Недавно я добавил запись DMARC для одного из своих доменов. Назовем это mydomain.com:
v=DMARC1;p=none;rua=mailto:dmarc_reports@mydomain.com;ruf=mailto:dmarc_reports@mydomain.com;fo=1"
Я получаю отчеты за последние пару дней, но есть несколько отчетов, которые я не совсем понимаю. Например:
<record>
<row>
<source_ip>217.72.192.73</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>mydomain.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>mydomain.com</domain>
<result>pass</result>
<selector>2014</selector>
</dkim>
<spf>
<domain>srs2.kundenserver.de</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
Моя запись SPF не включают 217.72.192.73 или srs2.kundenserver.de и я никогда раньше не слышал и не использовал этот сервер для отправки электронных писем, поэтому можно с уверенностью предположить, что это кто-то пытался подделать электронное письмо от mydomain.com. Также понятно, что SPF будет сообщаться как пройденный, но не согласованный. Однако меня интересует, как это ПРОШЛО DKIM?
В DNS моего домена есть следующая запись:
2014._domainkey.mydomain.com. IN TXT ( "v=DKIM1; k=rsa; t=s; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArbY9HBzct5lz6"
"43Wv4pnudx+Ei6/YKifIr+AIUi5mpNGOYu6P81ooIJozVlY8flLSseurs8CFDuvs1j7FznUyrfVuYE/g"
"6uD17VSaZwqfciW9wBdN25ruM0wRX+9tC7p8IDBUo1hJhrk5ngiwJpz/jpcXmfTjQdbE1M+yMrujUFNC"
"vMqS2YAaAqVYPe4TMgpRum23oZm9PX0iqgkShiUXzNLzTM8NIaWXrHPnBaeKoNChbPZlHPCyvLqbJbRJ"
"L+bj3P7B+9Pey04xbi2SalqH1XNLKU20Nd4wZAQAVHFvUoyj2XAzaOQnRSLavDCUYgBpt/Y9u9oAU+mb"
"Cg2SLWzrQIDAQAB" )
Как видно из отчета, совпавший селектор 2014, который взят из этой записи DNS.
Поскольку это электронное письмо предположительно не было подписано закрытым ключом моего сервера, если это не fail? Может ли это означать, что кто-то получил доступ к моему закрытому ключу? Странно то, что есть 5 записей для писем, которые были отправлены серверами, не указанными в моей записи SPF, и ВСЕ из них перечисляют DKIM как «пройденные». У меня нет отчетов об ошибках DKIM.
Когда ты видишь DKIM = пройти но SPF = сбой (IP-адрес не входит в диапазон, охватываемый записью SPF), что может означать, что ваша почта была автоматически перенаправлена сервером, IP-адрес которого вы видите в XML-отчете.
В вашем конкретном случае один из ваших получателей электронной почты имеет почтовый ящик на 1 и 1 хостинге (домен kundenserver.de принадлежит им), и этот почтовый ящик имеет активную пересылку на какой-то другой адрес.
Если вы посмотрите на значение в "org_name"(средство подачи сводных отчетов), вы узнаете, кто был конечным получателем электронного письма. Вы можете увидеть несколько возможных значений: «google.com», «Yahoo! Inc.», «AMAZON-SES», «comcast.net», «emailsrvr.com», «FastMail Pty Ltd», «Mail.Ru» ...
Так что не о чем беспокоиться. Кроме того, вы всегда можете повторно сгенерировать ключ DKIM для подписи писем и обновить открытый ключ DKIM в DNS, если вы подозреваете, что ваш закрытый ключ просочился.
Чтобы облегчить жизнь, я бы порекомендовал развернуть одно из решений для обработки и анализа отчетов DMARC, перечисленных на DMARC.org интернет сайт:
При развертывании DMARC для своего домена вы получите общую картину всех источников электронной почты, используемых для отправки электронных писем из вашего домена, включая статусы аутентификации SPF, DKIM и DMARC.
Я могу предложить вам попробовать EasyDMARC, т.к. пользуюсь им с начала 2018 года.