Un percorso di restituzione personalizzato rende SPF ridondante

1

La mia comprensione è che SPF può essere utilizzato per definire un insieme di indirizzi IP autorizzati a inviare e-mail in uscita per conto di un dominio. Se un server di posta elettronica non incluso nel set di indirizzi IP consentiti invia un'email, il server ricevente può eseguire la ricerca di record TXT sul dominio da e ispezionare il record per determinare se è necessario eseguire il failover o eseguire il failover di un'e-mail in entrata .

es.

dig my-site.com TXT
"v=spf1 include:_spf.google.com include:servers.mcsv.net -all"

Ho pensato che questo disco stava praticamente dicendo "consenti a tutti i server indicati dal record TXT trovato su spf.google.com o servers.mcsv.net e fallisci qualsiasi altra cosa.

Poi mi sono imbattuto in questo: link

Do I need SPF? No, Intercom handles that for you. Emails sent from Intercom include a return-path header. When a recipient mail server receives one of our emails and checks the SPF record of the domain in our return-path, they will see that our sending IP addresses are authorized senders. This means emails sent through Intercom will pass authentication automatically and you don't need to set up any records yourself.

Questo mi confonde. Questo non significa che l'interfono in questo caso (anche chiunque su internet utilizzi la stessa tecnica) può inviare una email che sembra provenire da my-site.com nonostante io abbia usato un record SPF che dovrebbe fallire qualsiasi cosa non è nella mia serie di indirizzi IP elencati in bianco? La persona che riceve l'email non vedrebbe questo come "da" [email protected] AND come pass SPF, anche se l'indirizzo IP del server di invio potrebbe non essere uno dei miei indirizzi IP autorizzati?

Nota, uso anche DKIM e DMARC, ma voglio isolare questa discussione solo dal lato SPF delle cose.

    
posta David Goate 21.09.2018 - 10:56
fonte

2 risposte

1

Quando parliamo di "Da" per quanto riguarda la posta elettronica, può fare riferimento a due cose:

  1. L'intestazione "From:"
  2. "Envelope From" che viene scambiato direttamente tra i server di posta elettronica quando si stabilisce una connessione.
  3. Non devono essere uguali.

Quando il tuo client si connette al server per inviare email, ecco uno scambio semplificato tra loro:

client: HELO client.example.com
server: Hello, client.example.com, nice to meet you
client: MAIL FROM: <[email protected]>
server: Okay
client: RCPT TO: <[email protected]>
server: Okay, go ahead with the message, terminate with a single '.'
client:
From: Junie B. Jones <[email protected]>
Subject: Important discussion

Hello, Claire...
...blah...
...blah...
.
server: Okay, accepted for delivery

Vedrai sopra che "Da" è apparso due volte: la prima volta come parte di MAIL FROM e la seconda volta come From: nel corpo del messaggio. Solo il primo (chiamato "Envelope From" o "Return Path") è importante per quanto riguarda i server di posta: il secondo è principalmente per look. In effetti, può mancare del tutto.

Ciò che l'interfono dice è che quando inviano un messaggio, lo invieranno in questo modo:

client: HELO foo.intercom.com
server: Hello, foo.intercom.com, nice to meet you
client: MAIL FROM: <[email protected]> # <-- envelope-from
server: OK
client: RCPT TO: <[email protected]>
server: OK, proceed, terminate with a single "."
client: 
From: Junie B. Jones <[email protected]> # <-- cosmetic "From:"
Subject: Mailing from intercom

...blah...
...blah...
.
server: OK, accepted for delivery

Molti client di posta mostreranno questo come " Junie B. Jones < [email protected]> via foo.intercom.com " durante la visualizzazione dell'e-mail, per indicare la discrepanza tra la busta- From and the cosmetic From, ma è considerato una pratica kosher quando si tratta di email.

SPF si occupa specificamente solo di Envelope-From e ignora il campo cosmetico "Da:":

risposta data 25.09.2018 - 17:50
fonte
1

L'intestazione Return-Path rappresenta il comando mail from emesso in SMTP ( RFC 5321 ), noto anche come "mittente busta". Sender Policy Framework controlla solo le informazioni SMTP: l'host identificato con i comandi SMTP EHLO o HELO e il mittente della busta .

SPF eseguito da un sistema che non ha accesso diretto alle informazioni SMTP deve estrarre il mittente della busta dall'intestazione Return-Path e dall'host HELO dall'intestazione Received appropriata (oppure fidarsi di Received-SPF intestazione).

Sospetto che il mittente della busta rappresenti l'account che utilizzi per l'autenticazione con Intercom, il che significa che passerai l'SPF di Intercom ma non sarai "allineato" per DMARC poiché non corrisponde al dominio dell'intestazione From .

Questo significa che hai ancora bisogno del tuo record SPF che benedica i server in uscita di Intercom (non necessariamente il loro intero record, non vuoi permettere ai loro marketer a meno che non siano i tuoi marketer). Il record che hai sopra sembra sufficiente. Imposta un record DMARC con una chiave rua per inviare rapporti aggregati a una cassetta postale dedicata e vedrai (per un lungo periodo di tempo) tutto ciò che usa il tuo dominio nella sua intestazione From senza passare a SPF o DKIM che è allineato con il tuo dominio.

    
risposta data 25.09.2018 - 20:19
fonte

Leggi altre domande sui tag