Рекомендация Google по SPF для обе GMail и GSuite - это
v=spf1 include:_spf.google.com ~all
Меня беспокоит то, что это одинаково как для Google, так и для GMail. Если я не ошибаюсь, это означает, что я могу отправлять сообщения с сервера GSuite как свой личный домен и не быть отмеченным как спам. Однако это также позволяет любой, у кого есть учетная запись GMail, для создания электронного письма, как если бы оно пришло из моего домена, и пока они отправляют его через SMTP-серверы Google (которые будут включены в записи SPF), это не будет нарушением SPF.
Разве это не явная дыра в безопасности для людей, использующих GSuite, или я чего-то упускаю?
Спасибо!
Запись SPF сама по себе означает, что любая почта, отправленная с серверов Gmail / Gsuite, в порядке.
Однако я твердо уверен, что службы Gmail / Gsuite не позволяют пользователям использовать произвольно выбранные адреса отправителя без предварительного подтверждения права собственности.
Т.е., это будет не нарушение политики SPF, которое сделало бы такое злоупотребление видимым постфактум, а почтовые серверы Gmail / Gsuite, которые в первую очередь отклонят запрос этого несвязанного пользователя на ретрансляцию такого сообщения.