유효한 SPF 레코드가 있지만 여전히 이메일을 스푸핑 할 수 있습니다 도메인에 대한 전자 메일

도메인에 대한 SPF 레코드를 설정했지만 다음과 같은 가짜 전자 메일 서비스를 사용하여 도메인에 대한 전자 메일 주소를 스푸핑 할 수 있습니다. http://deadfake.com/Send.aspx

이메일이 내 Gmail받은 편지함에 제대로 도착합니다.

이메일에는 다음 과 같이 헤더에 SPF 오류가 있습니다 . spf=fail (google.com: domain of info@mydomain.com does not designate 23.249.225.236 as permitted sender)하지만 여전히 잘 수신되어 누구나 이메일 주소를 스푸핑 할 수 있습니다 …

내 SPF 레코드는 다음과 같습니다 v=spf1 mx a ptr include:_spf.google.com -all

업데이트 누군가 관심이 있다면 SPF 레코드와 함께 DMARC 정책을 게시했으며 이제 Gmail에서 스푸핑 메시지를 올바르게 표시합니다 (그림).



답변

SPF 레코드를 광고한다는 사실은 다른 사람이이를 존중할 의무가 없습니다. 어떤 전자 메일 서버의 관리자는 어떤 전자 메일을 수락하도록 선택해야합니다. SPF 레코드를 확인하지 않고 거부 할 경우 어리석은 것으로 생각하지만 그 결정은 그들에게 달려 있습니다 . 나는 DMARC와 같은 사람들을 알고 있지만, 나는 그것이 끔찍한 생각이라고 생각하며, DMARC를 기반으로 수락 / 거부하도록 이메일 서버를 재구성하지 않을 것입니다. 의심 할 바없이 일부 사람들은 SPF에 대해 같은 생각을합니다.

SPF 생각 하는 것은 도메인에서 보낸 것으로 주장되었지만 그렇지 않은 전자 메일에 대한 추가 책임을 포기할 수 있도록하는 것입니다. 도메인 관리자가 귀하가 광고하는 SPF 레코드를 확인하지 않았을 때 귀하의 도메인이 스팸 메일을 보낸다는 불만을 제기 한 모든 메일 관리자 는 이메일을 거부해야한다는 내용의 알림을 귀에 벼룩으로 보낼 수 있습니다.


답변

SPF는 이것을 막을 수 없습니다. 메일이 스푸핑되었음을 다른 서버에 표시하지만 대부분 메일을 차단해야하는지 여부를 결정하는 데 여러 가지 요소 중 하나만 사용합니다.


답변

예, 그건 정상입니다. 누구나 전자 메일 주소를 스푸핑 할 수 있지만 SPF (Sender Policy Framework)는 전자 메일 서비스 공급자와 클라이언트에게 스팸으로 더 잘 식별하고 플래그를 지정하거나 프로세스의 일부인 경우 메시지를 완전히 반송 할 수있는 기능을 제공합니다.