Possui um registro SPF válido, mas ainda pode falsificar meu email

Eu configurei um registro SPF para o meu domínio, mas ainda posso falsificar endereços de e-mail para o meu domínio usando serviços de e-mail falsos como este: http://deadfake.com/Send.aspx

O e-mail chega bem à minha caixa de entrada do Gmail.

O email tem erros de SPF no cabeçalho como este: spf=fail (google.com: domain of [email protected] does not designate 23.249.225.236 as permitted sender)mas ainda é recebido muito bem, o que significa que qualquer um pode falsificar meu endereço de email ...

Meu registro SPF é: v=spf1 mx a ptr include:_spf.google.com -all

ATUALIZAÇÃO Caso alguém esteja interessado, publiquei uma política DMARC junto com o meu registro SPF e agora o Gmail marca as mensagens falsas corretamente (foto)

insira a descrição da imagem aqui

email spf jitbit
fonte

Sim, qualquer pessoa pode falsificar seu domínio em um email. O registro SPF não impede isso, a menos que o servidor de recebimento execute uma rejeição total com base na falha do SPF, o que provavelmente poucos fazem.

31515 Jan20

Como você incluiu _spf.google.com, é provável que sua política ~allnão seja avaliada -all. Você provavelmente só precisa de um de MX, Ae PTR.

BillThor

@BillThor, como o padrão faz com que as falhas claras , suaves ou duras de um includeregistro sejam ignoradas na avaliação do resultado final; ou como eles colocam, " avaliar uma diretiva '-todos' no registro referenciado não encerra o processamento geral ".

21915 MadHatter

@ MadHatter Sim, revi a documentação revisada com esse esclarecimento. Não estava claro na documentação anterior, e acredito que encontrei implementações que pareciam não fazer a distinção. Nem todas as implementações lidam com casos extremos como esse de maneira padrão. Acredito que seja por isso que o esclarecimento foi necessário.

BillThor

@ BillThor você pode estar certo! Como eles reconhecem, includenão era um ótimo nome para a política, porque todos com experiência em programação imediatamente fizeram um conjunto de suposições sobre como funcionaria - algumas das quais não estavam certas!

MadHatter

Respostas:

O fato de você anunciar um registro SPF de maneira alguma obriga alguém a honrá-lo. Cabe aos administradores de qualquer servidor de email que email eles escolhem aceitar. Eu acho que eles são tolos se não verificarem os registros SPF e rejeitarem adequadamente, mas isso depende deles . Conheço algumas pessoas como o DMARC, mas acho que é uma idéia hedionda e não reconfigurarei meu servidor de email para aceitar / rejeitar com base no DMARC; sem dúvida, algumas pessoas pensam o mesmo sobre o SPF.

O que eu acho que o SPF faz é permitir que você se exime de qualquer responsabilidade adicional por e-mail que alegou ser do seu domínio, mas não era. Qualquer administrador de e-mail que esteja reclamando que seu domínio está enviando spam a eles quando não se preocupou em verificar o registro SPF que você anuncia que teria dito a eles que o e-mail deveria ser rejeitado pode ser enviado com pulgas.

Chapeleiro Louco
fonte

O SPF não pode impedir isso. Ele fornece apenas uma indicação para outros servidores de que o email é falsificado, mas a maioria usa esse apenas um dos vários fatores para decidir se o email deve ser bloqueado.

Sven
fonte

OK, obrigado, é o que eu suspeitava ... Na verdade, estou surpreso que o Gmail não "respeite" uma falha no spf como algum sinalizador de aviso :(

jitbit 12/15/15

@jitbit O Gmail respeita o SPF, mas um SPF-Hardfail não significa que o email seja entregue diretamente na pasta de spam. É um dos muitos parâmetros para detecção de spam.

sebix

@sebix I finalmente fez Gmail tratar isso como spam / malicioso, consulte atualização na questão

Jitbit

Sim, isso é normal. Qualquer pessoa pode falsificar qualquer endereço de e-mail, mas o SPF (Sender Policy Framework) oferece aos provedores e clientes de serviços de e-mail a capacidade de identificar e sinalizar melhor como spam ou, eventualmente, devolver mensagens completamente, se isso fizer parte do processo.

morgante
fonte