垃圾邮件“通过”我的域,但存在 SPF 记录

信息安全 欺骗 SPF
2021-08-18 19:12:17

我刚刚收到一封来自某个随机人名“通过”info@mydomain.com 的电子邮件,尽管 info@mydomain.com 只是 G Suite 中的一个通讯组。

我们从 Google 添加了最新的 SPF 记录,我不太确定其他人能够通过我的域发送电子邮件的内容或方式。

以下是来自消息源的一些参考资料,没有向我的域或收件人提供任何具体信息:

Date: Mon, 01 Apr 2019 23:41:44 -0500
Subject: Mass Shootings orchestrated to pass gun control for the Federal
 Reserve Shareholders planned U.S. Holocaust- How can your industry help?
From: 'Random Person' via Info <info@mydomain.com>
<snipped>
Message-ID: <186271992.14957742.1554180104822@mail.yahoo.com>
Thread-Topic: Mass Shootings orchestrated to pass gun control for the Federal
 Reserve Shareholders planned U.S. Holocaust- How can your industry help?
Thread-Index: AWY0NTc5UrmPA22gl2edULFwYvLC7TIwMTU5
References: <186271992.14957742.1554180104822.ref@mail.yahoo.com>
Mime-version: 1.0
Content-type: multipart/alternative;
    boundary="B_3637013229_1574776269"

我们所有的用户都启用了 2FA,尽管我认为这与这里无关。这显然是一个欺骗性的电子邮件,因为 info@mydomain.com 不是域内的注册帐户(刚刚验证过)。

任何想法这可能是如何发生的以及如何防止它?

此外,该邮件似乎不包含任何有价值的信息,只是它可能利用雅虎“代表”我的域发送电子邮件,我不太确定它是如何工作的。

4个回答

在您的 DNS 记录中包含 SPF 记录有助于收件人了解哪个电子邮件服务器对您的域来说是合法的。收件人查找有效服务器 IP 的发送域,然后决定如何处理电子邮件。

  1. 如果发送 IP 在列表中,则电子邮件可能正常。

  2. 如果发送 IP 不在列表中,则应该对其进行可疑处理。

此检查逻辑要求接收电子邮件服务器配置为检查 SPF 记录。如果您不检查 SPF 记录,则整个 SPF 检查过程并未完成。

如果您的电子邮件标头不包含 SPF 字段,则您的电子邮件服务器未设置为检查 SPF,它不会以这种方式保护您的公司。

您需要查看您的电子邮件服务文档以了解如何打开 SPF 检查。

仅拥有 SPF 记录并不意味着没有人能够将您的电子邮件地址用作欺骗性邮件的声称收件人。

首先,SPF 只关心 SMTP 信封,而不关心From邮件头中的字段。发送两者不同的邮件是没有问题的。您的问题中没有关于 SMTP 信封是什么的信息(通常显示为Return-Path邮件标头中的字段),但实际上在欺骗邮件时两者都不同是很常见的。要关心From你还需要设置 DMARC。

即使设置了 SPF 和 DMARC,邮件的收件人实际上也需要检查这一点。虽然许多检查 SPF 大多数不检查 DMARC。

有关更多信息,另请参阅如果已经为 DKIM 设置了 DMARC,为什么还要为 SPF 设置 DMARC?.

实际上,SPF 记录仅告诉使用您的域的合法邮件可能来自哪些服务器 - 我们在这里谈论的是信封信息 (SMTP/RFC2821),而不是邮件中的 From 行 (RFC2822)。

在您的邮件程序中,您通常只会看到邮件内容 (RFC2822),因此在“发件人”行中使用您的域的邮件实际上可能是使用不同的信封发件人发送的,您只有在查看时才能看到在标题中,像“X-Apparently-From”这样的行会显示用于传递邮件的发件人。

此外,如果您的 SPF 中指定的服务器之一遭到破坏,则使用您的域的邮件可以通过它非常合法地发送。

标题的第一行应始终是接收邮件的
Received: from sender.hostname (203.0.113.0) by your.hostname
每个MTA,包括您的 MTA,它应该在其前面添加此标题。

MTA收到的所有消息都至少有一个。没有的唯一方法是通过 SMTP 接收它。是否有人绕过 smtp 服务器直接将此邮件添加到您的本地邮箱/maildir 副本中?

其它你可能感兴趣的问题
上一篇如何防止病毒/恶意软件感染我的闪存驱动器? 下一篇Tor的缺点是什么?