今天邮箱收到一封自己域名发过来的邮件,但是询问当事人说并没有发送相关邮件,于是去百度了下,看是否可以伪造发件人,于是找到一个网站 http://tool.chacuo.net/mailanonymous,这个网站可以用任意的邮箱地址发邮件,于是我测试了一封发给我的QQ邮箱,果然收到了,但是在垃圾邮箱,我又发送另外一封邮件到微软邮箱,但是显示发送失败
我去百度了下,因为SMTP协议不需要身份认证,所以可以伪造,但是如果域名加了SPF记录,接收邮件方会根据你的SPF记录来判断发送过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正常的邮件,否则则认为是一封伪造的邮件。现在大部份反垃圾邮件系统都支持SPF验证,当然也有些辣鸡邮箱不支持,或者域名本身没有设置SPF记录,所以就可以伪造邮件。小伙伴们以后要擦亮眼睛,不要被钓鱼邮箱迷惑了。
