<div dir="ltr"><div dir="ltr">On Thu, May 23, 2019 at 4:13 PM Hansen, Christoffer <<a href="mailto:christoffer@netravnen.de">christoffer@netravnen.de</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Appreciate the warning!<br>
<br>
On 23/05/2019 19:46, Valerie Wittkop wrote:<br>
> These messages are not flowing through NANOG servers, nor using the NANOG domain. They are not messages coming from the NANOG organization. Please be aware if you receive a message matching this description and always make sure to scan attachments for a virus.<br>
<br>
The one I received looked like this:<br>
<br>
> From: "NANOG" <<a href="mailto:service@cegips.pl" target="_blank">service@cegips.pl</a>><br>
<br>
...<br>
<br>
Has it been considered switching to "-all", instead of only "~all" in<br>
the spf record?<br>
<br>
> $ dig +short +nocmd +nocomments TXT <a href="http://nanog.org" rel="noreferrer" target="_blank">nanog.org</a><br>
> "v=spf1 include:_<a href="http://spf.google.com" rel="noreferrer" target="_blank">spf.google.com</a> ip4:104.20.199.50 ip4:104.20.198.50  ip4:50.31.151.75 ip4:50.31.151.76 ip6:2001:1838:2001:8::19 ip6:2001:1838:2001:8::20 ip6:2400:cb00:2048:1::6814:c632 ip6:2400:cb00:2048:1::6814:c732 ~all"<br>
<br>
        -Christoffer<br>
</blockquote></div><div><br></div><div>The SPF record wouldn't make a difference since that email was sent from @<a href="http://cegips.pl">cegips.pl</a>, not from @<a href="http://nanog.org">nanog.org</a>.  You'd have to change the SPF record for the <a href="http://cegips.pl">cegips.pl</a> domain to impact their ability to send from that address.  <br></div><div><br></div></div>