Как определено в RFC4408, Sender Policy Framework проверяет только отправителя конверта (также известного как MAIL FROM). В From: заголовок не тестируется. Поскольку это ценность From: Заголовок, который обычно отображается в почтовых клиентах, злоумышленник может использовать случайного отправителя конверта, который может даже иметь действительную SPF-запись для используемого IP.
Получатели узнают только о поддельном From: заголовок, если они проверят Return-Path: заголовок (который MTA устанавливает значение отправителя конверта) вручную.
Итак, как SPF-проверки предотвращают спам или фишинг?
Сам по себе SPF не полностью блокирует спам, потому что, как вы отметили, он использует домен MAIL FROM для загрузки политик SPF. Поскольку злоумышленник может манипулировать MAIL FROM в своих интересах, он может использовать MAIL FROM из домена, который он контролирует, а затем подделать ваш домен в заголовке From :.
SPF становится действительно эффективным в сочетании с DMARC.
DMARC просмотрит сообщение и выяснит, авторизовано ли оно с помощью SPF или DKIM (требуется только одно). После прохождения одного из этих механизмов все домены, прошедшие проверку, сравниваются с доменом From :. Если какой-либо из этих доменов и домен From: совпадают, говорят, что они согласованы, и сообщение считается авторизованным с точки зрения DMARC. Однако если выравнивание не удается, применяется политика DMARC, которую вы публикуете через DNS.
У вас есть выбор: запросить отправку сообщений, не прошедших DMARC, в систему карантина / спама, или даже запросить полное отклонение этих сообщений.
DMARC также позволяет вам запрашивать у получателей сводные отчеты, чтобы вы могли понять, как ваша электронная почта обрабатывается по всей планете.
Gmail, Yahoo, Hotmail и многие другие организации уже участвуют в DMARC.
На DMARC.org есть список ресурсов, которые помогут вам узнать больше о DMARC.
Есть также Помощник по настройке DMARC Скотта Киттермана
DMARC - это не серебряная пуля; он не будет блокировать спам, если домен From: не находится под вашим контролем. Однако блокировка злоумышленников от подделки вашего домена является важным вариантом с точки зрения принуждения злоумышленников к использованию других стратегий, которые более открыты для интеллектуальной фильтрации в вашем конвейере спама.
Как и в случае с большинством проблем безопасности, этот механизм не полностью предотвращает проблему, но делает ее более сложной для злоумышленников.
В этом случае предлагаемая защита - это не то, что отображается в почтовом клиенте, а, скорее, помогает почтовому ретранслятору на принимающей стороне решить, принимать ли почту (или, возможно, пометить как спам). Это происходит до того, как почта дойдет до конечного клиента. Проверяя IP-адрес отправляющего ретранслятора на соответствие «разрешенным» IP-адресам, которые содержатся в записи SPF отправляющего домена, ретранслятор может видеть, исходит ли почта с утвержденного IP-адреса.
Естественно, если вы можете подменить исходный IP-адрес или отравить DNS-запрос конечного ретранслятора против записи SPF, вы можете победить систему. Но это сложнее.