Назад | Перейти на главную страницу

Как это письмо обошло мои настройки SPF?

Сегодня утром я получил фишинговое письмо, которое, похоже, пришло с одного из моих адресов на самого себя.

Посмотрев на заголовки, я обнаружил кое-что интересное.

DomainKey-Status: no signature
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on
    mydomain.com
X-Spam-Level: 
X-Spam-Status: No, score=-1.0 required=5.0 tests=BAYES_00,HTML_MESSAGE,
    HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,MISSING_MID,SPF_PASS autolearn=no
    version=3.2.5
Received: (qmail 10412 invoked by uid 110); 6 Aug 2012 09:59:17 -0400
Delivered-To: 18-bdstrainers@anotherOfMyDomains.net
DomainKey-Status: no signature
Received: (qmail 10390 invoked by uid 110); 6 Aug 2012 09:59:17 -0400
Delivered-To: 34-info@yetAnotherOfMyDomains.com
DomainKey-Status: no signature
Received: (qmail 10373 invoked from network); 6 Aug 2012 09:59:15 -0400
Received-SPF: pass (mydomain.com: domain of surewest.com designates 212.61.84.249 as permitted sender) client-ip=212.61.84.249; envelope-from=visualsx@surewest.com; helo=d84249.iae.nl;
Received: from d84249.iae.nl (212.61.84.249)
  by yetAnotherOfMyDomains.com with SMTP; 6 Aug 2012 09:59:14 -0400
Date: Mon, 6 Aug 2012 14:27:38 +0100
From: <info@yetAnotherOfMyDomains.com>
To: <info@yetAnotherOfMyDomains.com>
Subject: Your Federal Tax Payment ID: 8716780 is failed
X-Mailer: foljo
MIME-Version: 1.0
Content-Type: text/html;
charset=Windows-1252
Content-Transfer-Encoding: 7bit

Итак, во-первых, 212.61.84.249 - это IP-адрес в Нидерландах, и если вы посетить IP вы получите страницу входа в систему LaCie.

Далее домен surewest.com, это цифровое телевидение / интернет-провайдер в центре США.

но меня привлекает, в частности, эта строка:

Received-SPF: pass (mydomain.com: domain of surewest.com designates 212.61.84.249 as permitted sender) client-ip=212.61.84.249; envelope-from=visualsx@surewest.com; helo=d84249.iae.nl

Мой SPF запись на моем сервере установлена ​​правильно, поэтому;

КАК в мире они подделали действительный SPF на surewest.com для МОЕГО домена, которого НЕТ на surewest?

Что я могу сделать, чтобы это больше не повторилось?

Ваша запись SPF определяет всех в мире как разрешенных отправителей:

"v=spf1 mx:... +all"

В +all это важная часть, + означает "разрешено" и all на самом деле означает «весь Интернет». Им не нужно было ничего подделывать, их почта действительна согласно вашей записи SPF. Пытаться -all вместо.