据我了解,SPF 通过在TXT您拥有的域的DNS 记录中列出允许的 SMTP 服务器域来工作。
因此,如果我拥有example.com并希望允许第 3 方 SMTP 服务器smtpexample.com代表我的域发送电子邮件,我smtpexample.com会在TXT我的服务器的 DNS 条目字段中添加SPF 记录。
因为 DNS 是公开可见的,所以任何人都可以看到我的 SPF 条目并推断出我smtpexample.com用于发送电子邮件。
如果smtpexample.com是共享托管服务提供商,我不能在他们那里注册一个帐户并发送声称来自的电子邮件admin@example.com吗?
那么这些电子邮件是否被认为是合法的,因为它们来自example.comSPF 记录中列出的 SMTP 服务器?
SPF 旨在防止有人使用他们自己的服务器发送带有您的发件人地址的电子邮件。例如,垃圾邮件发送者可能使用受感染 PC 或设备的僵尸网络直接连接到目标 SMTP 服务器,从而使发送服务器的黑名单很难实施;因为 SPF 是一个白名单,收件人可以检测到这是一封欺骗邮件并将其标记为垃圾邮件。
正如您所说,它不能防止其他用户使用与您相同的服务器。本质上,您在 SPF 记录中列入白名单的任何服务器都应该是您信任的服务器,不会允许其他用户欺骗您的身份。例如,如果您将 GMail 的外发服务器列入白名单,则表示您相信 Google 只会通过那些由登录您帐户的人创建的服务器来路由邮件。
从理论上讲,您可以使用 DKIM 共享不受信任的服务器而没有这种风险 - 如果您将私钥的唯一副本保存在共享服务器之外的某个地方,那么没有人能够欺骗您的邮件。然而,在实践中,DKIM 签名通常由运行共享 SMTP 服务器的同一服务添加 - 例如,您可以为通过 GMail 发送的邮件设置 DKIM,并且仍然相信 Google 不会让其他用户使用相同的密钥签署他们的邮件。
只是为了添加更多信息,请注意垃圾邮件发送者可以使用他的一个域“mylovelydomain.com”设置服务器并创建他的 SPF 记录,该记录指向 XYZW,并且您的 SPF 测试将通过,因为该消息来自 IP XYZW IP,带有域“mylovelydomain.com”。SPF 是第一层防御,如果您想正确设置,则需要结合其他技术,例如 DKIM、DMARC、Virtual Dmarc。