Er lijkt sprake van twee verschillende problemen, waar we allemaal wat van kunnen leren: 1) Iedereen met toegang tot het netwerk van een organisatie (in dit geval: tudelft.nl) kan e-mails versturen namens andere accounts binnen die organisatie; 2) Iedereen met toegang tot het netwerk van een organisatie kan e-mails versturen schijnbaar afkomstig van afzenders buiten die organisatie. Probleem 1 heeft niets met SPF en dergelijke te maken; dat bijvoorbeeld niet elke gmail.com-afzender zich voor kan doen als elke andere gmail.com-afzender, is iets dat Gmail "intern" moet oplossen, bijv. met SMTP AUTH. Probleem 2 betekent dat er, in de organisatie, minstens één mailserver is die e-mails met extern afzenderadres accepteert zonder op DMARC plus (SPF of DKIM) te checken, en vervolgens "wordt vertrouwd", vaak op basis van diens IP-adres. De combinatie is natuurlijk ook mogelijk. Als er ergens een (wellicht vergeten) interne mailserver staat die (nog) wordt vertrouwd (door de "echte mailservers"), die op TCP ...