Я провел тестовый запуск нашего почтового сервера, чтобы проверить, можно ли подделать заголовок From, и я ожидал, что это не удастся. Насколько я могу судить, у нас правильно настроены SPF, DKIM и DMARC. Однако в Gmail все же было доставлено следующее сообщение:
Delivered-To: user@gmail.com
Received: by 2002:a4a:6f4a:0:0:0:0:0 with SMTP id i10-v6csp7502430oof;
Tue, 28 Aug 2018 09:27:26 -0700 (PDT)
X-Google-Smtp-Source: ANB0Vdb2gL9sqUjkSSq6b8JksGiMbZvpaadOegQlnNtn5jNJ6ElcYeT1bO6sdYlQdOreTUazCdTqcfiWICU=
X-Received: by 2002:aca:2dd7:: with SMTP id t206-v6mr1995034oit.154.1535473645509;
Tue, 28 Aug 2018 09:27:25 -0700 (PDT)
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of bounces+6327325-a094-user=knextion.com@sendgrid.net designates 192.254.121.248 as permitted sender) smtp.mailfrom="bounces+6327325-a094-user=knextion.com@sendgrid.net";
dkim=pass header.i=@sendgrid.net header.s=smtpapi header.b=q5LRqj1g
Received-SPF: pass (google.com: domain of bounces+6327325-a094-user=knextion.com@sendgrid.net designates 192.254.121.248 as permitted sender) client-ip=192.254.121.248;
Received: by 2002:aca:e48f:: with POP3 id b137-v6mf6449095oih.6;
Tue, 28 Aug 2018 09:27:25 -0700 (PDT)
X-Gmail-Fetch-Info: user@knextion.com 4 mail.knextion.com 995 user@knextion.com
Return-Path: <bounces+6327325-a094-user=knextion.com@sendgrid.net>
Delivered-To: user@knextion.com
Received: from paul.knextion.com by paul.knextion.com with LMTP id cFWUMs91hVvZKgAAKeyupQ for <user@knextion.com>; Tue, 28 Aug 2018 16:18:23 +0000
Return-path: <bounces+6327325-a094-user=knextion.com@sendgrid.net>
Envelope-to: user@knextion.com
Delivery-date: Tue, 28 Aug 2018 16:18:23 +0000
Received: from o2.pstemail.knowbe4.com ([192.254.121.248]:8276) by paul.knextion.com with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256) (Exim 4.91) (envelope-from <bounces+6327325-a094-user=knextion.com@sendgrid.net>) id 1fughC-0002qa-Nn for user@knextion.com; Tue, 28 Aug 2018 16:18:23 +0000
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; d=sendgrid.net; h=from:mime-version:to:content-type:subject; s=smtpapi; bh=bg0lHs+VfF3/1byBibxhl5LSVFs=; b=q5LRqj1gde0l32I1BEy1+Cj6p1gj2 mxJv6jwrtedaLsIvcj99UIewFHPRuyMAoBgSo/swR9HPvN+1qSPu/7GNd58imdnM q3aMvatNxj30CDISkvjS0XSs95WvZ6rvk188Aml3hBeRpsBPsm7nHITwop9r4c3y bVeEKV6YHxxt1I=
Received: by filter0028p3iad2.sendgrid.net with SMTP id filter0028p3iad2-9024-5B8575A3-60
2018-08-28 16:17:40.014016575 +0000 UTC m=+930326.755523913
Received: from NjMyNzMyNQ (ec2-35-170-11-38.compute-1.amazonaws.com [35.170.11.38]) by ismtpd0001p1iad1.sendgrid.net (SG) with HTTP id _-UcpATiQ5mYDleTFM62hQ Tue, 28 Aug 2018 16:17:39.902 +0000 (UTC)
Date: Tue, 28 Aug 2018 16:17:40 +0000 (UTC)
From: user@knextion.com
Mime-Version: 1.0
To: user@knextion.com
Message-ID: <_-UcpATiQ5mYDleTFM62hQ@ismtpd0001p1iad1.sendgrid.net>
Content-type: multipart/alternative; boundary="----------=_1535473060-15651-1640"
Subject: Test Email
X-SG-EID: 8K5OYQepvmN+h/LdhcHZbe/QO6KUcyHPG/zIchVj+BckwZYyPPqFXNewZ2m/rVJHhuGqH80rPI0boR v+6IjNiHfb+8JS7SvwO/vI085p32sPr1UOneuJ6jO1dBw0/wuhOsySPV6fd541QtFkKOU/RFs3bPiG jbF25PCRgPLJg0jpWGICqT3arHhUYq4aSPJxQX58HVn9SpHZdnkj5KsNxA==
X-SG-ID: ry6MXBxyEtnC+S9qPe1Pt1jDZZ1BhhEm7IkH/SKulWDtQz9/mmkpElaI9wX0Rf6V
X-Spam-Status: No, score=5.2
X-Spam-Score: 52
X-Spam-Bar: +++++
X-Ham-Report: Spam detection software, running on the system "paul.knextion.com", has NOT identified this incoming email as spam.
The original message has been attached to this so you can view it or label similar future email.
If you have any questions, see root\@localhost for details.
Content preview:
This is a test Spoof email This is a test Spoof email [...]
