Recentemente stavo leggendo la sintassi del record Sender Policy Framework (SPF) su OpenSPF.com.
Sender Policy Framework (SPF) is a simple email-validation system designed to detect email spoofing by providing a mechanism to allow receiving mail exchangers to check that incoming mail from a domain comes from a host authorized by that domain's administrators. - Wikipedia
Ho notato che la sintassi SPF ci consente di utilizzare il "meccanismo di esistenza". Di seguito è riportato un esempio:
In the following example, the client IP is 1.2.3.4 and the current-domain is example.com.
v=spf1 exists:example.com -all
.If example.com does not resolve, the result is fail. If it does resolve, this mechanism results in a match. - OpenSPF.com
Se sono corretto, solo example.com
è autorizzato a inviare email, tutti gli altri mittenti sono contrassegnati come SPAM a causa del flag% fail% co_de. Supponiamo di aver usato il precedente record SPF sul dominio -all
.
Quindi, example.org
consente a example.org
di inviare email in nome di example.com
.
Ora supponiamo il dominio example.org
scade ed è gratuito per la registrazione di nuovo e il record SPF sopra il example.com
soggiorni invariati (leggi: indica example.com). In questo caso il record SPF di example.org
avrà esito negativo su tutte le email poiché l'unico dominio consentito non esiste più.
Ora se un utente malintenzionato registra il dominio example.org
disponibile. Quindi è in grado di inviare SPAM in nome di example.org, mentre il record SPF non gli impedirà di farlo?
In altre parole, se esiste l'uso dell'SPF, il meccanismo deve essere contrassegnato come un rischio potenziale? Oppure, l'utilizzo del meccanismo "esiste" di SPF introduce un rischio per la sicurezza?
Lo stesso vale per example.com
, include:
, ptr:
e a:
quando si punti a un dominio non registrati.