Avoir un enregistrement SPF valide mais peut encore usurper mon courrier électronique

9

J'ai créé un enregistrement SPF pour mon domaine, mais je peux toujours usurper les adresses e-mail de mon domaine en utilisant de faux services de messagerie comme celui-ci: http://deadfake.com/Send.aspx

L'e-mail arrive très bien dans ma boîte de réception Gmail.

L'email contient des erreurs SPF dans l'en-tête comme ceci: spf=fail (google.com: domain of info@mydomain.com does not designate 23.249.225.236 as permitted sender)mais il est toujours bien reçu, ce qui signifie que n'importe qui peut usurper mon adresse e-mail ...

Mon dossier SPF est: v=spf1 mx a ptr include:_spf.google.com -all

MISE À JOUR Dans le cas où quelqu'un est intéressé, j'ai publié une politique DMARC avec mon enregistrement SPF et maintenant Gmail marque correctement les messages d'usurpation (image)

entrez la description de l'image ici

email  spf 
jitbit
source
3
Oui, n'importe qui peut usurper votre domaine dans un e-mail. L'enregistrement SPF n'empêche pas cela à moins que le serveur récepteur n'effectue un rejet dur basé sur l'échec SPF, ce que peu font probablement.
joeqwerty
Parce que vous avez inclus _spf.google.com votre politique est susceptible d'être évalué ~allnon -all. Vous avez probablement besoin que l' un des MX, Aet PTR.
BillThor
2
@BillThor comme la norme l'indique clairement , les échecs légers ou graves d'un includeenregistrement an et d sont ignorés lors de l'évaluation du résultat final; ou comme ils le disent, "l' évaluation d'une directive" -all "dans l'enregistrement référencé ne met pas fin au traitement global ".
MadHatter
@MadHatter Oui, j'ai examiné la documentation révisée avec cette clarification. Ce n'était pas clair dans la documentation antérieure, et je crois avoir rencontré des implémentations qui semblaient ne pas faire la distinction. Toutes les implémentations ne gèrent pas de tels cas de manière standard. Je pense que c'est peut-être la raison pour laquelle la clarification était nécessaire.
BillThor
@BillThor vous avez peut-être raison! Comme ils le reconnaissent, ce includen'était pas un grand nom pour la politique, car tous ceux qui ont de l'expérience en programmation ont immédiatement fait un ensemble d'hypothèses sur la façon dont cela fonctionnerait - dont certaines n'étaient pas correctes!
MadHatter

Réponses:

16

Le fait que vous publiez un enregistrement SPF n'oblige en aucun cas quiconque à l'honorer. Il appartient aux administrateurs d'un serveur de messagerie donné quel courrier électronique ils choisissent d'accepter. Je pense qu'ils sont stupides s'ils ne vérifient pas les enregistrements SPF et ne rejettent pas en conséquence, mais c'est à eux de décider . Je connais des gens comme DMARC, mais je pense que c'est une idée hideuse moi-même, et je ne vais pas reconfigurer mon serveur de messagerie pour accepter / rejeter en fonction de DMARC; sans aucun doute, certaines personnes pensent la même chose des FPS.

Ce que je pense que SPF fait , c'est vous permettre de décliner toute responsabilité pour les e-mails qui prétendaient appartenir à votre domaine, mais qui ne l'étaient pas. Tout administrateur de messagerie venant vous plaindre que votre domaine leur envoie du spam alors qu'il n'a pas pris la peine de vérifier l'enregistrement SPF que vous annoncez qui leur aurait dit que l'e-mail devrait être rejeté peut être renvoyé avec une puce à l'oreille.

Chapelier Fou
source
7

SPF ne peut pas empêcher cela. Cela donne juste une indication aux autres serveurs que le courrier est usurpé, mais la plupart n'utilisent cela que parmi plusieurs facteurs pour décider si le courrier doit être bloqué.

Sven
source
OK, merci, c'est ce que je soupçonnais ... Je suis en fait surpris que Gmail ne "respecte" pas un échec spf comme un indicateur d'avertissement :(
jitbit
@jitbit Gmail respecte le SPF, mais un SPF-Hardfail ne signifie pas que le courrier est livré directement dans le dossier spam. C'est l'un des nombreux paramètres de détection du spam.
sebix
@sebix J'ai finalement fait Gmail traiter cela comme du spam / malveillant, voir la mise à jour dans la question
jitbit
2

Oui, c'est normal. Tout le monde peut usurper n'importe quelle adresse e-mail, mais SPF (Sender Policy Framework) donne aux fournisseurs de services de messagerie et aux clients la possibilité de mieux identifier et signaler comme spam ou éventuellement de renvoyer des messages entièrement si cela fait partie de leur processus.

morgant
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.