DKIM e SPF sono menzionati come potenti attenuazioni per l'abuso del tuo dominio per il phishing . Ma quando invio una mail come questa:
Return-Path: <[email protected]>
From: Citibank security team <[email protected]>
Reply-To: Noreply <[email protected]>
Subject: Unauthorized attempt on your account
-
Con Enveloppe da
<[email protected]>
-
Con una firma DKIM valida per
mydomain.example.com
- Inviato da un host autorizzato a inviare in base al criterio SPF per
mydomain.example.com
Sono a conoscenza che la posta verrà mostrata come se fosse stata effettivamente inviata da Citibank. I log del server di posta potrebbero mostrare qualcosa su una firma DKIM non allineata e alla fine un rapporto DMARC potrebbe essere inviato a Citibank, ma non impedisce affatto la consegna di una truffa.
Perché le specifiche controllano l'indirizzo From: in modo approssimativo, mentre quello è l'unico identificatore che un utente vedrebbe direttamente nel proprio client di posta?