Oggi ho ricevuto una e-mail truffa che ho deciso di eliminare. Ho subito scoperto che era stato inviato da un indirizzo GMail ( From
, Reply-To
, Return-Path
) ma che la posta proveniva da Yahoo.
- HELO di Yahoo
- Ricevuto dalle mappe IP sia in avanti che in senso inverso
- Mail ha una firma DKIM valida per yahoo.com
- La posta non funziona correttamente. GMail SPF non funziona perché un IP di proprietà di Yahoo non ne fa parte
Ho trasmesso la posta tramite opendkim-testmsg, che mi dice che il messaggio va bene.
Sono davvero confuso da tutto questo. Ovviamente chiunque può firmare tecnicamente qualsiasi email utilizzando DKIM per il proprio dominio, anche se non corrisponde a nessuno dei domini utilizzati nella posta. Ma perché Yahoo dovrebbe farlo? E perché OpenDKIM non indica che c'è qualcosa di fasullo su questa mail, anche se il dominio Return-Path e il dominio DKIM non corrispondono?
Per richiesta popolare, alcune intestazioni e-mail. Si prega di notare che questa e-mail è stata attraverso un servizio di lavaggio della posta aziendale, Exchange e ho spogliato un sacco di dati di identificazione. La firma DKIM per la parte di intestazione corrisponde ancora, però. Ho omesso il corpo, ma convalida anche.
Received-SPF: softfail (MYMX: transitioning domain of gmail.com does not designate 87.248.110.97 as permitted sender) client-ip=87.248.110.97; [email protected]; helo=sonic302-34.consmr.mail.ir2.yahoo.com;
Received: from sonic302-34.consmr.mail.ir2.yahoo.com ([87.248.110.97])
by MYMX with esmtps (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128)
(envelope-from <[email protected]>)
for MYNAME@MYDOMAIN; Wed, 28 Feb 2018 05:03:02 -0800
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s2048; t=1519822976; bh=35/Syp7oOntp7GfGR2tdK316KBE4uAxZC5lOM//DYjg=; h=Date:From:Reply-To:Subject:References:From:Subject; b=KvnuAmNY1sujXiLsVnNqOJzF3MFxu/jY93zu5QKtbWRy9nMOhomUrZ+398oRwLC0P0RAkCbOj5a2x5JZtrZG4/71RKmHD/ftzOJI2goX2A4KaWrsczH4RsR/kfvpmz0jNRF4nxZONN4a5NKLavt6WPG7yWokVrGh2n/zUZPiFFv8kZL0uNPdIyCC94OiBh0c6GlSRpmTe0GbTQmbDgXZ+8nf7O5kiWpALbpSBHJ22QmdFhLLQWS18xZhl/AwprHFV+txsWtat02ldjYUmoGKhXNmTcWHDLPw7n5uyKXwsaOuX1uXSLzaWUgpnrD/v/FonebJoo1qkcnZoziov6TJmw==
X-YMail-OSG: dOZOfQ0VM1lyzg2OUT1yoveGRURYm6FHV_CU8qWTCRbr8jkKD_gBSwprVT5nSNr
oxL32bI8ge8m_n_BDyDXFKnfZTDdFMGUPxFQt8bl2TLbWIC72.HGgEg6S8trxoSkeYLsPM8tUIhL
XPCdlp3sNlz4quLJyyJznVo55S3vYeLt5fYSOqw2kJtOvf3l.puohOlVCc5WBZO1lp82MLbBi0rq
0tCsbA3xDFW8_3JsxoJGinZ8fn0BBoqUfkfFdGv7UyoM94wlv4_GWYAQwIzicSQsC5od.fBm1lM_
zSZlsV9hfeDUkwDyQiAmFq5rCUJ.3N7Lu9IKZTwnKjWvRFNudXOkEEJwW7Dg0eRNCBx.N2c.52Bi
dfwYepO_0jqL.vF19srHCbj6PrUQjFYiIzaauD.m9IdfE692oG6o9B.w20VkMLmTcxjBKg7NC1pk
6mWavSA7yHndoNrMfcB.liBw3XSLggRvPH60M
Received: from sonic.gate.mail.ne1.yahoo.com by sonic302.consmr.mail.ir2.yahoo.com with HTTP; Wed, 28 Feb 2018 13:02:56 +0000
Date: Wed, 28 Feb 2018 13:02:52 +0000 (UTC)
From: hs <[email protected]>
Reply-To: hs <[email protected]>
Message-ID: <[email protected]>
Subject: MRS.HELEN SOLOMON FUNDS TRANSFER ASSISTANCE.
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
References: <[email protected]>
To: Undisclosed recipients:;
Return-Path: [email protected]
MIME-Version: 1.0