Назад | Перейти на главную страницу

Можно ли обойти требования DKIM политики DMARC, просто не используя DKIM или используя конверт SMTP с действительным DKIM для конверта из домена

Правильно ли я говорю, что DMARC не имеет возможности сказать «все электронные письма должны быть подписаны». Насколько я понимаю, я могу указать, что хочу, чтобы DKIM был либо небрежным, либо строгим, что, как я понимаю, означает, если сообщение подписано (рассмотрите электронное письмо, отправленное из example@b.com):

Однако есть также электронные письма, которые вообще не имеют подписи DKIM, и другие электронные письма, которые могут содержать example@b.com в FROM заголовок, но есть конверт SMTP из подобного example@some-mail-sending-service.com и имеют подпись DKIM, действительную для some-mail-sending-service.com но не для b.com.

Правильно ли я в обоих случаях выше сказать, что в каком-то смысле это оба «ПРОПУСКА». В первом примере нет недопустимого DKIM, так что все в порядке, а последний на самом деле является выровненным проходом DKIM для конверта из, поэтому также считается нормальным?

Если у меня есть политика DMARC, например:

v=DMARC1;p=reject;rua=mailto:xyz;ruf=mailto:xyz;adkim=s;aspf=s;pct=100;fo=1;sp=reject

Правильно ли я говорю, что злонамеренная сторона не будет отклонена по причинам, связанным с DKIM, если они:

  1. Не используйте DKIM вообще.
  2. Отправить с почтового сервера, который использует DKIM с действующей подписью и использует конверт SMTP.

В обоих вышеупомянутых случаях одна только политика DKIM DMARC не приведет к блокировке этого электронного письма?

Я думаю, вам в основном не хватает «согласования», которое требуется для получения почты, совместимой с DMARC. Это то, что отличает DMARC от существующих методов.

Выравнивание означает, что DMARC требует, чтобы вы установили аутентификацию (SPF / DKIM), используя тот же домен *, что и домен «От». Вы упомянули выравнивание между доменом SPF (конверт из) и доменом DKIM, однако это не применимо.

Итак, злоумышленник не может получить письмо для прохождения DMARC, если они:

  • используйте заголовок "От" на странице your-company.com
  • подписать почту проходящей подписью DKIM (d = attacker.com)
  • отправить с проходящим конвертом из (/ Return-Path) от attacker.com

*) Используя режим выравнивания, вы можете указать, хотите ли вы точного совпадения (Строгое) или разрешить совпадение поддомена (Расслабленное)

Это поможет вам и ответит на ваш вопрос?

С Уважением,

Михиэль

Анализатор DMARC