Per il mio dominio ( mydomain.com
, ospitato con una G Suite gratuita), ho impostato DMARC in modalità test:
v=DMARC1; p=none; sp=reject; aspf=s; adkim=s; rua=mailto:[email protected]
Ho inviato email di prova a un gruppo di indirizzi email per capire se funziona correttamente o no, incluso il mio account Gmail personale e due indirizzi email di lavoro ( workplace.com
e otherworkplace.com
) che usano Exchange / Outlook / OWA che reindirizzo al mio account Gmail personale.
DMARC convalida per tutti tranne uno dei due indirizzi di lavoro, ma solo dopo l'inoltro al mio account Gmail personale. Significa che è così che appaiono le intestazioni quando vengono ricevute sul mio posto di lavoro (interruzioni di riga modificate da me):
Authentication-Results: mx-ext2.workplace.com (amavisd-new);
dkim=pass (2048-bit key) header.d=mydomain.com
...
X-Greylist: Sender passed SPF test, not delayed by milter-greylist-4.5.16
(mx-ext2.workplace.com [IP]); Mon, 22 Jan 2018 21:59:22 +0100 (CET)
Quando arriva la stessa mail su Gmail, questo è il risultato dell'autenticazione:
ARC-Authentication-Results: i=1; mx.google.com;
dkim=neutral (body hash did not verify) [email protected]
header.s=google header.b=PbtXBzel;
spf=pass (google.com: domain of [email protected] designates WorkPlaceIP as
permitted sender) [email protected];
dmarc=fail (p=NONE sp=REJECT dis=NONE) header.from=mydomain.com
...
Received-SPF: pass (google.com: domain of [email protected] designates
WorkPlaceIP as permitted sender) client-ip=WorkPlaceIP;
Authentication-Results: mx.google.com;
dkim=neutral (body hash did not verify) [email protected]
header.s=google header.b=PbtXBzel;
spf=pass (google.com: domain of [email protected] designates WorkPlaceIP as
permitted sender) [email protected];
dmarc=fail (p=NONE sp=REJECT dis=NONE) header.from=mydomain.com
Nota body hash did not verify
e dmarc=fail
.
Il corpo dell'email è vuoto, ad eccezione di alcuni tag HTML. Come ricevuto direttamente da Gmail:
Content-Type: multipart/alternative; boundary="94eb2c0d242e6d935c056363b612"
--94eb2c0d242e6d935c056363b612
Content-Type: text/plain; charset="UTF-8"
--94eb2c0d242e6d935c056363b612
Content-Type: text/html; charset="UTF-8"
<div dir="ltr"><br></div>
--94eb2c0d242e6d935c056363b612--
Come ricevuto da Gmail tramite un'altra email sul posto di lavoro:
Content-Type: multipart/alternative; boundary="f403045f58c6ca3863056363b147"
X-MS-Exchange-Inbox-Rules-Loop: [email protected]
--f403045f58c6ca3863056363b147
Content-Type: text/plain; charset="UTF-8"
--f403045f58c6ca3863056363b147
Content-Type: text/html; charset="UTF-8"
<div dir="ltr"><br></div>
--f403045f58c6ca3863056363b147--
Come ricevuto da Gmail tramite l'email di lavoro non funzionante:
Content-Type: multipart/alternative;
boundary="_000_3b36ca239c7e4763redacted_"
MIME-Version: 1.0
--_000_3b36ca239c7e4763redacted_
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
--_000_3b36ca239c7e4763redacted_
Content-Type: text/html; charset="iso-8859-1"
Content-ID: <[email protected]>
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Diso-8859-=
1">
</head>
<body>
<div dir=3D"ltr"><br>
</div>
</body>
</html>
--_000_3b36ca239c7e4763redacted_--
Quindi workplace.com
sta cambiando non solo il charset
, che non dovrebbe essere un grosso problema a causa della normalizzazione prima del calcolo della firma DKIM; ma anche il corpo introducendo tag HTML extra negli allegati. otherworkplace.com
sembra non farlo.
workplace.com
sembra utilizzare OWA 2013 (e quindi Exchange Server 2013), mentre otherworkplace.com
sembra utilizzare una versione più recente, a giudicare dall'interfaccia utente.
Il mio takeaway è quello
- Potrei chiedere alle persone IT del mio ambiente di lavoro di vedere cosa potrebbe fare il server di Exchange (e magari farli smettere), ma
- Non riesco a controllare tutti i server di Exchange nel mondo, e farmi fare qualcosa di simile nel mio piccolo campione rende questo un probabile problema per colpire in altri posti, non appena le persone inoltrano email dall'indirizzo email di Exchange / OWA.
Quindi, come dovrei riconfigurare le mie impostazioni DMARC per la massima sicurezza, pur mantenendo una compatibilità ragionevolmente elevata?