我特别指的是 Dmarc SPF 对齐。
要获得 Dmarc 通过结果,只需 SPF 或 DKIM 对齐。
假设我是一名攻击者,并尝试冒充 abc.com。我尚未设置 DKIM,这意味着我将无法通过此检查。现在 SPF 对齐将检查 envelope-from 与 from:。是什么阻止我配置匹配的 envelope-from 和 from:?
绝大多数域名在其 spf 记录中配置 ~all(例如 Google)。我可能无法通过此检查,因为我不拥有任何授权 IP,但我不太可能被阻止。然后 Dmarc 对齐会给我一个通过结果,因为我的 envelope-from: 与 from: 匹配。
我的印象是,Dmarc 与其预期目标相反,实际上会在模仿另一个域名时赋予我一些合法性。
答案1
看完之后谷歌关于 DMARC 对齐的帖子,它更有意义。
要通过 DMARC,邮件必须通过以下至少一项检查:
- SPF 身份验证和SPF 对齐
- DKIM 身份验证和DKIM 对齐
因此,如果我由于不拥有正确的 IP 而导致 SPF 检查失败/软尾,然后通过匹配的 Envelope-from 和 from: 来通过 DMARC 对齐检查,我仍然会从 DMARC 获得失败。