SPF解析不当

• 语法错误将导致SPF记录完全失效，https://www.kitterman.com/spf/validate.html 网站输入域名和SPF记录，可以检查SPF记录是否正确（SPF记录本质上是一个DNS记录，所以并不是修改之后立即生效的，通常需要几个小时的时间）
• 允许IP段过大，只要攻击者拿下一台网段内的机器即可绕过
• ~all 软拒绝，会接受来信，但可能被标记为垃圾邮件（outlook 邮箱可以接收邮件，qq 邮箱不接收，163 邮箱标记为垃圾邮件）SPF记录设置硬拒绝，就会有大量的邮件被丢弃或者隔离，影响办公效率，为了减少业务影响，有些管理员采用软拒绝的策略，但也会在一定程度上造成安全风险

SPF配置不当

• 域名增加了SPF记录，但是邮件服务器不支持SPF检查或邮件网关未开启SPF检测，无法验证邮件来源。这种情况下，我们声明了自己是谁，但却无法验证对方是谁，SPF检测无效，可伪造任意用户发送到你的域名邮箱里
• SPF解析在公网DNS，邮件服务器配置内部DNS，内部DNS无法进行SPF解析，从而导致绕过，可从公网伪造任意用户发送邮件
• 攻击者在公司内网，内网SMTP服务器开启匿名邮件发送或者在信任服务器IP段，就可以使用任意用户发送邮件

高权限用户绕过

• Exchange 邮箱系统，拥有 Domain admin 权限的域用户，可以通过 outlook 直接指定发件人，伪造任意发件人发送邮件并且邮件头不会显示真实IP，但是这条没有什么实际意义，已经拥有 Domain admin 权限就没必要进行邮件伪造了

邮件客户端内容解析差异

From 字段特殊字符填充绕过

SPF（Sender Policy Framework）是一种DNS记录类型，它允许您指定哪些IP地址可以发送电子邮件以及哪些域名或IP地址可以被认为是该邮件的发件人。但是，SPF并不能完全防止伪造的电子邮件，因为存在多个其他的因素会影响电子邮件的信誉和可靠性。

以下是可能导致已添加SPF记录仍然无法完全防止伪造的原因：

1. SPF不适用于未使用SPF检查的收件人

虽然越来越多的电子邮件服务提供商开始使用SPF来验证发件人身份，但并非所有的电子邮件服务提供商都支持SPF检查。如果收件人服务提供商没有对SPF进行验证，则即使您设置了SPF记录，攻击者仍然有可能从其IP地址发送伪装邮件。

1. 发件人的域名可能被黑客攻击

攻击者可能会使用某些技术手段，例如钓鱼、恶意软件等方式来获取您的发件人账户信息，并以您的名义发送伪造的电子邮件。在这种情况下，即使您拥有正确的SPF记录，攻击者也可以绕过您的SPF记录，发送伪造的电子邮件。

1. 采取其他安全措施

除了SPF之外，还有其他的安全措施可以使您的电子邮件更加安全可靠。例如，使用DKIM和DMARC来验证您发送的电子邮件，并启用反垃圾邮件策略以拦截伪造的电子邮件。

总之，虽然SPF是一种很好的防止电子邮件伪造的方法，但它并不能完全解决所有的问题。要确保您的电子邮件真实可靠，您需要采取多种安全措施来防范可能的攻击和欺诈。

看看gpt的回答：

添加SPF记录可以防止域名伪造的攻击，但并不能完全避免。除了SPF记录外，还可以采取以下措施：

1. DKIM签名：使用DKIM（DomainKeys Identified Mail）为邮件添加数字签名，验证邮件来源的真实性。

2. DMARC验证：使用DMARC（Domain-based Message Authentication, Reporting & Conformance）验证邮件的来源是否合法，同时指定如何处理未通过验证的邮件。

3. 双因素认证：启用双因素认证，增加用户账户的安全性，防止被攻击者盗取身份。

4. 增加邮件过滤规则：在邮件服务器上增加过滤规则，对可疑邮件进行拦截，减少用户接收到垃圾邮件的风险。

综合使用以上措施可以提高邮件系统的安全性，防止邮件伪造攻击。

SPF解析不当

• 语法错误将导致SPF记录完全失效，https://www.kitterman.com/spf/validate.html 网站输入域名和SPF记录，可以检查SPF记录是否正确（SPF记录本质上是一个DNS记录，所以并不是修改之后立即生效的，通常需要几个小时的时间）
• 允许IP段过大，只要攻击者拿下一台网段内的机器即可绕过
• ~all 软拒绝，会接受来信，但可能被标记为垃圾邮件（outlook 邮箱可以接收邮件，qq 邮箱不接收，163 邮箱标记为垃圾邮件）SPF记录设置硬拒绝，就会有大量的邮件被丢弃或者隔离，影响办公效率，为了减少业务影响，有些管理员采用软拒绝的策略，但也会在一定程度上造成安全风险

SPF配置不当

• 域名增加了SPF记录，但是邮件服务器不支持SPF检查或邮件网关未开启SPF检测，无法验证邮件来源。这种情况下，我们声明了自己是谁，但却无法验证对方是谁，SPF检测无效，可伪造任意用户发送到你的域名邮箱里
• SPF解析在公网DNS，邮件服务器配置内部DNS，内部DNS无法进行SPF解析，从而导致绕过，可从公网伪造任意用户发送邮件
• 攻击者在公司内网，内网SMTP服务器开启匿名邮件发送或者在信任服务器IP段，就可以使用任意用户发送邮件

高权限用户绕过

• Exchange 邮箱系统，拥有 Domain admin 权限的域用户，可以通过 outlook 直接指定发件人，伪造任意发件人发送邮件并且邮件头不会显示真实IP，但是这条没有什么实际意义，已经拥有 Domain admin 权限就没必要进行邮件伪造了

前排师傅们说的都非常好，也十分的优秀，结合自己曾经遇到的换个角度。

确定是邮件伪造嘛？

有没有一种可能是攻击者直接调用了你的邮件服务器。有些邮件服务器SMTP的账号密码的校验是默认不开启的，这时候攻击者只需要有邮件名就可以直接替你发起攻击，进而实现了“伪造”。

解决方案

1. 检查 smtp 服务是否开启账号密码校验
2. 修改密码，避免用户名密码泄露导致的“伪造”
3. 如果邮件服务器是在内网：在外网环境下，只能收不能发，可以通过限制IP来源方式避免一部分攻击
4. 参考以上师傅们的意见