web-dev-qa-db-ja.com

共有メールサーバーを使用してSPFをバイパスできますか?

私が理解しているように、SPFは、所有しているドメインのTXT DNSレコードに許可されたSMTPサーバードメインをリストすることで機能します。

そのため、example.comを所有していて、smtpexample.comのサードパーティのSMTPサーバーがドメインの代わりにメールを送信できるようにするには、TXTフィールドのSPFレコードにsmtpexample.comを追加しますサーバーのDNSエントリの。

DNSは一般公開されているため、誰でも私のSPFエントリを見ることができ、私がsmtpexample.comを使用してメールを送信していると推測できます。

smtpexample.comが共有ホスティングプロバイダーである場合、それらのアカウントにサインアップして、[email protected]からのメールを送信することはできませんか?

電子メールは、example.comのSPFレコードにリストされているSMTPサーバーから送信されているため、正当と見なされますか?

3
Widor

SPFは、自分のサーバーを使用して、差出人アドレスを含む電子メールを送信することから保護するように設計されています。たとえば、スパマーは侵害されたPCまたはデバイスのボットネットを使用してターゲットSMTPサーバーに直接接続し、ブラックリストの送信サーバーを実装するのを非常に困難にする可能性があります。 SPFはホワイトリストであるため、受信者はこれが偽のメッセージであることを検出し、スパムとしてマークすることができます。

あなたが言うように、それはnotがあなたと同じサーバーを使用している他のユーザーから保護します。基本的に、SPFレコードでホワイトリストに登録するサーバーは、他のユーザーがあなたのIDを偽装できないように信頼できるサーバーである必要があります。たとえば、GMailの送信サーバーをホワイトリストに登録すると、アカウントにログインしているユーザーが作成したサーバーのみを経由してメッセージをルーティングするようにGoogleを信頼することになります。

理論的には、DKIMを使用してこのリスクなしで信頼できないサーバーを共有することができます-共有サーバー以外の場所に秘密キーの唯一のコピーを保持すると、だれもメールを偽装できなくなります。ただし、実際には、DKIM署名は通常、共有SMTPサーバーを実行しているのと同じサービスによって追加されます。たとえば、GMailを介して送信するメール用にDKIMを設定しても、Googleが信頼しないようにします。他のユーザーは同じキーでメールに署名します。

6
IMSoP