<div dir="ltr"><div>After an email conversation with Lucas Ferreira about some complaints he had from "people" complaining about being force-ably added to an OWASP list, I went ahead and added SPF records [1] for <a href="http://lists.owasp.org">lists.owasp.org</a>.  </div>
<div><br></div><div>Looking into the two address he sent me, both showed a couple email requests to unsubscribe but neither were a member of any list on our Mailman install.</div><div><br></div><div>On the off chance, someone was spoofing email from <a href="http://lists.owasp.org">lists.owasp.org</a>, I setup the SPF record and confirmed it is available and passes checks - using a SPF verification site [2] as well as sending a test post to a list and looking at the reply headers:</div>
<div>[snip]</div><div><pre style="color:rgb(0,0,0);word-wrap:break-word;white-space:pre-wrap">Received-SPF: pass (<a href="http://google.com">google.com</a>: domain of <a href="mailto:openstack_security_project-bounces@lists.owasp.org">openstack_security_project-bounces@lists.owasp.org</a> designates 162.209.12.188 as permitted sender) client-ip=162.209.12.188;</pre>
</div><div>[snip]</div><div><br></div><div>I don't expect any negative impacts on legit users of our lists but wanted to let you know in case someone has problems, notices the SPF addition or asks.</div><div><br></div>
<div>Cheers!</div><div><br></div><div>[1] <a href="http://en.wikipedia.org/wiki/Sender_Policy_Framework">http://en.wikipedia.org/wiki/Sender_Policy_Framework</a></div><div><br></div>[2] <a href="http://mxtoolbox.com/SuperTool.aspx?action=spf%3alists.owasp.org&run=toolpage">http://mxtoolbox.com/SuperTool.aspx?action=spf%3alists.owasp.org&run=toolpage</a><div>
<br clear="all"><div>--<br>-- Matt Tesauro<br>OWASP WTE Project Lead<br><a href="http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project" target="_blank">http://www.owasp.org/index.php/Category:OWASP_Live_CD_Project</a><br>
<a href="http://AppSecLive.org" target="_blank">http://AppSecLive.org</a> - Community and Download site<div>OWASP OpenStack Security Project Lead<div><a href="https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project" target="_blank">https://www.owasp.org/index.php/OWASP_OpenStack_Security_Project</a></div>
</div></div>
</div></div>