GSuiteにSPFを使用すると、ドメインがGMailから悪用される可能性がありますか?
両方 GMailとGSuiteのSPFに関するGoogleの推奨事項は
v=spf1 include:_spf.google.com ~all
私の懸念は、これがGoogleとGMailの両方で同じであるということです。私が間違っていない場合、これは、GSuiteサーバーから個人ドメインとして送信でき、スパムとしてマークされないことを意味します。ただし、これはこれも許可します GMailアカウントを持っている人なら誰でも、自分のドメインから送信されたかのように、GoogleのSMTPサーバー(SPFレコードに含まれる)経由で送信する限り、メールを作成できます。 SPFの違反にはなりません。
これはGSuiteを使用している人々にとって明白なセキュリティホールではありませんか、それとも何かが足りないのでしょうか。
ありがとう!
SPFレコード自体は、Gmail/Gsuiteサーバーから送信されたすべてのメールに問題がないことを意味します。
ただし、Gmail/Gsuiteサービスでは、事前の所有権の確認なしに、ユーザーが任意に選択したアドレスから使用することはできないと確信しています。
つまり、事後にそのような悪用を目に見えるようにするのはSPFポリシー違反ではありませんが、そもそもこの無関係なユーザーにそのようなメッセージを中継する要求を拒否するGmail/Gsuiteメールサーバーです。