> On 11.10.2024 at 08:11 Scott Q. via mailop <mailop@mailop.org> wrote: > > Hi John, > > if you don't mind me asking, when you say: > > > which makes it easy for any of their customers to SPF spoof any other > > customer. > > you mean the header or the envelope from ? Afaik, the envelope from is > (should be!) tied to the authenticated user
In theory yes. But then there are bugs, there are things like SMTP smuggling. And even if these wouldn‘t exist: Most emails are not authenticated but arrive via anonymous SMTP. That‘s why I like to say that any SPF record which contains „include:_spf.google.com“, „include:spf.protection.outlook.com“ or similar entries from SaaS services with shared IP addresses without ? qualifiers is a security issue. — BR Oliver ________________________________ dmTECH GmbH Am dm-Platz 1, 76227 Karlsruhe * Postfach 10 02 34, 76232 Karlsruhe Telefon 0721 5592-2500 Telefax 0721 5592-2777 dmt...@dm.de<mailto:dmt...@dm.de> * www.dmTECH.de<http://www.dmtech.de> GmbH: Sitz Karlsruhe, Registergericht Mannheim, HRB 104927 Geschäftsführer: Christoph Werner, Martin Dallmeier, Roman Melcher ________________________________ Datenschutzrechtliche Informationen Wenn Sie mit uns in Kontakt treten, beispielsweise wenn Sie an unser ServiceCenter Fragen haben, bei uns einkaufen oder unser dialogicum in Karlsruhe besuchen, mit uns in einer geschäftlichen Verbindung stehen oder sich bei uns bewerben, verarbeiten wir personenbezogene Daten. Informationen unter anderem zu den konkreten Datenverarbeitungen, Löschfristen, Ihren Rechten sowie die Kontaktdaten unserer Datenschutzbeauftragten finden Sie hier<https://www.dm.de/datenschutzerklaerung-kommunikation-mit-externen-493832>. _______________________________________________ mailop mailing list mailop@mailop.org https://list.mailop.org/listinfo/mailop
