Memiliki catatan SPF yang valid tetapi masih bisa menipu email saya

9

Saya telah menyiapkan catatan SPF untuk domain saya, tetapi saya masih bisa memalsukan alamat email untuk domain saya menggunakan layanan email palsu seperti ini: http://deadfake.com/Send.aspx

Email tidak masuk ke kotak masuk gmail saya dengan baik.

Email memang memiliki kesalahan SPF di header seperti ini: spf=fail (google.com: domain of info@mydomain.com does not designate 23.249.225.236 as permitted sender)tetapi masih diterima dengan baik, yang berarti siapa pun dapat menipu alamat email saya ...

Catatan SPF saya adalah: v=spf1 mx a ptr include:_spf.google.com -all

UPDATE Jika ada yang tertarik, saya telah menerbitkan kebijakan DMARC bersama dengan catatan SPF saya dan sekarang Gmail menandai pesan palsu dengan benar (gambar)

masukkan deskripsi gambar di sini

email  spf 
jitbit
sumber
3
Ya, siapa saja dapat menipu domain Anda dalam email. Catatan SPF tidak mencegah hal ini kecuali server penerima melakukan penolakan keras berdasarkan kegagalan SPF, yang mungkin hanya sedikit yang melakukannya.
joeqwerty
Karena Anda memasukkan _spf.google.com, kebijakan Anda cenderung ~alltidak dievaluasi -all. Anda mungkin hanya perlu satu dari MX, A, dan PTR.
BillThor
2
@ BillThor sebagai standar membuat jelas , lunak atau gagal gagal dari includecatatan d diabaikan ketika mengevaluasi hasil akhir; atau seperti yang mereka katakan, " mengevaluasi arahan '-semua' dalam catatan yang direferensikan tidak menghentikan pemrosesan keseluruhan ".
MadHatter
@ MadHatter Ya saya meninjau dokumentasi yang direvisi dengan klarifikasi itu. Tidak jelas dalam dokumentasi sebelumnya, dan saya percaya saya menemukan implementasi yang tampaknya tidak membuat perbedaan. Tidak semua implementasi menangani kasus tepi seperti itu secara standar. Saya percaya itu sebabnya klarifikasi diperlukan.
BillThor
@ BillThor Anda mungkin benar! Seperti yang mereka akui, includeitu bukan nama yang bagus untuk kebijakan itu, karena semua orang dengan pengalaman pemrograman segera membuat serangkaian asumsi tentang cara kerjanya - beberapa di antaranya tidak benar!
MadHatter

Jawaban:

16

Fakta bahwa Anda mengiklankan catatan SPF sama sekali tidak mengharuskan orang lain untuk menghormatinya. Terserah admin server surat yang diberikan, email apa yang mereka pilih untuk terima. Saya pikir mereka bodoh jika mereka tidak memeriksa catatan SPF dan menolaknya, tapi itu terserah mereka . Saya tahu beberapa orang menyukai DMARC, tapi saya pikir itu ide yang mengerikan sendiri, dan saya tidak akan mengkonfigurasi ulang server email saya untuk menerima / menolak berdasarkan DMARC; pasti beberapa orang merasakan hal yang sama tentang SPF.

Apa yang saya pikir SPF tidak melakukan yaitu memungkinkan Anda untuk melepaskan setiap tanggung jawab lebih lanjut untuk email yang mengaku dari domain Anda, tapi tidak. Admin email mana pun yang mendatangi Anda mengeluh bahwa domain Anda mengirimi mereka spam ketika mereka tidak mau repot-repot memeriksa catatan SPF yang Anda iklankan yang akan memberi tahu mereka bahwa email yang seharusnya ditolak dapat dengan adil dikirim dengan kutu di telinga mereka.

MadHatter
sumber
7

SPF tidak dapat mencegah ini. Ini hanya memberikan indikasi ke server lain bahwa email itu palsu, tetapi sebagian besar menggunakan ini hanya salah satu dari beberapa faktor untuk memutuskan apakah email harus diblokir.

Sven
sumber
OK, terima kasih, itulah yang saya duga ... Saya sebenarnya terkejut Gmail tidak "menghargai" kegagalan spf karena beberapa flag peringatan :(
jitbit
@jitbit Gmail memang menghormati SPF, tetapi SPF-Hardfail tidak berarti email dikirim langsung ke folder spam. Ini adalah salah satu dari banyak parameter untuk deteksi spam.
sebix
@sebix Saya akhirnya membuat Gmail memperlakukan ini sebagai spam / berbahaya, lihat pembaruan dalam pertanyaan
jitbit
2

Ya itu normal. Siapa pun dapat memalsukan alamat email mana pun, tetapi SPF (Kerangka Kebijakan Pengirim) memberi penyedia layanan & klien email kemampuan untuk mengidentifikasi & menandai dengan lebih baik sebagai spam atau akhirnya memantulkan pesan sepenuhnya jika itu merupakan bagian dari proses mereka.

bermoral
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.