Это нормально что почту регистратора можно подменить?

Question

[Izzy Max]

Изучаю я такой PHPMail и понимаю что отправителя можно подменить. Создал примитивную форму на своем серваке в инете, ввожу мыло Дональда Трампа с доменом его сайта и ОП! приходит письмо на мой gmail и нет никакого предупреждения о том что это стилер или что-то вроде этого. Я когда еще настраивал на своем сервере почту помню предупреждения относительно этих вещей, про DKIM, SPF и что-то вроде этих терминологий. Ввожу разные почты, и подумал ввести две почты своих локальных регистраторов домена. И на моё удивление способ также проходит. Означает ли это что у гугл слабая защита и он не видит подмены или вся проблема в настройках регистратора и нормально ли это вообще вот так оставить? Соц инженеров и других темных ребят никто не отменял

Answer 1

[Saboteur]

Похоже, что вы только что открыли для себя принципы работы SMTP.
Дело не в том, у кого какая защита, а в том, что SMTP - древний протокол, который как и изначальный HTTP не предусматривал особой защиты сам по себе.

Каждый почтовый сервер сам решает, как он сражается против спама и подлога. Гугл видимо не особо парится.

Comments

[Руслан Федосеев]

парится парится... вы на заголовки посмотрите писем )

Answer 2

[Владимир Дубровин]

Для защиты адреса отправителя от подделок используется протокол DMARC. То, возможно ли подделать адрес отправителя, зависит от того, установил ли владелец домена DMARC-политику для своего домена и какая это политика. Если политика reject - письма без авторизации приниматься не будут, quarantine - будут попадать в спам.