Назад | Перейти на главную страницу

Смешанная проверка подлинности SPF прошла / не прошла без записи SPF, в отчете DMARC

Я прикрепил отчет DMARC для своего домена (этот был отправлен из Google). Он правильно показывает, что только почта, отправленная с моего mta (amazon ses), соответствует требованиям DMARC. И часть DKIM также показывает только почту от моего MTA как проходящую. Отлично.

Однако в этом отчете показано, что несколько хостов проходят проверку подлинности SPF и большинство из них не проходят проверку подлинности SPF. Почему / как это возможно? У меня даже в DNS не установлены записи SPF? Я неправильно истолковал значение этого отчета? Может кто-нибудь объяснить, что происходит?

Пример из вашего DMARC отчет:

Хост 216.207.245.17 (обратный поиск сообщает нам lists.digium.com) отправляет 147 писем от имени вашего почтового домена. Эти электронные письма ПРОХОДЯТ SPF проверьте, но, поскольку домен, используемый для SPF проверка не выровнять с вашим доменом электронной почты, он не может DMARC.

Особенно так ведут себя пересылки электронной почты / списки рассылки. Перед рассылкой электронного письма членам списка адрес возврата (он же smtp.mailfrom / return-path / envelope from address) переписывается, так что отчеты о недоставке (NDR) отправляются обратно поставщику списка рассылки. а не исходному отправителю.

В то время FROM адрес отображается получателю в почтовом клиенте, envelope from адрес скрыт, но ЯВЛЯЕТСЯ используется для проверки SPF на. Вот почему DMARC так важен для защиты от фишинга, потому что SPF (или DKIM) сам по себе не подтверждает подлинность FROM адрес, который видит получатель.

Списки рассылки обычно не работают DMARC аутентификация на SPF проверьте, потому что выравнивание между envelope from домен и FROM домен удален. Также иногда DKIM подписанные поля, такие как тема, редактируются, что нарушает исходную подпись DKIM. Именно поэтому ARC (Полученная цепочка с аутентификацией) создается как расширение DMARC. К сожалению, ARC все еще находится в стадии проекта.

Итак, если мы посмотрим на наш пример, провайдер списка рассылки переписывает envelope from Отправить something@lists.digium.com а получающий почтовый сервер проверяет домен lists.digium.com для SPF запись, которую он находит: "v=spf1 a mx ip4:216.207.245.0/26 ~all\". SPF проходит (216.207.245.17 является частью диапазона 216.207.245.0/26), DMARC терпит неудачу. В зависимости от вашего DMARC действия политики и конфигурации сервера получения, электронная почта может быть помечена как СПАМ, помещена в карантин, отклонена или доставлена ​​в папку «Входящие».

Важно понимать, по каким адресам проверяются различные механизмы аутентификации. Сообщение электронной почты имеет как минимум два адреса отправителя - конверт из (RFC 5321) и заголовок из (RFC 5322). SPF проверяется по конверту из адреса, а DMARC проверяется по заголовку из. Если использовать несколько примеров:

ENV From: whatever@yourdomain.com
HEADER From: whatever@yourdomain.com

Отсутствие записи SPF - это автоматический проход, и домены совпадают, поэтому выравнивание DMARC SPF пройдет.

ENV From: whatever@differentdomain.com
HEADER From: whatever@yourdomain.com

SPF проверяется по разному домену.com и может пройти, а может и не пройти, в зависимости от их правил, а DMARC проверяется по вашему домену, но выравнивание SPF не удастся, потому что домены разные.

DMARC требует выравнивания SPF ИЛИ Выравнивание DKIM проходит. Чтобы выравнивание SPF передавало ENV From домена, но совпадало с заголовком из домена, SPF должен пройти. Для выравнивания DKIM передать домен указанный в DKIM d= Атрибут должен соответствовать домену в заголовке от, а подпись DKIM должна быть действительной.

Если ваш адрес указан в заголовке, вы получите отчеты DMARC, но если это не ваш домен, вы можете увидеть результаты SPF для любого домена. В любом случае, если он был правильно подписан DKIM, он все равно пройдет DMARC, потому что помните, что нужно пройти только одну или другую проверку выравнивания.