我想到如果 SPF 记录不是递归的,域名可能容易受到来自子域的电子邮件欺骗。我的研究表明 this :
(强调我的)
Q1:如果子域没有 A/MX 记录,为什么不需要添加 SPF 记录?
例如,我调查了 support.google.com :
dig google.com txt :
google.com. 3599 IN TXT "v=spf1 include:_spf.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all"
dig support.google.com txt :
support.google.com. 21599 IN CNAME www3.l.google.com.
dig www3.l.google.com txt :
www3.l.google.com. IN TXT
所以...,
support.google.com 没有 SPF 记录。Q2:谷歌(和许多其他网站)不遵循这个建议吗?
Q3(奖金):如果这是一个问题,而且我不只是愚蠢,为什么没有更多记录?
我能找到的唯一相关的 SE 问题是 this ,但它并没有比上面的
openspf.org FAQ 说的更多。 最佳答案
这实际上并不是 2015 年非常相关的建议,因为自该帖子发布以来,电子邮件格局已经发生了重大变化。
实际上,SPF 是一种身份验证协议(protocol),而不是一种策略执行机制。我的意思是,特定消息可以根据 EHLO 名称或返回路径域通过、失败或不检查 SPF。但是接收者应该如何处理任何 SPF 结果取决于接收者。
电子邮件策略实现机制是 DMARC,它指定接收方应如何处理未通过 SPF 或 DKIM 身份验证的邮件。是否应该完全拒绝?被隔离(通常意味着定向到垃圾邮件文件夹)?还是被视为“正常”?
与 SPF 不同,DMARC 确实具有子域继承。因此,如果未在子域上定义明确的 DMARC 策略,则使用在组织域上定义的策略。因此,在您提到的特定情况下,将从 _dmarc.google.com 读取策略。这是:
v=DMARC1; p=quarantine; rua=mailto:[email protected]
因此,即使没有在
support.google.com 上定义明确的 SPF 策略,您在 support.google.com 上发送的假设电子邮件也将被视为垃圾邮件因此,如果您想确保您管理的域免受子域欺骗,请添加 DMARC 策略。
关于email - 没有通配符 SPF 记录的站点是否容易受到子域欺骗攻击?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/28311649/