<div dir="ltr"><div dir="ltr"><div dir="ltr"><div>This week, Black team focused on Sender Policy Framework (SPF). SPF is a an email authentication method that is used to detect email spoofing which prevents phising and email spam. The authentication protocol allows the owner of a domain to specify which mail servers they use to send mail from that domain.</div><div><br></div><div>The exploit that attackers use lies in the usage of the two &quot;from&quot; addresses in email. The &quot;envelope from&quot; is the return address, which tells mail servers where to return or bounce the message back and this is usually hidden in the front-end. The &quot;head from&quot; is the from address that is seen in email clients. The problem is, both of these addresses can be spoofed relatively easily. This is where SPF comes in to prove authentication.</div><div><br></div><div>To mitigate this, companies publish SPF records in their DNS that list which IP addresses are authorized to send emails on behalf of their domains. Email providers will run an SPF check by looking at the DNS records of the domain name listed in the &quot;envelope from&quot;. If the IP address sending the email isn&#39;t listed in that SPF record, the message fails SPF authentication. This ensures the correctness of the protocol and proves authentication when it is implemented by the email provider.</div><div><br></div><div><a href="https://tools.ietf.org/html/rfc7208">https://tools.ietf.org/html/rfc7208</a></div><div><a href="https://blog.returnpath.com/how-to-explain-spf-in-plain-english/">https://blog.returnpath.com/how-to-explain-spf-in-plain-english/</a></div><div><a href="https://support.google.com/a/answer/33786?hl=en">https://support.google.com/a/answer/33786?hl=en</a><br></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><b>Robert Herley</b><div>Computer Science &#39;19 | Stevens Institute of Technology </div><div>(631) 896-7161 | <a href="http://www.robherley.xyz" target="_blank">www.robherley.xyz</a></div></div></div></div></div></div></div></div></div></div>