Назад | Перейти на главную страницу

Проверка несоответствия DMARC, 4 примера

Мы настроили DMARC и получаем отчеты (политика по-прежнему установлена ​​как «нет»). Я загрузил их в DMARC XML-to-Human Converter (dmarcian.com), и большинство из них выглядят великолепно и полностью соответствуют требованиям. Но мы получили от Google некоторые из них, которые были указаны как пересылка, а некоторые из них не соответствовали требованиям DMARC. Я хочу выяснить, являются ли некоторые из них законными и над чем нам нужно работать, или они правильно определены как несоответствующие и будут отклонены, если мы установим политику «отклонить».

Я вижу, что dmarcian.com показывает их как Gmail / Apps Forwarding.

В XML я вижу, что policy_evaluated показывает успешность / неудачу для DKIM и SPF. Также auth_results показывает результат для обоих. Что каждый из них? Почему они иногда разные? Нет ли общего тега соответствия DMARC? Какие из них указывают на соответствие DMARC ... policy_evaluated?

В трех приведенных ниже примерах source_ip не является IP-адресом нашего почтового сервера, как для остальных из них. Я обнаружил, что это на самом деле IP-адрес Google, кроме примера 4 ..

Пример 1 Вот один пример, который выглядит плохо, правда? сбой, сбой в policy_evaluated. Я вообще не узнаю другой домен, за исключением того, что gappssmtp.com должен быть Google Apps, как я предполагаю.

  <record>
    <row>
      <source_ip>209.85.220.69</source_ip>
      <count>24</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
        <reason>
          <type>local_policy</type>
          <comment>arc=pass</comment>
        </reason>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ourdomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>someotherdomain-com.notourselector.gappssmtp.com</domain>
        <result>pass</result>
        <selector>notourselector</selector>
      </dkim>
      <spf>
        <domain>someotherdomain.com</domain>
        <result>none</result>
      </spf>
    </auth_results>
  </record>

Пример 2 Как насчет этого? Другой домен, который я узнаю, - это тот же домен, что и тот, с которым мы сейчас пишем. Значит ли это, что они пытаются отправить как наш домен что ли? Или они отправили электронное письмо, которое изначально получили от нас (с объяснением, почему DKIM прошел). Но почему это появляется здесь? Я видел еще один такой же с другим доменом, совпадающим с доменом того, кому мы пишем.

  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>7</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ourdomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ourdomain.com</domain>
        <result>pass</result>
        <selector>ourselector</selector>
      </dkim>
      <spf>
        <domain>someotherdomain.com</domain>
        <result>none</result>
      </spf>
    </auth_results>
  </record>

Пример 3

  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
        <reason>
          <type>local_policy</type>
          <comment>arc=pass</comment>
        </reason>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ourdomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ourdomain.com</domain>
        <result>fail</result>
        <selector>ourselector</selector>
      </dkim>
      <spf>
        <domain>gmail.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

Пример 4 Я обнаружил, что этот source_ip связан с доменом, который отображается в адресе электронной почты того, кому мы пишем.

<record>
    <row>
      <source_ip>64.239.243.200</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ourdomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ourdomain.com</domain>
        <result>pass</result>
        <selector>ourselector</selector>
      </dkim>
      <spf>
        <domain>ourdomain.com</domain>
        <result>neutral</result>
      </spf>
    </auth_results>
  </record>

Любая помощь в их переваривании приветствуется!

Поздравляем с внедрением DMARC. Похоже, вы подходите взвешенно.

Люди нередко используют адреса электронной почты, которые пересылаются на настоящие почтовые ящики. Google будет знать о серверах некоторых из них и в любом случае может доставить их в почтовый ящик пользователя. Вероятно, именно это и произошло с примерами 2, 3 и 4. Со временем вы увидите несколько записей, которые похожи друг на друга, кроме времени отчета.

Основываясь на моих записях, Google сообщит причину "переадресовано" для почты, которую он определяет как законно переадресованную. Другие домены также могут сообщать о перенаправленной электронной почте как таковой, но у меня нет таких отчетов.

Если пользователи получают почту от их пересылки, ошибочно отправляемую в спам, доступны различные варианты. Это один из тех случаев, когда они могут захотеть внести ваш домен в белый список при получении от своего экспедитора. Сервер должен узнать, что вы не отправляете спам, если ваша почта повторно попадает в почтовый ящик.

Некоторые спамеры будут пытаться подделать вашу личность, несмотря на DMARC. Поскольку DMARC еще не часто внедряется, многие почтовые серверы будут обрабатывать электронную почту без привязки к вашей политике. Если они не очищают там списки получателей, чтобы удалить адреса, обрабатываемые поставщиками, которые внедрили DMARC, вы получите отчеты, подобные Примеру 1. (Если вам не требуется использование авторизованных серверов для отправки электронной почты из вашего домена, вы можете получить сообщает подобное.)

Однако в этом случае пример 1, по-видимому, возник в сети Google. DNS указывает, что IP-адрес принадлежит Google. Поиск whois в домене показывает, что его серверы имен находятся в домене «googledomains.com». Добавление причины к записи указывает на то, что существует локальная политика, разрешающая это электронное письмо.

Вы можете проверить IP-адреса, указанные в различных черных списках DNS. Они также могут быть внесены в белый список DNS. Если вы храните данные в базе данных, вы можете автоматизировать поиск DNS.