我想到如果 SPF 记录不是递归的,域名可能容易受到来自子域的电子邮件欺骗。我的研究表明 this :



(强调我的)

Q1:如果子域没有 A/MX 记录,为什么不需要添加 SPF 记录?

例如,我调查了 support.google.com :

dig google.com txt :

google.com. 3599 IN TXT "v=spf1 include:_spf.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all"

dig support.google.com txt :
support.google.com. 21599 IN CNAME www3.l.google.com.

dig www3.l.google.com txt :
www3.l.google.com. IN TXT

所以...,support.google.com 没有 SPF 记录。

Q2:谷歌(和许多其他网站)不遵循这个建议吗?

Q3(奖金):如果这是一个问题,而且我不只是愚蠢,为什么没有更多记录?

我能找到的唯一相关的 SE 问题是 this ,但它并没有比上面的 openspf.org FAQ 说的更多。

最佳答案

这实际上并不是 2015 年非常相关的建议,因为自该帖子发布以来,电子邮件格局已经发生了重大变化。

实际上,SPF 是一种身份验证协议(protocol),而不是一种策略执行机制。我的意思是,特定消息可以根据 EHLO 名称或返回路径域通过、失败或不检查 SPF。但是接收者应该如何处理任何 SPF 结果取决于接收者。

电子邮件策略实现机制是 DMARC,它指定接收方应如何处理未通过 SPF 或 DKIM 身份验证的邮件。是否应该完全拒绝?被隔离(通常意味着定向到垃圾邮件文件夹)?还是被视为“正常”?

与 SPF 不同,DMARC 确实具有子域继承。因此,如果未在子域上定义明确的 DMARC 策略,则使用在组织域上定义的策略。因此,在您提到的特定情况下,将从 _dmarc.google.com 读取策略。这是:

v=DMARC1; p=quarantine; rua=mailto:[email protected]

因此,即使没有在 support.google.com 上定义明确的 SPF 策略,您在 support.google.com 上发送的假设电子邮件也将被视为垃圾邮件

因此,如果您想确保您管理的域免受子域欺骗,请添加 DMARC 策略。

关于email - 没有通配符 SPF 记录的站点是否容易受到子域欺骗攻击?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/28311649/

10-08 23:03