拥有有效的SPF记录，但仍然可以欺骗我的电子邮件

我已经为我的域设置了SPF记录，但是我仍然可以使用这样的虚假电子邮件服务来欺骗我的域的电子邮件地址：http : //deadfake.com/Send.aspx

电子邮件确实到达了我的Gmail收件箱。

电子邮件确实有在头SPF的错误是这样的：spf=fail (google.com: domain of info@mydomain.com does not designate 23.249.225.236 as permitted sender)但它仍然接受就好了，这意味着任何人都可以欺骗我的电子邮件地址...

我的SPF记录是： v=spf1 mx a ptr include:_spf.google.com -all

更新如果有人有兴趣，我已经与我的SPF记录一起发布了DMARC政策，现在Gmail可以正确标记欺骗邮件了（图片）

在此处输入图片说明

email spf

— 准位
source

是的，任何人都可以通过电子邮件欺骗您的域。除非接收服务器基于SPF故障执行硬拒绝，否则SPF记录不会阻止这种情况发生，这可能很少。

— joeqwerty 2015年

由于包含_spf.google.com你的政策很可能被评估~all不-all。您可能只需要一个MX，A和PTR。

— BillThor 2015年

当评估最终结果时，@ BillThor是标准明确指出的，无论是included记录的软故障还是硬故障都将被忽略；或者如他们所说，“ 在引用记录中评估'-all'指令不会终止整体处理 ”。

— MadHatter

@MadHatter是，我已对修订文档进行了澄清。在较早的文档中还不清楚，我相信我遇到的实现似乎没有区别。并非所有实现都以标准方式处理类似的极端情况。我认为这可能是需要澄清的原因。

— BillThor

@BillThor您可能是正确的！正如他们所承认的那样，include这并不是该政策的好名字，因为每个有编程经验的人都会立即对它的工作方式做出一系列假设，其中一些假设是不正确的！

— MadHatter

Answers:

您宣传SPF记录的事实绝不会迫使其他任何人兑现它。由任何给定邮件服务器的管理员决定他们选择接受什么电子邮件。我认为，如果他们不检查SPF记录并相应地拒绝它们，那将是愚蠢的，但这取决于他们。我知道有些人喜欢DMARC，但我个人认为这是一个可怕的主意，因此我不会重新配置电子邮件服务器以基于DMARC接受/拒绝邮件。毫无疑问，有些人对SPF也有同样的感觉。

我认为SPF 确实做的就是让你放弃电子邮件声称是来自您的域，但没有任何进一步的责任。任何邮件管理员向您抱怨，如果您的域没有检查您广告中的SPF记录，而您的域却向他们发送了垃圾邮件，那本来告诉他们应该拒绝该电子邮件的，则可以在他们的耳中轻而易举地发送出去。

— 疯了
source

SPF无法阻止这种情况。它仅向其他服务器表明邮件已被欺骗，但是大多数服务器仅使用这几个因素来决定是否应阻止该邮件。

— 斯文
source

好的，谢谢，这就是我所怀疑的...我实际上很惊讶，Gmail没有“尊重” spf失败，因为有些警告标志:(

— jitbit 2015年

@jitbit Gmail确实支持SPF，但SPF-Hardfail并不意味着邮件会直接发送到垃圾邮件文件夹。它是垃圾邮件检测的许多参数之一。

— sebix

@sebix我终于让Gmail将此邮件视为垃圾邮件/恶意软件，请参阅问题更新

— jitbit 2015年

是的，那很正常。任何人都可以欺骗任何电子邮件地址，但是SPF（发件人策略框架）使电子邮件服务提供商和客户能够更好地将其标识为垃圾邮件并标记为垃圾邮件，或者在其处理过程中最终完全退回邮件。

— 摩根
source