SPF 硬失败仍在进入邮箱

Question

我们在欺骗方面遇到了一些问题，所以我们必须在 DNS 上添加所有安全检查，其中之一是 SPF 记录，首先我们将其添加为 softFail

“~all”和电子邮件进入垃圾邮件文件夹，很好，在电子邮件 header 上您可以看到 SPF 未通过，它被归类为软失败。

收到-SPF:软失败

我们使用“-all”将其更改为 Hard Fail

我不确定我是否只是弄错了，但这应该让它拒绝电子邮件吧？所以用户甚至不应该把它弄对吗？我们仍然得到它，但现在它说

Received-SPF:失败(google.com:info@xxxxx.xxx 的域未将 xx.xx.xxx.xxx 指定为允许的发件人)client-ip=xx.xx.xxx .xxx；身份验证结果:mx.google.com； spf=hardfail(google.com:info@xxxx.xxx 的域未将 xx.xx.xxx.zzz 指定为允许的发件人)

意思是这是一个硬失败，但我仍然得到它，对吗？不应该完全拒绝吗？

Answer 1

SPF 告诉接收方 MTA 检查失败。但是，下一步要做什么取决于接收 MTA。很可能，在这种情况下，接收 MTA 未配置为拒绝 SPF 检查硬失败的电子邮件。我见过几个邮件系统被故意配置为将软和硬 SPF 失败都视为警告，并标记它们并将它们投递到垃圾邮件文件夹。

如果您也有 DMARC，则可以将其配置为推荐一种行为，但如果它采取行动，则同样取决于接收 MTA。