能过于广泛。只要他们能够使用自己的 DKIM 签名邮件,就没关系选择器。