根据我目前的理解,SPF 只关心验证发送电子邮件服务器 IP 是否列在“信封来自”(Return-Path/MAIL FROM)域的 SPF 记录中。由于欺骗通常是在向接收者显示的“发件人”地址上完成的,因此“信封发件人”地址将来自恶意行为者的域,并且 SPF 记录的 DNS 查找将包括用于发送邮件的服务器的 IP 地址。发送欺骗性电子邮件,SPF 将通过。我错了吗?如果没有,SPF 本身有什么意义?为什么恶意行为者甚至想要欺骗“信封”?为什么 SPF 不设计为使用“发件人”地址?
事实上,SPF 不会验证邮件中的发件人地址,这是 SPF 的设计限制,它仅在 SMTP 级别运行,并且与邮件内容无关。不过,这不是问题,因为我们有 DMARC,它可以验证 DKIM 和 SPF 结果以及邮件中的发件人地址。