Dmarc: ¿Por qué tengo dkim = fail, spf = fail y result = pass

2

He configurado mi empresa dmarc. Está en modo de prueba y regularmente recibo informes. Algunos me parecen extraños y me gustaría entender. Por ejemplo, recibí un informe con SPF y dkim falló, pero el resultado se aprobó. Me gustaría ir en prod. Pero no estoy realmente seguro porque el resultado parece impredecible: aquí hay una muestra del registro xml.

<record>
    <row>
        <source_ip>1.2.3.4</source_ip>
        <count>1</count>
        <policy_evaluated>
            <disposition>none</disposition>
            <dkim>fail</dkim>
            <spf>fail</spf>
        </policy_evaluated>
    </row>
    <identifiers>
        <header_from>mydomain.com</header_from>
    </identifiers>
    <auth_results>
        <spf>
            <domain>otherdomain.com</domain>
            <result>pass</result>
        </spf>
    </auth_results>
</record>

Mi IP 1.2.3.4 envió un correo electrónico con el from header equal mydomain.com al dominio otherdomain.com.

otherdomain.com considera que este correo electrónico tiene un dmarc válido.

Aquí está mi configuración:

<policy_published>
   <domain>mydomain.com</domain>
   <adkim>r</adkim>
   <aspf>r</aspf>
   <p>none</p>
   <sp>none</sp>
   <pct>100</pct>
</policy_published>

Mi registro SPF: mydomain.com text = "v=spf1 ip4:1.2.3.4 ip4:1.2.3.5 ip4:1.2.3.5 ip4:1.2.3.6 ip4:1.2.3.7 ip4:1.2.3.8 ip4:1.2.3.9 ip4:1.2.3.10 ip4:1.2.3.11 include:mydomain.com include:subdomain.mydomain.com -all"

¿Por qué es esto? No entiendo por qué está pasando. ¿Puede alguien explicármelo, por favor?

    
pregunta dmx 09.10.2017 - 10:14
fuente

1 respuesta

2

TL; TR: alguien envía un correo con el sobre SMTP de otherdomain.com pero el encabezado de correo de mydomain.com. Desde que se pasó la comprobación de SPF para otherdomain.com, podría haber sido alguien de otherdomain.com que intentó falsificar al remitente a mydomain.com.

<identifiers>
    <header_from>mydomain.com</header_from>
</identifiers>

Esto significa que el De del correo muestra mydomain.com como el dominio del remitente. Este es el dominio esperado en los registros SPF y DKIM para la alineación de identificadores.

<auth_results>
    <spf>
        <domain>otherdomain.com</domain>
        <result>pass</result>
    </spf>

Este es un registro SPF exitoso. El éxito de este registro solo se ve en relación con la especificación SPF y no en el contexto de DMARC como se puede ver en RFC 7489 Apéndice C :

<!-- This element contains DKIM and SPF results, uninterpreted
    with respect to DMARC. -->
<xs:complexType name="AuthResultType">

Solo la dirección de correo electrónico en el cuadro de diálogo SMTP ("sobre SMTP") usado otherdomain.com. Dado que otherdomain.com no es mydomain.com, la alineación del identificador falla y por lo tanto:

    <policy_evaluated>
        ...
        <spf>fail</spf>
    </policy_evaluated>

policy_evaluated es el resultado basado en DMARC como se puede ver en la especificación:

<!-- Taking into account everything else in the record,
     the results of applying DMARC. -->
<xs:complexType name="PolicyEvaluatedType">
    
respondido por el Steffen Ullrich 09.10.2017 - 12:48
fuente

Lea otras preguntas en las etiquetas