前言

晚上看文章的时候看到了hackerone提交的bug列表，其中一个很有意思，有一个赏金猎人向hackerone提交了一个类型为不符合安全设计规范的bug，原因是hackerone.com域名没有SPF记录

在时间线中可以看到猎人和官方的对话，从中学到了一些知识

SPF记录和TXT记录

参考RFC 4408的3.1.1节

该RFC定义了一个新的SPF资源记录，这个记录和TXT记录的格式是完全一样的，两者均使用US-ASCII编码

使用TXT记录已经不被推荐，但是有些DNS服务器并未针对SPF类型的记录进行实现，考虑到兼容性的问题，一个合规的SPF记录应该同时具备SPF记录和TXT记录，如下所示：

example.com. IN TXT "v=spf1 +mx a:colo.example.com/28 -all"
example.com. IN SPF "v=spf1 +mx a:colo.example.com/28 -all"

SPF的全称是Sender Policy Framework，该记录的主要作用是防止别人伪造发件人地址，配置了SPF记录的域名在收件方会检测发件人的使用的邮服（MTA）是否位于SPF记录中所指向的IP范围

仅凭SPF记录未设置这一问题，该猎人就获得了500刀的赏金！！！