如果我理解正确,电子邮件接收者会通过将 MAIL FROM(返回路径)地址的域 IP 与域的 SPF 策略(在 DNS 中)中列出的 IP 进行匹配来检查电子邮件来源的有效性。
我不明白的是,作为骗子,我可以创建任何域,例如 xyzzzz.com,在 DNS 中添加 SPF 策略并将 MAIL FROM 地址设置为 xyzzzz.com,并且仍然欺骗发件人地址(作为 SPF仅根据 MAIL FROM 地址验证身份);它是最终客户端实际看到的 From 地址。
因此我不明白 SPF 的好处。
SPF 可用于验证信封发件人地址,即防止伪造发件人( MAIL FROM)。它是为此而设计的,而不是针对伪造的标题。DKIM旨在保护头部和主体免受伪造和篡改。该From:头总是签,其他头是可选的。
DKIM 只能保护已签名的邮件,但它不提供一种机制来证明未签名的邮件应该已签名。现在看来,SPF 和 DKIM 都对From:标头中的欺骗地址无能为力。DMARC对齐来拯救!DMARC 可以通过告诉接收者他们应该如何处理未签名的消息来强制执行 DKIM。DKIM+DMARC 一起保护From:地址。
为什么仍然需要保护MAIL FROM地址?为什么不单独使用 DKIM+DMARC?
SPF 仍会保护您的域不被用作信封发件人。为什么有人会购买一个随机域并将其用作信封发件人,而现有的不受保护的域很多?如果没有 SPF 记录,有人可以在该阶段使用您的域,同时在标头中欺骗其他人的域。
DMARC 对齐只需要 SPF 或 DKIM 即可通过。您可能有一些应用程序或设备需要在From标头中使用您的域,但无法对消息进行 DKIM 签名。不用担心他们是否通过了同一域的 SPF 测试。同样,您可能有一些 3rd 方提供商代表您发送时事通讯,但在 SPF 级别允许它们可能过于广泛。只要他们可以使用自己的选择器对消息进行 DKIM 签名,就没有关系。
| 归档时间: |
|
| 查看次数: |
167 次 |
| 最近记录: |