<html dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" id="owaParaStyle"></style>
</head>
<body fpstyle="1" ocsi="0">
<div style="direction: ltr;font-family: Tahoma;color: #000000;font-size: 10pt;">Hey All,
<div><br>
</div>
<div>Apologies but I think this is not too far off charter.</div>
<div><br>
</div>
<div>Had the usual fraud attempt to a client asking to pay monies to **OTHER** bank account for usual bullshit reasons, but what is confusing me from header analysis is why the email from an external obviously compromised host, checked the compromised hosts
 domain SPF records rather than the domain in the From: address.</div>
<div><br>
</div>
<div>From my read of the RFC (http://www.openspf.org/RFC_4408#operation)</div>
<div><br>
</div>
<div>It appears that maybe it did the SPF check on the HELO command, and not the MAIL FROM command, which seems like an odd choice for O365 to make (as of course its up to the mail provider to implement their SPF checks).</div>
<div><br>
</div>
<div>On the attached image, orange is the spoofed 3rd domain with perfectly lovely SPF records, which were not checked in favour of the spoofed domains non-existent SPF records and allowed through.</div>
<div><br>
</div>
<div>This seems weird behavior to myself, unless I am completely misunderstanding the usefulness of SPF.</div>
<div><br>
</div>
<div>May I lean on the experienced knowledge of old SMTP heads on why this didnt check the Mail From: Domain ?</div>
<div><br>
</div>
<div>-Michael</div>
<div><br>
</div>
<div><br>
</div>
</div>
</body>
</html>