SPF 记录,其他查找是否可以代表我发送电子邮件

【问题标题】:SPF record, can additional lookups send email on my behalfSPF 记录,其他查找是否可以代表我发送电子邮件
【发布时间】:2021-01-22 21:51:05
【问题描述】:

查看具有 4 个域及其以下 SPF 记录的假设场景:

域名:example.com SPF 记录:v=spf1 包括:otherdomain.com ~all

域名:otherdomain.com SPF 记录:v=spf1 a include:thirddomain.com ~all

域名:thirddomain.com SPF 记录:v=spf1 ip4:1.2.3.4 包括:unsecuredomain.com ~all

域名:unsecuredomain.com SPF 记录:v=spf1 +all

  • example.com 使用 otherdomain.com 代表其发送电子邮件并“软失败”任何其他域。
  • otherdomain.com 使用自己的 IP 发送电子邮件,还允许 thirddomain.com 代表其发送电子邮件并“软失败”其他域。
  • thirddomain.com 使用 IP 1.2.3.4 发送电子邮件,并允许 unsecuredomain.com 代表其发送电子邮件并“软失败”其他域
  • unsecuredomain.com 允许任何人代表其发送电子邮件。

问题: 任何人、unsecuredomain.com 或thirddomain.com 都可以代表example.com 发送电子邮件吗? 任何人都可以代表 thirddomain.com 发送电子邮件吗?

谢谢大家

【问题讨论】:

    标签: email security dns spf


    【解决方案1】:

    我知道您在担心什么,但没关系:包含域的 all 政策不要为您自己的 SPF 政策创建后门。

    • otherdomain.com 可以从其A 记录指向的任何位置发送example.com,也可以从thirddomain.com 的文字IP 发送。
    • thirddomain.com 只能从其文字 IP 发送 example.com
    • unsecuredomain.com 根本无法发送 example.com
    • 任何其他来源都会从example.com~all 默认机制获得软故障。

    已在RFC7208 section 5.2中澄清:

    例如,评估引用中的“-all”指令 记录不会终止整体处理,也不会 必然会导致整体“失败”。

    使用“包含”机制,管理外部的一组 主机可以被授权,但发送者策略的确定仍然是 原始域的 SPF 记录的函数(由 该记录中的“全部”机制)。

    简而言之,仅使用all 机制供您自己记录。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2020-06-23
      • 1970-01-01
      • 2015-04-28
      • 1970-01-01
      • 2020-03-09
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode