Назад | Перейти на главную страницу

Могу ли я обойти ограничения SPF, используя SMTP-конверт FROM с другим доменом, который либо не имеет записи SPF, либо недействителен

Рассмотрим запись DMARC:

v = DMARC1; p = отклонить; rua = mailto: xyz; ruf = mailto: xyz; adkim = s; aspf = s; pct = 100; fo = 1; sp = отклонить

Также рассмотрите домен example.com с записью TXT:

v = spf1 включают: _spf.google.com -all

Теперь представьте, что третья сторона отправляет электронное письмо с помощью FROM test@example.com by либо использует конверт SMTP с FROM test@mail-sender.com или обратный путь test@mail-sender.com.

Насколько я понимаю, теперь SMTP-сервер получателя будет проверять SPF, используя запись TXT в mail-sender.com.

Если эта SPF-запись для mail-sender.com:

Насколько я понимаю, запись SPF TXT для example.com полностью игнорируется, и запись DMARC, которая "отклоняет" и находится в режиме строгого согласования SPF, будет не предотвратить успешную доставку этих сообщений (я думаю, что это считается несогласованным проходом SPF).

По сути, правильно ли я говорю, что в SPF и DMARC нет такой вещи, которая говорила бы, что «только электронные письма с IP-адресов, явно указанных в записи TXT на example.com, могут отправляться от имени моего домена».

Я думаю, вам в основном не хватает «согласования», которое требуется для получения почты, совместимой с DMARC. Это то, что отличает DMARC от существующих методов.

Выравнивание означает, что DMARC требует, чтобы вы установили аутентификацию (SPF / DKIM), используя тот же домен *, что и домен «От». Вы упомянули выравнивание между доменом SPF (конверт из) и доменом DKIM, однако это не применимо.

В вашем примере сообщения не будут совместимы с DMARC, поскольку нет согласования в домене @ example.com 'From' и домене @ mail-sender.com 'Return-Path'. В этом примере будет сгенерировано SPF «Пройдено», но DMARC «Не выполнено».

Утверждение о SPF и DMARC - это именно то, о чем идет речь в DMARC: убедиться, что аутентификация действительно выполняется с использованием рассматриваемого домена «От», а не домена @ mail-sender.com.

Вам это помогает?

С Уважением,

Михиэль

Анализатор DMARC