Анализ отчетов DMARC
Мы не в состоянии понять отчеты DMARC. Ниже тот, который мы получили от Yahoo.
DMARC Отчет
<?xml version="1.0"?>
<feedback>
<report_metadata>
<org_name>Yahoo! Inc.</org_name>
<email>postmaster@dmarc.yahoo.com</email>
<report_id>1519264633.286724</report_id>
<date_range>
<begin>1519171200</begin>
<end>1519257599 </end>
</date_range>
</report_metadata>
<policy_published>
<domain>mydomain.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>198.210.47.11</source_ip>
<count>12</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>mydomain.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>woodersmtp.com</domain>
<result>pass</result>
</dkim>
<spf>
<domain>woodersmtp.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
В этом отчете SPF и DKIM терпят неудачу, но проходят одинаково. Тоже не получается, что это за "woodersmtp.com"? Это не моя область.
В целом, я хочу знать:
Что это за "woodersmtp.com" и почему через него проходят письма от моего домена?
Как я могу убедиться, что SPF и DKIM проходят только для законных писем?
Как узнать заголовки сообщений всех этих неудачных писем?
1 ответ
Это почти наверняка является результатом того, что скомпрометированная учетная запись электронной почты отправила электронное письмо (и негласно поддерживается их механизмами SPF и DKIM), но использовала поддельный заголовок From: в сообщении, предполагая, что сообщение отправлено с вашего домена.
- Вероятно, woodersmtp.com будет невинным доменом со скомпрометированной учетной записью электронной почты, который использовался Spammer для отправки сообщений с использованием домена mydomain.com, подделанного как заголовок From: в полезной нагрузке сообщения.
SPF и DKIM проходят для поддельного сообщения, потому что отправляющий IP-адрес (198.210.47.11) является адресом пропуска для реального отправителя woodersmtp.com, который можно увидеть в записи SPF для этого домена...
v=spf1 +a +mx +ip4:198.210.47.11 ~allи заголовки сообщений не были изменены с момента применения DKIM. Вот почему<auth_results>раздел отчета показывает<result>pass</result>как для DKIM, так и для SPF, поскольку ни один из этих механизмов не пытается коррелировать фактический передающий домен woodersmtp.com с поддельным доменом заголовка "From:" mydomain.com.В то время как сообщается
<policy_evaluated>раздел отчета показывает<dkim>fail</dkim>а также<spf>fail</spf>потому что DMARC признает, что два домена не "выровнены". Конечно, DMARC продолжает разрешать доставку сообщений, потому что распоряжение, опубликованное в вашей политике DMARC для mydomain.com,'p=none'Таким образом, он будет служить для вас только способом сбора информации через механизмы отчетности, которые вы публикуете в записи DMARC. Вы можете изменить расположение на'p=reject'или же'p=quarantine'на практике обеспечить соблюдение политики DMARC.Вы можете попытаться получить очень подробные судебные отчеты, используя
'ruf=mailto:you@mydomain.com;'в вашей записи DMARC. Это может включать заголовки сообщений, которые вы хотите, но имейте в виду, что для промежуточных почтовых серверов будет очень много информации, которая будет накапливаться и отчитываться, и многие провайдеры сочтут это обременительным, поэтому не ожидайте, что Yahoo обязательно предоставит Вы деталь, на которую вы надеялись.Если вы можете получать отчеты судебно-медицинской экспертизы, вам рекомендуется включать их только во время расследования, потому что со временем может появиться много сообщаемой информации, которую лучше использовать
'rua=mailto:you@mydomain.com;'запрашивать сводные отчеты за оставшееся время.
НТН