DKIM y SPF se mencionan como mitigaciones poderosas para abusar de su dominio para phishing . Pero cuando envío un correo como este:
Return-Path: <[email protected]>
From: Citibank security team <[email protected]>
Reply-To: Noreply <[email protected]>
Subject: Unauthorized attempt on your account
-
Con sobre de
<[email protected]> -
Con una firma DKIM válida para
mydomain.example.com - Enviado desde un host que está autorizado para enviar de acuerdo con la política de SPF para
mydomain.example.com
Tengo entendido que el correo se mostrará como si realmente hubiera sido enviado desde Citibank. Los registros del servidor de correo pueden mostrar algo sobre una firma DKIM no alineada, y un informe DMARC puede ser enviado a Citibank eventualmente, pero no impide en absoluto que se entregue un correo electrónico fraudulento.
¿Por qué la especificación verifica la dirección De: tan libremente, si bien ese es el único identificador que un usuario vería directamente en su cliente de correo?