Ich versuche herauszufinden, warum gefälschte E-Mails an große E-Mail-Anbieter (gmail.com, Outlook.com) gesendet werden, obwohl E-Mails mit einem SPF gekennzeichnet sind hardfail. Die E-Mail wird auch an Microsoft Exchange gesendet, das einen PermErrorfür denselben SPF-Datensatz ausgibt.
Ich sende eine E-Mail mit der Domain SOME_DOMAIN.com, die einen fehlerhaften SPF-Datensatz definiert. Die E-Mail wird von meiner eigenen IP-Adresse übertragen, die im SPF-Datensatz von SOME_DOMAIN.com nicht explizit aufgeführt ist. Der SPF-Datensatz für SOME_DOMAIN.com hat die folgenden drei Eigenschaften: Die ersten beiden sind eine Verletzung des SPF-RFC-4408:
- Erfordert aufgrund von mehr als 10 DNS-Abfragen, um den gesamten SPF-Eintrag aufzulösen
include:. - Syntaxfehler in einem der SPF-Datensätze, Python-SPF löst einen Analysefehler aus.
- Der SPF-Datensatz enthält sowohl die Regeln
~allals-allauch beide, dass der Satz aller Adressen solltesoftfailundhardfail
E-Mails, die an eine address.com-Adresse gesendet werden, die sich als admin@SOME_DOMAIN.com ausgibt, enthalten den folgenden Fehler im SMTP-Header der zugestellten E-Mail. Diese E-Mail wurde normalerweise an den Posteingang des Benutzers gesendet :
Received-SPF: PermError (: domain of SOME_DOMAIN.com used an invalid SPF mechanism)
Google Mail sendet die E-Mail auch an den Posteingang des Benutzers, gibt jedoch einen anderen SPF-Fehler aus:
spf=hardfail (google.com: domain of admin@SOME_DOMAIN.COM does not designate x.x.x.x as permitted sender) smtp.mail=admin@SOME_DOMAIN.COM
Also, was ist hier los? Warum wird E-Mail trotz SPF zugestellt hardfail? Bedeutet ein defekter SPF-Datensatz, dass andere SMTP-Server den SPF vollständig ignorieren? Oder fehlt mir hier etwas ...
SPF-Fehlerbedingungen geben nichts über die gewünschte Richtlinie an. Als solche geben sie keine Anleitung, ob die Nachricht angenommen werden soll oder nicht. Es ist möglich, dass die beabsichtigte Politik ist
+all. In diesem Fall ist es normal, E-Mails anzunehmen. Es scheint, dass Google nachsichtig ist, wenn diese Domains den Standard nicht einhalten.Selbst die Ablehnung von SPF-Richtlinien (
-all) ist bei der Überprüfung von Absenderadressen unzuverlässig. Es gibt eine Reihe von Fällen, in denen die Ablehnung solcher E-Mails unangemessen wäre, darunter:Ich verwende einen ziemlich kleinen Server, auf dem ich Hard-Failes verschieben kann. Dies ermöglicht es mir, legitime Fehler auf die weiße Liste zu setzen. Wenn der Absender feststellt, dass die E-Mail nicht zugestellt wird, kann er seine Konfiguration korrigieren. In einigen Fällen werde ich versuchen, die relevanten zu kontaktieren
postmaster, aber viele Domains haben keinepostmasterAdresse.Benutzer, die eine strengere Richtlinie durchsetzen möchten, können DMARC verwenden, das noch kein Standard ist. E-Mails werden wahrscheinlich immer noch zugestellt, können jedoch gemäß dieser Richtlinie unter Quarantäne gestellt oder abgelehnt werden. E-Mails, bei denen die Richtlinie fehlschlägt, werden möglicherweise an den Spam-Ordner und nicht an den normalen Posteingang gesendet.
SPF Hard Failes scheinen zuverlässig zu sein, um die Identität des sendenden Servers zu überprüfen. Ich habe vor einiger Zeit einige Nachforschungen angestellt und festgestellt, dass selbst weiche Fehler beim HELO-Namen ein vernünftiger Grund sind, eingehende Nachrichten zu versagen oder zu verschieben.
Viele Mailserver haben keinen SPF-Eintrag. Wenn der Mailserver keinen SPF-Eintrag hat, überprüfe ich anhand der übergeordneten Domäne einen SPF-Eintrag. Dies ist nicht Standard, aber effektiv. Ich empfehle E-Mail-Administratoren, sicherzustellen, dass ein SPF-Eintrag für die Server-IP vorhanden ist, wie im PTR-Eintrag aufgeführt. Ihr Server sollte sich auch anhand des Namens identifizieren, der von seinem PTR-Datensatz zurückgegeben wird. Stellen Sie sicher, dass Sie einen entsprechenden A-Eintrag für die umgekehrte DNS-Überprüfung haben.
quelle