如RFC4408中所定义的,发件人策略框架仅检查信封发件人(又名MAIL FROM )。 From:头没有被testing。 由于这是通常在电子邮件客户端中显示的From:标头的值,因此攻击者可能会使用一个随机信封发件人,该发件人甚至可能拥有有效的SPFlogging。
如果收件人手动检查Return-Path:标题(由MTA设置为信封发件人的值),则只能查找伪造的From:标题。
那么,SPF检查如何防止垃圾邮件或networking钓鱼?
SPF本身并不会完全阻止垃圾邮件,因为正如您指出的那样,它使用MAIL FROM域来加载SPF策略。 由于攻击者可以操纵MAIL FROM,因此他们可以从他们控制的域中自由使用MAIL FROM,然后在From:头中欺骗你的域。
如果配合DMARC,SPF变得真正有效。
DMARC将查看消息并查看是否使用SPF或DKIM进行授权(只需要一个)。 在其中一个机制通过之后,所有通过检查的域将与From:域进行比较。 如果这些域中的任何一个与From:域匹配,则说明它们保持一致,并且从DMARC的angular度来看,该消息被认为是授权的。 如果alignment失败,则应用通过DNS发布的DMARC策略。
您可以select将DMARC失败的邮件发送到隔离/垃圾邮件文件夹系统,甚至要求彻底拒绝这些邮件。
DMARC还允许您请求接收方向您发送汇总报告,以便您了解电子邮件在地球上的处理方式。
Gmail,Yahoo,Hotmail和其他许多组织已经参与了DMARC。
DMARC.org有一份资源清单,可帮助您了解有关DMARC的更多信息 。
还有Scott Kitterman的DMARCconfiguration助理
DMARC不是一颗银弹; 它不会阻止来自From:域名不受您控制的垃圾邮件。 然而,阻止攻击者欺骗你的域名是一个高价值的select,迫使攻击者使用其他更加开放的垃圾邮件pipe道智能过滤策略。
和大多数安全问题一样,这个机制并不能完全防止这个问题,但是这使坏人更难克服。
在这种情况下,提供的保护不是在电子邮件客户端中显示的,而是帮助接收方的邮件中继来决定是否接受邮件(或者可能标记为垃圾邮件)。 这是邮件到达最终客户端之前。 通过检查发送域名的SPFlogging中包含的“允许的”IP的发送中继的IP,中继可以看到邮件是否来自核准的IP。
当然,如果您可以欺骗源IP,或者将目标中继的DNS查询与SPFlogging中毒,您可以击败系统。 但是这很难。