Запись SPF - это запись DNS, которая, по сути, указывает, с каких IP / доменов разрешено отправлять электронную почту от имени домена.
Когда используя стороннюю почтовую службу, она часто рекомендует использовать «всеобъемлющую» запись SPF для всех своих серверов. Вот что рекомендует Sendgrid :
v = spf1 include: sendgrid.net ~ all
Домен, с которым связана эта запись (например, example.com), будет "разрешать" всю электронную почту со всех sendgrid. net.
Мне кажется, что злоумышленник может просто зарегистрировать учетную запись Sendgrid и отправлять электронные письма от имени example.com, которые «пройдут» проверку SPF.
Верно ли это?
Я знаю. этот SPF не предназначен для проверки подлинности сообщения. Просто кажется немного странным, что в правильной ситуации такая широко распространенная технология имеет такую уязвимость, которую легко использовать. И да, я понимаю, что запрос частного IP-адреса у сторонней почтовой службы снимет эту проблему.
В DNS-записи, которую вы упомянули, говорится:
Я, владелец этого домена, верю, что Sendgrid проверит
Поле From:
всех электронных писем, которые оставляют все SMTP-серверы в их пулах IP, и что Sendgrid предотвращает несанкционированный контент.
Это не то, что говорится в RFC , но это практический смысл.
Это архитектура SPF. Называть это недостатком неконструктивно, хотя и понятно. Верно, что под зонтиком DMARC SPF предназначен исключительно как резервный механизм в случае сбоя DKIM (DKIM имеет тенденцию быть статистически несколько подверженным ошибкам). Тот факт, что сервисы массовой рассылки предлагают SPF в качестве основного механизма, часто вообще не упоминают DKIM и часто полностью не могут авторизовать заголовок From:
, говорит об их невежественности. в их основном бизнесе .
Ввиду этого я всегда рекомендую использовать From: (скрыто), что несколько смягчает влияние выдачи себя за генерального директора, финансового директора, отдела кадров и т. д. Тем не менее, кто бы ни хотел, чтобы я установил эту запись домена, я всегда прошу их принять на себя риск
От: (скрыто) (Я вставляю настоящее имя их генерального директора. Обычно они с этим соглашаются. Ага)