Avere un record SPF valido ma può ancora falsificare la mia e-mail

Ho impostato un record SPF per il mio dominio, ma posso ancora falsificare gli indirizzi e-mail per il mio dominio utilizzando servizi di posta elettronica falsi come questo: http://deadfake.com/Send.aspx

L'e-mail arriva alla mia casella di posta di Gmail bene.

L'email ha errori SPF nell'intestazione in questo modo: spf=fail (google.com: domain of info@mydomain.com does not designate 23.249.225.236 as permitted sender)ma è ancora ricevuta bene, il che significa che chiunque può falsificare il mio indirizzo email ...

Il mio record SPF è: v=spf1 mx a ptr include:_spf.google.com -all

AGGIORNAMENTO Nel caso qualcuno fosse interessato, ho pubblicato una politica DMARC insieme al mio record SPF e ora Gmail contrassegna correttamente i messaggi di spoof (foto)

inserisci qui la descrizione dell'immagine

email spf

— Jitbit
fonte

Sì, chiunque può falsificare il tuo dominio in un'email. Il record SPF non impedisce questo a meno che il server ricevente non esegua un rifiuto rigido basato sull'errore SPF, che probabilmente pochi lo fanno.

— joeqwerty,

Poiché hai incluso _spf.google.com, è probabile che la tua norma ~allnon venga valutata -all. È probabile che sia necessario solo uno di MX, Ae PTR.

— BillThor,

@BillThor come lo standard chiarisce , i fallimenti soft o hard di un includerecord d vengono ignorati quando si valuta il risultato finale; o, come dicono, "la valutazione di una direttiva '-all' nel record a cui si fa riferimento non termina l'elaborazione complessiva ".

— MadHatter,

@MadHatter Sì Ho rivisto la documentazione rivista con quel chiarimento. Non era chiaro nella documentazione precedente e credo di aver riscontrato implementazioni che non sembravano fare la differenza. Non tutte le implementazioni gestiscono casi limite come quello in modo standard. Credo che potrebbe essere questo il motivo per cui era necessario un chiarimento.

— BillThor,

@BillThor potresti avere ragione! Come riconoscono, includenon era un grande nome per la politica, perché tutti quelli con esperienza di programmazione hanno immediatamente formulato una serie di ipotesi su come avrebbe funzionato - alcune delle quali non erano corrette!

— MadHatter,

Risposte:

Il fatto che pubblicizzi un record SPF non obbliga nessun altro a onorarlo. Spetta agli amministratori di un determinato server di posta quale e-mail scelgono di accettare. Penso che siano sciocchi se non controllano i record SPF e rifiutano di conseguenza, ma dipende da loro . Conosco alcune persone come DMARC, ma penso che sia un'idea orribile, e non riconfigurerò il mio server di posta elettronica per accettare / rifiutare basato su DMARC; senza dubbio alcune persone pensano allo stesso modo di SPF.

Quello che penso SPF fa fare è permettere di declinano ogni ulteriore responsabilità per la posta elettronica che ha affermato di essere dal tuo dominio, ma non lo era. Qualsiasi amministratore di posta che viene da te lamentando che il tuo dominio sta inviando loro spam quando non si sono preoccupati di controllare il record SPF pubblicizzato che avrebbe detto loro che l'e-mail dovrebbe essere respinta può essere inviata via con una pulce all'orecchio.

— Cappellaio Matto
fonte

SPF non può impedirlo. Fornisce solo un'indicazione ad altri server che la posta è falsificata, ma la maggior parte utilizza solo uno dei numerosi fattori per decidere se bloccare la posta.

— Sven
fonte

OK, grazie, è quello che sospettavo ... In realtà sono sorpreso che Gmail non "rispetti" un errore

— SPF

@jitbit Gmail rispetta SPF, ma un SPF-Hardfail non significa che la posta viene recapitata direttamente nella cartella spam. È uno dei molti parametri per il rilevamento dello spam.

— sebix,

@sebix Finalmente ho fatto in modo che Gmail lo trattasse come spam / dannoso, vedi aggiornamento nella domanda

— jitbit

Sì, è normale. Chiunque può falsificare qualsiasi indirizzo e-mail, ma SPF (Sender Policy Framework) offre ai fornitori di servizi e-mail e ai clienti la possibilità di identificare e contrassegnare meglio come spam o eventualmente rimbalzare messaggi completamente se questo fa parte del loro processo.

— Morgant
fonte