Запись SPF - это запись DNS, которая, по сути, указывает, каким IP-адресам / доменам разрешено отправлять электронную почту от имени домена.
При использовании сторонней почтовой службы она часто рекомендует использовать «всеобъемлющую» запись SPF для всех своих серверов. Вот что рекомендует Sendgrid:
v=spf1 include:sendgrid.net ~all
Домен, с которым связана эта запись (например, example.com), будет «разрешать» всю электронную почту со всех доменов sendgrid.net.
Мне кажется, что злоумышленник может просто зарегистрировать учетную запись Sendgrid и отправлять электронные письма от имени example.com, которые «пройдут» проверку SPF.
Это правда?
Я знаю, что SPF не предназначен для проверки подлинности сообщений. Просто кажется немного странным, что в правильной ситуации такая широко распространенная технология имеет такую уязвимость, которую легко использовать. И да, я понимаю, что запрос частного IP-адреса у сторонней почтовой службы снимет эту проблему.
В упомянутой вами записи DNS говорится:
Я, владелец этого домена, верю, что Sendgrid проверит
From:поле все электронные письма, которые уходят все SMTP-серверы в их пулах IP-адресов и Sendgrid предотвратят несанкционированный контент.
Это не то, что говорится в RFC, но это практический смысл.
Это архитектура SPF. Назвать это недостатком неконструктивно, хотя и понятно. Это правда, что под зонтиком DMARC SPF предназначен исключительно как резервный механизм в случае сбоя DKIM (DKIM имеет тенденцию быть статистически несколько подверженным ошибкам). Тот факт, что сервисы массовой рассылки предлагают SPF в качестве основного механизма, часто вообще не упоминают DKIM, а также полностью потерпеть неудачу разрешить From: заголовок говорит об их невежестве в своих основной бизнес.
Ввиду этого я всегда рекомендую использовать From: dont-reply@mass-mailing.example.com что несколько смягчает влияние выдачи себя за генерального директора, финансового директора, отдела кадров и т. д. Тем не менее, кто бы ни хотел, чтобы я установил эту запись домена, я всегда прошу их принять на себя риск From: ceo@mass-mailing.example.com. (Я вставляю настоящее имя их генерального директора. Обычно они соглашаются с этим. Ага.)