Tener un registro SPF válido pero aún así puede falsificar mi correo electrónico

9

He configurado un registro SPF para mi dominio, pero aún puedo falsificar direcciones de correo electrónico para mi dominio utilizando servicios de correo electrónico falsos como este: http://deadfake.com/Send.aspx

El correo electrónico llega a mi bandeja de entrada de Gmail muy bien.

El correo electrónico tiene errores SPF en el encabezado como este: spf=fail (google.com: domain of info@mydomain.com does not designate 23.249.225.236 as permitted sender)pero aún así se recibió bien, lo que significa que cualquiera puede falsificar mi dirección de correo electrónico ...

Mi registro SPF es: v=spf1 mx a ptr include:_spf.google.com -all

ACTUALIZACIÓN En caso de que alguien esté interesado, he publicado una política DMARC junto con mi registro SPF y ahora Gmail marca los mensajes falsos correctamente (imagen)

ingrese la descripción de la imagen aquí

email  spf 
jitbit
fuente
3
Sí, cualquiera puede falsificar su dominio en un correo electrónico. El registro SPF no evita esto a menos que el servidor receptor realice un rechazo duro basado en la falla SPF, lo que probablemente pocos lo hacen.
joeqwerty
Debido a que incluyó _spf.google.com, es probable que su política ~allno se evalúe -all. Es probable que sólo necesita uno de MX, A, y PTR.
BillThor
2
@BillThor ya que el estándar hace que los errores claros , suaves o duros de un includeregistro an se ignoren al evaluar el resultado final; o como lo expresaron, " evaluar una directiva '-todos' 'en el registro referenciado no finaliza el procesamiento general ".
MadHatter
@MadHatter Sí, revisé la documentación revisada con esa aclaración. No estaba claro en la documentación anterior, y creo que encontré implementaciones que parecían no hacer la distinción. No todas las implementaciones manejan casos extremos como ese de manera estándar. Creo que puede ser por eso que se necesitaba la aclaración.
BillThor
@BillThor puede que tengas razón! Como reconocen, includeno era un gran nombre para la política, porque todos los que tenían experiencia en programación inmediatamente hicieron una serie de suposiciones sobre cómo funcionaría, ¡algunas de las cuales no eran correctas!
MadHatter

Respuestas:

16

El hecho de que anuncie un registro SPF de ninguna manera obliga a nadie más a honrarlo. Depende de los administradores de cualquier servidor de correo determinado qué correo electrónico eligen aceptar. Creo que son tontos si no verifican los registros SPF y los rechazan en consecuencia, pero depende de ellos . Conozco a algunas personas como DMARC, pero creo que es una idea horrible, y no voy a volver a configurar mi servidor de correo electrónico para aceptar / rechazar basado en DMARC; sin duda algunas personas sienten lo mismo por SPF.

Lo que creo que SPF hace es permitirle rechazar cualquier otra responsabilidad por el correo electrónico que afirmaba ser de su dominio, pero que no lo era. Cualquier administrador de correo que venga a usted quejándose de que su dominio les está enviando correo no deseado cuando no se hayan molestado en verificar el registro SPF que anuncia que les habría dicho que el correo electrónico debería ser rechazado puede ser enviado con una pulga en el oído.

MadHatter
fuente
7

SPF no puede evitar esto. Solo da una indicación a otros servidores de que el correo es falso, pero la mayoría usa esto solo como uno de varios factores para decidir si el correo debe ser bloqueado.

Sven
fuente
OK, gracias, eso es lo que sospechaba ... En realidad estoy sorprendido de que Gmail no "respete" un error de spf como una bandera de advertencia :(
jitbit
@jitbit Gmail respeta SPF, pero un SPF-Hardfail no significa que el correo se entregue directamente a la carpeta de spam. Es uno de los muchos parámetros para la detección de spam.
sebix
@sebix Finalmente hice que Gmail tratara esto como spam / malicioso, vea la actualización en la pregunta
jitbit
2

Si, eso es normal. Cualquiera puede suplantar cualquier dirección de correo electrónico, pero SPF (Marco de políticas del remitente) brinda a los proveedores y clientes de servicios de correo electrónico la capacidad de identificar y marcar mejor como correo no deseado o eventualmente enviar mensajes por completo si eso es parte de su proceso.

morgant
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.