我想到,如果SPF记录不是递归的,那么域名可能容易受到来自子域的电子邮件欺骗的攻击。我的研究显示this:
恶魔问题:子域名怎么样?
如果我从pielovers.demon.co.uk收到邮件,并且没有SPF数据 pielovers,我应该回到一个级别并测试SPF for demon.co.uk吗? 不。恶魔的每个子域都是不同的客户和每个客户 可能有自己的政策。对恶魔的政策没有任何意义 默认申请所有客户;如果恶魔想要这样做, 它可以为每个子域设置SPF记录。
因此,对SPF发布商的建议如下:您应该添加SPF记录 对于具有A或MX记录的每个子域或主机名。
具有通配符A或MX记录的网站也应具有通配符SPF 记录形式:* IN TXT" v = spf1 -all"
(感谢Stuart Cheshire。)
(强调我的)
Q1:如果子域名没有A / MX记录,为什么不需要添加SPF记录?
例如,我调查了support.google.com:
google.com. 3599 IN TXT "v=spf1 include:_spf.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all"
support.google.com. 21599 IN CNAME www3.l.google.com.
www3.l.google.com. IN TXT
所以...,support.google.com没有SPF记录。
Q2:Wy不会谷歌(和许多其他网站)遵循这个建议吗?
Q3(奖金):如果这是一个问题,而且我不仅仅是愚蠢的,为什么没有更多记录?
我能找到的唯一相关SE问题是this,但它并不比上面的openspf.org常见问题解答多得多。
答案 0 :(得分:6)
这在2015年实际上并不是非常相关的建议,因为自该帖子发布以来电子邮件领域已经发生了重大变化。
实际上,SPF是一种身份验证协议,而不是一种策略实施机制。我的意思是,特定消息可以根据EHLO名称或返回路径域传递,失败或不检查SPF。但是接收器应如何处理任何SPF结果取决于接收器。
电子邮件策略实施机制是DMARC,它指定接收方应如何处理未通过SPF或DKIM身份验证的消息。应该完全拒绝吗?隔离(通常意味着针对垃圾邮件文件夹)?或者被视为正常'?
与SPF不同,DMARC确实具有子域继承。因此,如果未在子域上定义明确的DMARC策略,则使用在组织域上定义的策略。因此,在您提及的具体案例中,该政策将从_dmarc.google.com中读取。这是:
v=DMARC1; p=quarantine; rua=mailto:mailauth-reports@google.com
即使没有在support.google.com
support.google.com上发送的假设电子邮件也会被视为垃圾邮件
因此,如果您想确保针对您管理的域进行子域欺骗,请添加DMARC政策。