SPF 记录,可以额外查找代表我发送电子邮件
SPF record, can additional lookups send email on my behalf
查看具有 4 个域及其以下 SPF 记录的假设场景:
域:example.com
SPF 记录:v=spf1 include:otherdomain.com ~all
域:otherdomain.com
SPF 记录:v=spf1 a include:thirddomain.com ~all
域:thirddomain.com
SPF 记录:v=spf1 ip4:1.2.3.4 include:unsecuredomain.com ~all
域:unsecuredomain.com
SPF 记录:v=spf1 +all
- example.com 使用 otherdomain.com 代表它发送电子邮件并“软失败”任何其他域。
- otherdomain.com 使用自己的 IP 发送电子邮件,还允许 thirddomain.com 代表它发送电子邮件并“软失败”其他域。
- thirddomain.com 使用 IP 1.2.3.4 发送电子邮件并允许 unsecuredomain.com 代表它发送电子邮件并“软失败”其他域
- unsecuredomain.com 允许任何人代表它发送电子邮件。
问题:
任何人 unsecuredomain.com 或 thirddomain.com 都可以代表 example.com 发送电子邮件吗?
任何人都可以代表 thirddomain.com 发送电子邮件吗?
谢谢大家
我知道你在担心什么,但没关系:包含域的 all 政策 不要 在你自己的 SPF 中创建 back-door政策。
otherdomain.com 可以从其 A 记录指向的任何地方发送 example.com,也可以从 thirddomain.com 的字面 IP。thirddomain.com 只能从其文字 IP 发送 example.com。unsecuredomain.com 根本无法发送 example.com。- 任何其他来源都会从
example.com 的 ~all 默认机制中获得软故障。
已在 RFC7208 section 5.2 中阐明:
For example, evaluating a "-all" directive in the referenced
record does not terminate the overall processing and does not
necessarily result in an overall "fail".
和
With the "include" mechanism, an administratively external set of
hosts can be authorized, but determination of sender policy is still
a function of the original domain's SPF record (as determined by the
"all" mechanism in that record).
总之,只用了自己记录的all机制
查看具有 4 个域及其以下 SPF 记录的假设场景:
域:example.com SPF 记录:v=spf1 include:otherdomain.com ~all
域:otherdomain.com SPF 记录:v=spf1 a include:thirddomain.com ~all
域:thirddomain.com SPF 记录:v=spf1 ip4:1.2.3.4 include:unsecuredomain.com ~all
域:unsecuredomain.com SPF 记录:v=spf1 +all
- example.com 使用 otherdomain.com 代表它发送电子邮件并“软失败”任何其他域。
- otherdomain.com 使用自己的 IP 发送电子邮件,还允许 thirddomain.com 代表它发送电子邮件并“软失败”其他域。
- thirddomain.com 使用 IP 1.2.3.4 发送电子邮件并允许 unsecuredomain.com 代表它发送电子邮件并“软失败”其他域
- unsecuredomain.com 允许任何人代表它发送电子邮件。
问题: 任何人 unsecuredomain.com 或 thirddomain.com 都可以代表 example.com 发送电子邮件吗? 任何人都可以代表 thirddomain.com 发送电子邮件吗?
谢谢大家
我知道你在担心什么,但没关系:包含域的 all 政策 不要 在你自己的 SPF 中创建 back-door政策。
otherdomain.com可以从其A记录指向的任何地方发送example.com,也可以从thirddomain.com的字面 IP。thirddomain.com只能从其文字 IP 发送example.com。unsecuredomain.com根本无法发送example.com。- 任何其他来源都会从
example.com的~all默认机制中获得软故障。
已在 RFC7208 section 5.2 中阐明:
For example, evaluating a "-all" directive in the referenced record does not terminate the overall processing and does not necessarily result in an overall "fail".
和
With the "include" mechanism, an administratively external set of hosts can be authorized, but determination of sender policy is still a function of the original domain's SPF record (as determined by the "all" mechanism in that record).
总之,只用了自己记录的all机制