我收到了自己发给我自己的垃圾邮件？

我也是，QQ 数字邮箱发给字母邮箱。

大概是 2008 年左右，买了一本 Adobe AIR3 开发指南的书，带的光盘里面有个 AIR 发送邮件的 DEMO 应用程序，用那个应用给 QQ 邮箱发送邮件，发件人会显示自己，收件人也会显示自己。

当时我还给同学恶作剧，假装是十年后的他们，给他们的 QQ 邮箱发邮件。

当时我当时也不懂为什么显示的发件人也是收件的邮箱。难道这个 BUG 到现在还没有修复吗 😂

邮件发件人什么的都是可以伪造的，但是也是可以识别出来的，正常的邮箱应该要屏蔽或者放进垃圾箱，QQ 邮箱连这一点都做不好吗

不是已经放垃圾箱了吗

@caomu 看截图

https://www.v2ex.com/t/872586

邮件可以伪造，能不能收到伪造邮件，或进不进垃圾箱是反垃圾规则决定的。

伪造邮件，可以理解，但是怎么同时泄露数字与别名的？

难道是伪造数字发给数字，被 QQ 邮箱自动转换为别名了？

@fengleiyidao 好吧，没注意。放进垃圾箱那就比较合理。毕竟随意拦截等下又可能引起收不到其他邮件。

@imdong QQ 的数字邮箱穷举或者网上爬一些就行了……

有意思。我记得折腾域名邮箱的时候看到过，可以出现发件人伪造，但是证书对不上，开一个 dlim ？ dmarc ？还是 spf ？反正是身份验证的，加密就好了。我托管在微软上，域名解析交给 Cloudflare ，往谷歌邮箱一发，都是 Pass ，不容易被判定成垃圾邮件，应该不会被伪造了。

@Marionic0723
@caomu
@milukun
可以看一下这篇 paper：《 A Large-scale and Longitudinal Measurement Study of DKIM Deployment 》
这个是比较高级的 DKIM 伪造，之前 qq 邮箱甚至连最基本的都识别不了，还一直没修，不知道现在修了没

mail.qq.com 似乎确实不上心，应该把重心转移到 exmail.qq.com 上边了，比如最近上线了 dkim ，算是国内比较靠前的。

@Marionic0723 配了 DMARC 才会校验 From 和发送方域名一致性。
应该是伪装 hotmail.com 服务器的身份发了这封邮件，看了一下 hotmail.com 的 SPF 是策略 ~all ，qq.com 的 DMARC 是 quarantine ，所以放到垃圾箱是没问题的。