Ingresso sospetto nel report DMARC

Naviga le tue risposte
0

Recentemente ho contattato un fornitore di librerie di sviluppo legate alla sicurezza per chiedere un preventivo (non le chiamerò ancora).

Il giorno successivo, Timbro postale mi ha inviato il mio rapporto DMARC settimanale e conteneva 2 voci non riuscite provenienti dal dominio di questo fornitore, dicendo che sia SPF sia DKIM fallito. Ecco cosa dice il rapporto:

Untrusted Sources (Not Aligned)

No alignment means that neither DKIM nor SPF pass the DMARC policy. These messages are either spam (spoofed) or require your attention for SPF / DKIM authentication. It's important to monitor these emails closely

Questo venditore ha davvero tentato di falsificare le e-mail dal nostro dominio? Forse qualche tipo di sonda di vulnerabilità?

O c'è una spiegazione plausibile e innocente per queste voci?

    
posta Owen Orwell 27.02.2017 - 21:08
fonte

3 risposte

2

Il rapporto per timbro postale si basa sui rapporti inviati dai server di posta all'indirizzo del rapporto configurato nel caso in cui si ritenga che una posta viola le norme DKIM / SPF. Pertanto è altamente probabile che ciò sia causato dalla violazione della politica (ad esempio lo spoofing) ma questa non è l'unica spiegazione possibile.

Ad esempio, qualcuno potrebbe creare un rapporto di violazione delle norme e inviarlo all'indirizzo del rapporto configurato anche se non è stata eseguita alcuna violazione, ad esempio per confondere qualcuno con rapporti fasulli.

E infine un sistema di posta malfunzionante presso il venditore che hai contattato potrebbe trattare la distribuzione interna della tua posta originale o una ridistribuzione della posta come se qualcuno avesse tentato di falsificare il tuo dominio e segnalarlo come violazione delle norme.

    
risposta data 27.02.2017 - 22:25
fonte
1

Se hai inviato la query utilizzando un modulo Web e incluso il tuo indirizzo e-mail, il modulo potrebbe quindi avere inviato via e-mail qualcuno all'interno dell'azienda "dal" tuo indirizzo e-mail fornito - e il loro server potrebbe benissimo avere (correttamente) lo ha trattato come un indirizzo falsificato. Ho già visto e-mail simili a "spoofed" (anche se per motivi legittimi), sebbene non abbia assistito ai conseguenti guasti DMARC.

    
risposta data 03.04.2018 - 05:45
fonte
0

Non posso ancora commentare, ma intendevo aggiungere al link .

Stai fraintendendo ciò che sta dicendo il rapporto: sta dicendo che i loro sistemi ritengono che la tua posta sia stata inviata da un server non valido o con una firma DKIM non valida.

Personalmente, ho causato a me stesso questo problema scrubbing le intestazioni per le email in uscita, che (ho scoperto nel modo più duro) stava accadendo dopo la firma DKIM.

Ciò significava che tutto il DKIM stava fallendo e ha prodotto un'interessante varietà di rapporti DMARC.

Se ha senso, data la configurazione della tua posta, per fare ciò, invia un'email a un grande fornitore che ha anche la verifica DMARC (google, hotmail, yahoo, probabilmente un altro di più) e verifica se gli stessi risultati vengono restituiti .

Un'altra possibilità, da parte loro, è che il loro server di posta potrebbe avere una vista DNS limitata (cioè solo domini interni) che significa che non possono recuperare informazioni DKIM e / o SPF valide (questo potrebbe essere il caso se hanno un DMARC convalida del server dietro un server di posta "front-end" che esegue ad esempio il filtraggio).

Una cosa, però: questo potrebbe dire che la tua richiesta è nei loro filtri spam. Il che significa che potrebbe essere necessario prendere in considerazione altri mezzi per entrare in contatto.

    
risposta data 27.02.2017 - 23:58
fonte

Leggi altre domande sui tag

Quando ricevo i dati in questo scenario, quante volte è crittografato? In DoS, ogni pacchetto IP di Spoofed inviato ha un IP diverso?