Имеет ли SPF основной недостаток при использовании сторонней почтовой службы?

Question

Имеет ли SPF основной недостаток при использовании сторонней почтовой службы?

Запись SPF - это запись DNS, которая, по сути, указывает, с каких IP / доменов разрешено отправлять электронную почту от имени домена.

Когда используя стороннюю почтовую службу, она часто рекомендует использовать «всеобъемлющую» запись SPF для всех своих серверов. Вот что рекомендует Sendgrid :

v = spf1 include: sendgrid.net ~ all

Домен, с которым связана эта запись (например, example.com), будет "разрешать" всю электронную почту со всех sendgrid. net.

Мне кажется, что злоумышленник может просто зарегистрировать учетную запись Sendgrid и отправлять электронные письма от имени example.com, которые «пройдут» проверку SPF.

Верно ли это?

Я знаю. этот SPF не предназначен для проверки подлинности сообщения. Просто кажется немного странным, что в правильной ситуации такая широко распространенная технология имеет такую уязвимость, которую легко использовать. И да, я понимаю, что запрос частного IP-адреса у сторонней почтовой службы снимет эту проблему.

0

email email-server spf

задан rinogo 7 June 2018 в 19:50

Ссылка

1 ответ


         
              



      
        Теги
        
         email email-server spf       

        Похожие вопросы
        
          
                          108 
 При борьбе со Спамом - Что может, я делаю как: почтовый Администратор, Доменный Владелец или Пользователь? - 13 April 2017 15:14 
                            108 
 При борьбе со Спамом - Что может, я делаю как: почтовый Администратор, Доменный Владелец или Пользователь? - 13 April 2017 15:14 
                            96 
 Постфикс - как повторить доставку почты в очереди? - 19 February 2015 10:13 
                            89 
 Почему записи MX не могут указать на IP-адрес? - 28 January 2015 19:17 
                            88 
 Как я становлюсь склонным - добираются для игнорирования некоторых зависимостей? - 22 March 2011 10:17 
                            88 
 Куда попадает почта, отправленная на *@example.com? [закрыто] - 22 November 2011 04:52 
                            84 
 Как послать электронные письма и избежать их классифицируемый как спам? - 13 April 2017 15:14 
                            69 
 Замена Exchange Server, которая работает на Linux - 23 January 2015 10:34 
                            60 
 Действительно ли постфикс является тем же самым как Sendmail? - 21 December 2018 11:40 
                            55 
 Как отправить вывод от cronjob до нескольких адресов электронной почты? - 18 February 2016 17:43 
                            54 
 как зафиксировать “отправлять-почту: Авторизация перестала работать 534 5.7.14” - 10 October 2014 20:16 
                            53 
 Записи SPF Для Первичного домена относятся к субдоменам? - 19 October 2011 18:59 
                            53 
 Записи SPF Для Первичного домена относятся к субдоменам? - 19 October 2011 18:59 
                            53 
 Записи SPF Для Первичного домена относятся к субдоменам? - 19 October 2011 18:59 
                            52 
  Почему у нас все еще есть такие ограничения на размер прикрепленных файлов электронной почты? [закрыто]  - 24 August 2011 10:30

score 4 · Answer 1 · 4 December 2019 в 11:42

В DNS-записи, которую вы упомянули, говорится:

Я, владелец этого домена, верю, что Sendgrid проверит Поле From: всех электронных писем, которые оставляют все SMTP-серверы в их пулах IP, и что Sendgrid предотвращает несанкционированный контент.

Это не то, что говорится в RFC , но это практический смысл.

Это архитектура SPF. Называть это недостатком неконструктивно, хотя и понятно. Верно, что под зонтиком DMARC SPF предназначен исключительно как резервный механизм в случае сбоя DKIM (DKIM имеет тенденцию быть статистически несколько подверженным ошибкам). Тот факт, что сервисы массовой рассылки предлагают SPF в качестве основного механизма, часто вообще не упоминают DKIM и часто полностью не могут авторизовать заголовок From: , говорит об их невежественности. в их основном бизнесе .

Ввиду этого я всегда рекомендую использовать From: (скрыто), что несколько смягчает влияние выдачи себя за генерального директора, финансового директора, отдела кадров и т. д. Тем не менее, кто бы ни хотел, чтобы я установил эту запись домена, я всегда прошу их принять на себя риск От: (скрыто) (Я вставляю настоящее имя их генерального директора. Обычно они с этим соглашаются. Ага)