Content analysis details:
(5.2 points, 8.0 required)
pts rule name
description ---- ---------------------- -------------------------------------------------- -0.0 RCVD_IN_DNSWL_NONE
RBL: Sender listed at http://www.dnswl.org/, no
trust
[192.254.121.248 listed in list.dnswl.org]
0.2 HEADER_FROM_DIFFERENT_DOMAINS From and EnvelopeFrom 2nd level mail
domains are different -0.0 SPF_PASS
SPF: sender matches SPF record
1.7 HTML_IMAGE_ONLY_08
BODY: HTML: images with 400-800 bytes of words
0.8 BAYES_50
BODY: Bayes spam probability is 40 to 60%
[score: 0.4717]
0.0 HTML_MESSAGE
BODY: HTML included in message
1.1 KAM_REALLYHUGEIMGSRC
RAW: Spam with image tags with ridiculously huge
http urls -0.1 DKIM_VALID
Message has at least one valid DKIM or DK signature
0.1 DKIM_SIGNED
Message has a DKIM or DK signature, not necessarily valid
1.0 URIBL_GREY
Contains an URL listed in the URIBL greylist
[URIs: sendgrid.net]
0.5 URIBL_GOLD
Contains an URL listed in the URIBL GOLDlist
[URIs: sendgrid.net]
0.0 T_REMOTE_IMAGE
Message contains an external image
X-Spam-Flag: NO
------------=_1535473060-15651-1640
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8
This is a test Spoof email
------------=_1535473060-15651-1640
Content-Type: text/html; charset="UTF-8"
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
<html><body>
<p>This is a test Spoof email</p>
<img src=3D"https://u6327325.ct.sendgrid.net/wf/open?upn=3DNrk2gJgYF-2FJNXx=
3U3HYjEEXjY9Gfjb7cox0Z4e6RjHEZt6qh0p8LoeTIXQa76HCYYj3NDi02ZXXL6LbK93JpA8Jh6=
-2FQv-2FGmvbigv62ioqwJ8g64lpiJsmGybUPYqSphC11ihdXDIx-2FPdze0-2Fl-2FjacR8VYp=
10vUfLnsNm7qfjEjvuIffEmpN9oGqYSNWwlXFoPvLhGRLIms9LP-2Bxzx6YVVfxoL7v5hzO0JNg=
MXPOTg-2BTgoOYhxskJGVdKFgrp9FOrSImbfZtOx-2BbbZn5wWUVsyg-3D-3D" alt=3D"" wid=
th=3D"1" height=3D"1" border=3D"0" style=3D"height:1px !important;width:1px=
!important;border-width:0 !important;margin-top:0 !important;margin-bottom=
:0 !important;margin-right:0 !important;margin-left:0 !important;padding-to=
p:0 !important;padding-bottom:0 !important;padding-right:0 !important;paddi=
ng-left:0 !important;"/>
</body></html>
------------=_1535473060-15651-1640--
Как вы видете, конверт из и из домены не совпадают, и я думал, что DMARC откажет, а Gmail отклонит. Почему это письмо не отклоняется?
конверт-от: bounces+6327325-a094-user=knextion.com@sendgrid.net
От: user@knextion.com
РЕДАКТИРОВАТЬ:
Из https://techblog.exonet.nl/2017-02-03-spf-dkim-dmarc:
DMARC использует концепцию, которая называется выравниванием. Это проверяет, совпадает ли исходящий заголовок с исходным конвертом (SPF) или с доменом d = (DKIM). Политика DMARC требует прохождения SPF и / или DKIM. Это не требует прохождения обоих, потому что, если электронное письмо было переадресовано, проверки SPF, вероятно, не пройдут, но DKIM все равно должен пройти (если ничего не было изменено). Однако даже если SPF и DKIM проходят, DMARC все равно не работает, если выравнивание не совпадает.
Что меня выделяет из примеров заголовков, так это то, что Google, похоже, пропустил проверку DMARC для этого конкретного письма. Я ожидал, что в заголовках появится результат «dmarc =», когда Google обнаружит запись DMARC для вашего домена «От», но этого там нет.
Ваша запись DMARC кажется действительной при проверке.
Возможно ли, что вы отправили этот пример вскоре после публикации записи DMARC? В этом случае Google мог бы использовать кешированный "Запись DMARC отсутствует" результат с их стороны.
Вы все еще испытываете это? В таком случае, не могли бы вы прислать обновленные заголовки для более свежего примера?
Кроме того, письмо не проходит DMARC, поскольку вы не используете выравнивающую подпись DKIM и / или выравнивающий заголовок Return-Path. Пожалуйста, обратитесь к Документация Sendgrid для получения дополнительной информации о том, как настроить это в своей учетной записи.
С Уважением,
Михиэль
Анализатор DMARC
Почему это письмо не отклоняется?
Вкратце: вероятно, потому, что клиенты платят уважаемой почтовой службе, такой как Sendgrid, за их способность успешно доставлять электронную почту, и они довольно хороши в том, что они делают ...
С технической точки зрения:
Sendgrid использовал собственный домен sendgrid.net в EnvelopeFrom и Return-Path, который в чистом SPF затем делает sendgrid.net Политика SPF применять, а не политику SPF вашего собственного домена.
Sendgrid также добавляет свою собственную подпись DKIM, которая, поскольку устанавливает d=sendgrid.net
домен, не проверяет ваш From: user@knextion.com
заголовок, но он по-прежнему добавляет уверенности в том, что сообщение было отправлено через sendgrid.
Когда ни SPF, ни DKIM не работают, GMail не запускает политику DMARC для вашего домена.
Если вы являетесь владельцем домена, вам сначала необходимо настроить записи SPF и ключи DKIM для всех исходящих потоков электронной почты. DMARC полагается на эти технологии для обеспечения целостности подписи. Сообщение, которое не проходит проверку SPF и / или DKIM, запускает политику DMARC (источник: https://support.google.com/a/answer/2466580?hl=en)