Suy nghĩ xảy ra với tôi rằng nếu bản ghi SPF không đệ quy, tên miền có thể dễ bị xâm phạm email từ tên miền phụ. Nghiên cứu của tôi tiết lộ this:Các trang web không có ký tự đại diện SPF có dễ bị tấn công bởi các cuộc tấn công giả mạo tên miền phụ không?
Câu hỏi ma: Điều gì về tên miền phụ?
Nếu tôi nhận được thư từ pielovers.demon.co.uk và không có dữ liệu SPF cho pielovers, tôi có nên quay lại một cấp và kiểm tra SPF cho demon.co.uk không? Không. Mỗi tên miền phụ tại Demon là một khách hàng khác nhau và mỗi khách hàng có thể có chính sách riêng của họ. Nó sẽ không có ý nghĩa cho chính sách của Demon để áp dụng cho tất cả các khách hàng của mình theo mặc định; nếu Demon muốn làm điều đó, nó có thể thiết lập bản ghi SPF cho mỗi tên miền phụ.
Vì vậy, lời khuyên dành cho nhà xuất bản SPF là: bạn nên thêm bản ghi SPF cho mỗi tên miền phụ hoặc tên máy chủ có bản ghi A hoặc MX.
Sites với ký tự đại diện A hoặc bản ghi MX cũng cần phải có một kỷ lục wildcard SPF , có dạng: * TRÊN TXT "v = spf1 -all"
(Nhờ Stuart Cheshire.)
(tôi nhấn mạnh)
Q1: Tại sao bạn không cần phải thêm một bản ghi SPF nếu tên miền phụ không có một A record/MX?
Như một ví dụ, tôi điều tra support.google.com
:
google.com. 3599 IN TXT "v=spf1 include:_spf.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all"
support.google.com. 21599 IN CNAME www3.l.google.com.
www3.l.google.com. IN TXT
Vì vậy, ..., không có bản ghi SPF cho support.google.com
.
Q2: Wy không Google (và nhiều trang web khác) làm theo lời khuyên này?
Q3 (tiền thưởng): Nếu đây là vấn đề và tôi không chỉ ngu ngốc, tại sao tài liệu này không được ghi thêm?
Câu hỏi SE có liên quan duy nhất tôi có thể tìm thấy là this, nhưng không nói nhiều hơn câu hỏi thường gặp ở trên openspf.org
ở trên.
Vì vậy ... để tóm tắt, về mặt kỹ thuật có, SPF không đệ quy, nhưng trong thực tế, bạn nên có DMARC không? Cảm ơn vì điều đó. –