有意思。我记得折腾域名邮箱的时候看到过,可以出现发件人伪造,但是证书对不上,开一个 dlim ? dmarc ?还是 spf ?反正是身份验证的,加密就好了。我托管在微软上,域名解析交给 Cloudflare ,往谷歌邮箱一发,都是 Pass ,不容易被判定成垃圾邮件,应该不会被伪造了。
@Marionic0723 @caomu @milukun 可以看一下这篇 paper:《 A Large-scale and Longitudinal Measurement Study of DKIM Deployment 》 这个是比较高级的 DKIM 伪造,之前 qq 邮箱甚至连最基本的都识别不了,还一直没修,不知道现在修了没
@Marionic0723 配了 DMARC 才会校验 From 和发送方域名一致性。 应该是伪装 hotmail.com 服务器的身份发了这封邮件,看了一下 hotmail.com 的 SPF 是策略 ~all ,qq.com 的 DMARC 是 quarantine ,所以放到垃圾箱是没问题的。
