He configurado un registro SPF para mi dominio, pero aún puedo falsificar direcciones de correo electrónico para mi dominio utilizando servicios de correo electrónico falsos como este: http://deadfake.com/Send.aspx
El correo electrónico llega a mi bandeja de entrada de Gmail muy bien.
El correo electrónico tiene errores SPF en el encabezado como este: spf=fail (google.com: domain of [email protected] does not designate 23.249.225.236 as permitted sender)pero aún así se recibió bien, lo que significa que cualquiera puede falsificar mi dirección de correo electrónico ...
Mi registro SPF es: v=spf1 mx a ptr include:_spf.google.com -all
ACTUALIZACIÓN En caso de que alguien esté interesado, he publicado una política DMARC junto con mi registro SPF y ahora Gmail marca los mensajes falsos correctamente (imagen)
~allno se evalúe-all. Es probable que sólo necesita uno deMX,A, yPTR.includeregistro an se ignoren al evaluar el resultado final; o como lo expresaron, " evaluar una directiva '-todos' 'en el registro referenciado no finaliza el procesamiento general ".includeno era un gran nombre para la política, porque todos los que tenían experiencia en programación inmediatamente hicieron una serie de suposiciones sobre cómo funcionaría, ¡algunas de las cuales no eran correctas!Respuestas:
El hecho de que anuncie un registro SPF de ninguna manera obliga a nadie más a honrarlo. Depende de los administradores de cualquier servidor de correo determinado qué correo electrónico eligen aceptar. Creo que son tontos si no verifican los registros SPF y los rechazan en consecuencia, pero depende de ellos . Conozco a algunas personas como DMARC, pero creo que es una idea horrible, y no voy a volver a configurar mi servidor de correo electrónico para aceptar / rechazar basado en DMARC; sin duda algunas personas sienten lo mismo por SPF.
Lo que creo que SPF hace es permitirle rechazar cualquier otra responsabilidad por el correo electrónico que afirmaba ser de su dominio, pero que no lo era. Cualquier administrador de correo que venga a usted quejándose de que su dominio les está enviando correo no deseado cuando no se hayan molestado en verificar el registro SPF que anuncia que les habría dicho que el correo electrónico debería ser rechazado puede ser enviado con una pulga en el oído.
fuente
SPF no puede evitar esto. Solo da una indicación a otros servidores de que el correo es falso, pero la mayoría usa esto solo como uno de varios factores para decidir si el correo debe ser bloqueado.
fuente
Si, eso es normal. Cualquiera puede suplantar cualquier dirección de correo electrónico, pero SPF (Marco de políticas del remitente) brinda a los proveedores y clientes de servicios de correo electrónico la capacidad de identificar y marcar mejor como correo no deseado o eventualmente enviar mensajes por completo si eso es parte de su proceso.
fuente