Dovremmo evitare lo spoofing "legittimo" dell'indirizzo "From" o semplicemente ignorare l'errore DMARC

1

Sono in una squadra che costruisce un'applicazione SAAS. Parte dell'applicazione invierà promemoria programmati ai clienti dei nostri clienti. La descrizione del progetto sta chiedendo la possibilità per la nostra app di inviare quelle email di promemoria utilizzando un indirizzo email di scelta del cliente, preferibilmente il proprio dominio, essenzialmente spoofing l'indirizzo email "Da".

Our customers would be businesses using our service to send out reminders "on their behalf" to their companies clients. The expectation is that they would want their clients to think they were sending out the reminders themselves, and not "farming out" the responsibility to a third party. So they would likely want our service to be as invisible as possible. This is in fact how reply.io, grade.us and several others work. They ask you to fill out details and include what email address you want the email to appear as coming from.

Mi sono immediatamente opposto a questa idea essendo stato responsabile di un software di mailing list e affrontato i fallout nel 2014 con Yahoo e la loro politica in materia di DMARC.

Ma mi è stato fatto notare che molti altri servizi, come ad esempio reply.io, lo fanno con i loro clienti. Così ho testato i promemoria e-mail che hanno inviato e scoperto che passano DKIM ma Softfail su SPF e Fail su DMARC. Tuttavia, le e-mail che inviano sembrano ancora passare bene, dopo aver testato l'invio a Gmail, AOl, & Yahoo. Questi servizi menzionano che non dovresti utilizzare un "indirizzo email gratuito come Gmail, Yahoo, ecc." Come email "Da" perché ciò causerebbe il rifiuto delle email.

Ovviamente hanno tutti il tipico messaggio ...

...google.com does not designate 2607:f8b0:400e:c00::233 as permitted sender

Ma hanno anche per SPF

...the domain somedomain.com reports 74.125.83.42 should not be sending mail 
using it's domain name, but is not forbidden from doing so

Quindi avendo trattato recentemente un problema di riconfigurazione su un server in cui la ricerca DNS inversa SMTP stava fallendo insieme a DMARC e SPF e questo stava causando il rifiuto immediato delle e-mail da AOL e Yahoo, non sono completamente chiaro su come i servizi possono ricevere la posta in modo affidabile.

Il malfunzionamento di SPF e DMARC non è così grave? Mi sento di scegliere di mettere su e-mail spoof in questo modo avrà altre conseguenze in futuro.

Alcuni servizi, come reviewtrackers.com, stanno usando sendgrid che lavora duro sull'affidabilità, sembrano evitare questa pratica. Le email da loro arrivano come MY Name <[email protected]> via sendgrid.info e l'email mostra come inviata da email.reviewtrackers.com e firmata da sendgrid.info

Quest'ultimo metodo mi sembrerebbe più trasparente e affidabile, ma un regista nel nostro progetto pensa che potrebbe far sì che l'email non appaia come personale o ignorata perché alcuni potrebbero notare che proviene da una terza parte.

Principalmente voglio davvero sapere se le email di spoofing e semplicemente ignorare il fatto che la DMARC fallirà è considerata una pratica legittima e come potrebbe tornare a perseguitarci.

    
posta skribe 29.07.2017 - 00:15
fonte

1 risposta

1

Semplice e chiaro: l'utilizzo del mio indirizzo di dominio come mittente per la posta che mi mandi ti farà rifiutare. Questo è comunemente fatto dagli spammer, e raramente fatto dal mittente legittimo, specialmente in un invio aziendale. Come indicato in DMARC, SPF, nella nostra configurazione del server di posta e nelle Norme sulla privacy pubblicate, solo i nostri server possono inviare email che richiede di provenire dal nostro dominio. Se non vuoi essere trattato come uno spammer, non comportarti come tale.

GMail, Yahoo e AOL hanno un gran numero di utenti che inviano posta direttamente dai loro computer portatili o altri dispositivi che utilizzano il loro account di posta vocale come mittente. Le loro politiche sono alquanto indulgenti in questo senso. NON fare affidamento sui servizi di posta elettronica per determinare se la posta verrà respinta.

Ho visto rapporti che l'invio di e-mail a questi servizi sta diventando sempre più difficile per mittenti che non rispettano gli standard e le convenzioni stabiliti.

DMARC include politiche di consegna che sono interamente consultive e includono l'azione da non intraprendere con messaggio in errore. È la scelta del dominio di ricezione su cosa fare con i messaggi che non superano la convalida. Non possono applicare la politica richiesta.

Gli errori SPF per i mittenti legittimi sono purtroppo molto comuni. Molti server MX accetteranno e-mail che non hanno SPF, sebbene la posta possa essere archiviata o contrassegnata come SPAM. Sui nostri server gli errori SPF introdurranno un significativo ritardo fino a quando non sarai in grado di inviare il messaggio.

Molti server e-mail di invio sono elencati nelle whitelist pubbliche, il che potrebbe consentire di ignorare alcuni dei controlli sopra riportati. Quali whitelist, se ve ne sono, sono scelte dagli amministratori riceventi. L'amministratore sceglierà anche se eventuali standard e convenzioni possono essere ignorati dai server autorizzati.

Raccomando di utilizzare un indirizzo noreply come "[email protected]" come mittente della busta. L'indirizzo nell'intestazione from dovrebbe essere qualcosa del tipo:

"Your Reminder Service" <[email protected]> 

L'indirizzo "[email protected]" deve essere convalidato come destinatario. È comune il bit bucket della posta in arrivo verso il noreply. È buona prassi analizzare i messaggi di rimbalzo in entrata per identificare quali indirizzi stanno rimbalzando. È necessario interrompere l'invio a indirizzi che vengono rifiutati in modo permanente, nonché a quelli che non hanno accettato la posta per un periodo significativo. (Potrebbero esserci requisiti legali per farlo).

    
risposta data 29.07.2017 - 15:10
fonte

Leggi altre domande sui tag