J'utilise mailgun comme une sorte de bac à sable pour mon site personnel/portefeuille. J'ai tous les enregistrements obligatoires et facultatifs, y compris un enregistrement SPF permettant aux courriers électroniques mailgun.org Origin.
J'ai récemment reçu un email de ma propre adresse qui est clairement falsifié. Mais Gmail (je transfère tous les courriels vers mon compte) ne l'a pas compris comme spam. Je ne sais pas tout à fait ce que je fais, mais il semble que l'Origine soit mxa.mailgun.org.
Ma question est donc la suivante: l’utilisation de mailgun m’expose-t-elle à une usurpation de la part de spammeurs utilisant également mailgun?
Avoir des enregistrements SPF sur un domaine n'empêche pas la réception de spam, il aide simplement les serveurs à prendre des décisions. Il n'y a aucun moyen d'empêcher l'usurpation d'identité via des enregistrements DKIM, de clé de domaine ou SPF.
La raison pour laquelle vous avez reçu cet email est un nombre limité de possibilités, mais elle n'est pas limitée non plus:
Google, Hotmail, cPanel, Yahoo, Aol et tous les autres fournisseurs de messagerie utilisent l'anti-spam, mais ils sont configurés pour "apprendre" ce qu'est le spam et ce qu'il ne l'est pas. Par défaut, la plupart acceptent les courriels usurpés. En effet, les sites Web envoient souvent des courriels sans ces enregistrements de domaine. Cela ne devient un problème que lorsque:
Ainsi, même si vous l'avez reçu, s'ils essayaient le même matériel à une plus grande échelle, ils seraient rapidement marqués comme spam. Pour empêcher de tels courriers électroniques, marquez-les en tant que courrier indésirable dans le tableau de bord Gmail, ce qui indiquera à leurs serveurs de messagerie d'effectuer des vérifications supplémentaires pour les autres utilisateurs.
Il est également possible que vous ayez déjà reçu des e-mails de ce domaine. Par conséquent, Google effectue moins de contrôles. Spoof emailed est toujours apparu comme 'Envoyer par X pour le compte de Y' et il n'y a aucun moyen de l'empêcher à 100%, c'est un phishing et ce n'est pas à vous de vous en soucier.
Vous pouvez utiliser DMARC pour empêcher les emails spoofés de votre domaine.
Avoir une politique stricte empêchera l'usurpation d'e-mails provenant de votre adresse à la plupart des principaux fournisseurs de messagerie, y compris Gmail (les fournisseurs de messagerie peuvent en théorie choisir d'ignorer l'enregistrement DMARC, mais pratiquement tout le monde l'honore). DMARC n'est pas quelque chose qui est configuré dans l'interface de Mailgun, c'est un enregistrement DNS que vous ajoutez à votre domaine.
Voici un exemple d'enregistrement DMARC simple (enregistrement DNS TXT) qui appliquera strictement vos enregistrements SPF et DKIM. Assurez-vous absolument que vos enregistrements SPF et DKIM autorisent les courriers électroniques de tous les serveurs de messagerie que vous utilisez. Sinon, cette stratégie indiquera aux fournisseurs de messagerie destinataires de rejeter en silence les courriers électroniques légitimes de votre adresse:
v=DMARC1;p=reject;pct=100
Il existe également des moyens de tester votre enregistrement DMARC en production avant qu'il ne soit totalement opérationnel et qu'il commence à bloquer les emails, mais cela dépasse le cadre de cette réponse. Voir ici pour plus de détails:
https://www.sonicwall.com/en-us/support/knowledge-base/170504796167071