L'SPF può essere bypassato usando un server email condiviso?

SPF è progettato per proteggere contro qualcuno che usa il proprio server per inviare e-mail con il proprio indirizzo. Ad esempio, gli spammer potrebbero utilizzare una botnet di PC o dispositivi compromessi per connettersi direttamente al server SMTP di destinazione, rendendo molto difficile l'implementazione di una lista nera dei server di invio; poiché SPF è una lista bianca , il destinatario può rilevare che si tratta di un messaggio falsificato e contrassegnarlo come spam.

Come dici tu, protegge non contro altri utenti che utilizzano lo stesso server come te. In sostanza, qualsiasi server che autorizzi nella registrazione SPF dovrebbe essere uno di cui ti fidi di non consentire agli altri utenti di falsificare la tua identità. Ad esempio, se autorizzi i server in uscita di GMail, ritieni che Google instradi solo i messaggi attraverso quei server creati da qualcuno che ha effettuato l'accesso al tuo account.

In teoria, è possibile utilizzare DKIM per condividere un server non attendibile senza questo rischio: se si mantiene l'unica copia della chiave privata in un posto diverso dal server condiviso, nessuno sarà in grado di falsificare la posta. In pratica, tuttavia, le firme DKIM vengono comunemente aggiunte dallo stesso servizio su cui è in esecuzione il server SMTP condiviso, quindi, ad esempio, potresti configurare DKIM per la posta che stai inviando tramite GMail e continuerai a credere che Google non lo lascerà altri utenti firmano la loro posta con la stessa chiave.

Solo per aggiungere ulteriori informazioni tieni presente che uno spammer può configurare un server con il suo dominio "mylovelydomain.com" e creare il suo record SPF, che punta a XYZW e che i tuoi test SPF passeranno perché il messaggio proviene dall'IP XYZW IP con il dominio "mylovelydomain.com". SPF è un primo livello di difesa, è necessario combinare altre tecniche come DKIM, DMARC, Virtual Dmarc se si desidera configurare correttamente.