Dmarc: Perché ho dkim = fail, spf = fail e result = pass

2

Ho creato la mia compagnia dmarc. È in modalità test e ricevo regolarmente rapporti. Alcuni mi sembrano strani e mi piacerebbe capire. Ad esempio, ho ricevuto un rapporto con SPF e dkim non è riuscito, ma il risultato è passato. Mi piacerebbe andare in prod. Ma non sono molto fiducioso perché il risultato sembra imprevedibile: ecco un esempio di record xml.

<record>
    <row>
        <source_ip>1.2.3.4</source_ip>
        <count>1</count>
        <policy_evaluated>
            <disposition>none</disposition>
            <dkim>fail</dkim>
            <spf>fail</spf>
        </policy_evaluated>
    </row>
    <identifiers>
        <header_from>mydomain.com</header_from>
    </identifiers>
    <auth_results>
        <spf>
            <domain>otherdomain.com</domain>
            <result>pass</result>
        </spf>
    </auth_results>
</record>

Il mio IP 1.2.3.4 ha inviato un'e-mail con from header equal mydomain.com al dominio otherdomain.com.

otherdomain.com considera questa email come valida come dmarc.

Ecco la mia configurazione:

<policy_published>
   <domain>mydomain.com</domain>
   <adkim>r</adkim>
   <aspf>r</aspf>
   <p>none</p>
   <sp>none</sp>
   <pct>100</pct>
</policy_published>

Il mio record SPF: mydomain.com text = "v=spf1 ip4:1.2.3.4 ip4:1.2.3.5 ip4:1.2.3.5 ip4:1.2.3.6 ip4:1.2.3.7 ip4:1.2.3.8 ip4:1.2.3.9 ip4:1.2.3.10 ip4:1.2.3.11 include:mydomain.com include:subdomain.mydomain.com -all"

Perché è questo? Non capisco perché sta passando. Qualcuno può spiegarmelo, per favore?

    
posta dmx 09.10.2017 - 10:14
fonte

1 risposta

2

TL; TR: qualcuno invia una mail con la busta SMTP di otherdomain.com ma l'intestazione della posta da mydomain.com. Dal momento che il controllo SPF è passato per otherdomain.com, potrebbe essere stato qualcuno di otherdomain.com che ha tentato di falsificare il mittente su mydomain.com.

<identifiers>
    <header_from>mydomain.com</header_from>
</identifiers>

Questo significa che Da della posta mostra mydomain.com come dominio del mittente. Questo è il dominio previsto nei record SPF e DKIM per l'allineamento dell'identificatore.

<auth_results>
    <spf>
        <domain>otherdomain.com</domain>
        <result>pass</result>
    </spf>

Questo è un record SPF di successo. Il successo di questo record è visto solo in relazione alle specifiche SPF e non nel contesto di DMARC come si può vedere da RFC 7489 Appendice C :

<!-- This element contains DKIM and SPF results, uninterpreted
    with respect to DMARC. -->
<xs:complexType name="AuthResultType">

Solo l'indirizzo e-mail nella finestra di dialogo SMTP ("Busta SMTP") utilizzava otherdomain.com. Poiché otherdomain.com non è mydomain.com, l'allineamento dell'identificatore fallisce e quindi:

    <policy_evaluated>
        ...
        <spf>fail</spf>
    </policy_evaluated>

policy_evaluated è il risultato basato su DMARC come si può vedere dalle specifiche:

<!-- Taking into account everything else in the record,
     the results of applying DMARC. -->
<xs:complexType name="PolicyEvaluatedType">
    
risposta data 09.10.2017 - 12:48
fonte

Leggi altre domande sui tag