Door Anoniem: Hoho eerst even duidelijkheid: SPF/DKIM/DMARC is NIET bedoeld tegen spammen, en werkt daar ook niet tegen. In ieder geval niet als de spammer "eerlijk" een eigen domein gebruikt als afzender. Weet ik (en ik heb er op deze site al heel vaak op gewezen dat deze maatregelen, onterecht, als anti-spam worden gepromoot). Wat ik probeerde te laten zien is dat zo'n spammer redelijk eenvoudig een spoofer kan worden. Ik bedoel dat het achter "header-From:" (al dan niet) getoonde afzenderdomein: - Ofwel identiek is aan het echte domein: het belangrijkste -zo niet enige- doel van DMARC (in combinatie met SPF en/of DKIM) is bevestigen of ontkennen dat een e-mail geautoriseerd is verzonden namens dat domein. Dit lijkt nu gefixed voor rivm.nl en rijksoverheid.nl (door een DMARC-specificatie-bug is spoofing vermoedelijk nog wel mogelijk door achter "header-From:" een tweede, afwijkend, afzenderdomeinen te specificeren); - Ofwel lijkt op het echte domein (zoals in mijn voorbeeld): dan ben je afhankelijk van ...