查看具有4个域及其以下SPF记录的假设场景:
域名:example.comSPF记录:v=spf1包括:otherdomain.com~所有
域名:otherdomain.comSPF记录:v=spf1 a包括:thirddomain.com~所有
域名:thirdomain.comSPF记录:v=spf1 ip4:1.2.3.4包括:unscuredomain.com~all
域名:unscuredomain.comSPF记录:v=spf1+所有
- example.com使用otherdomain.com代表其发送电子邮件;软故障";任何其他域
- otherdomain.com使用他们自己的IP发送电子邮件,还允许thirddomain.com代表其发送电子邮件;软故障";其他领域
- thirddomain.com使用IP 1.2.3.4发送电子邮件,并允许unscuredomain.com代表其发送电子邮件;软故障";其他域
- unscuredomain.com允许任何人代表其发送电子邮件
问题:任何人,unscuredomain.com或thirddomain.com可以代表example.com发送电子邮件吗?有人可以代表thirddomain.com发送电子邮件吗?
谢谢大家
我知道你在担心什么,但没关系:包含域的all策略不会为你自己的SPF策略创建后门。
otherdomain.com可以从其A记录指向的任何位置发送example.com,也可以从thirddomain.com的文字IP发送thirddomain.com只能从其文字IP发送example.comunsecuredomain.com根本无法发送example.com- 任何其他源都将从
example.com的~all默认机制中获得软故障
RFC7208第5.2节:对此进行了澄清
例如,评估-所有";引用中的指令记录不会终止整个处理,也不会必然导致整体的";失败";。
和
使用";包括";机制,一套行政外部的主机可以被授权,但发件人策略的确定仍然是原始域的SPF记录的函数(由"所有";该记录中的机制(。
简而言之,只使用自己记录的all机制。