DMARC / SPF / DKIM - reenvíe los correos electrónicos de cuarentena a una dirección de correo electrónico separada

Navega tus respuestas
2

¿Existe alguna forma con DMARC / SPF / DKIM para reenviar todos los correos electrónicos que fallan en DMARC a una dirección de correo electrónico que yo especifique?

Es decir, si alguien intenta falsificar un correo electrónico diciendo que es de mi parte, y falla, me gustaría que ese correo electrónico se envíe a una dirección de correo electrónico que especifique en lugar de a quién lo destinaron.

¿Es eso algo que se puede hacer?

Llevo un mes ejecutando RUF / RUA, con diferentes configuraciones para obtener informes sobre qué servicios de terceros actualizar. Sin embargo, todavía estoy recibiendo algunos intentos de suplantación de identidad de Medio Oriente / Asia. Estoy buscando la posibilidad de que todos los correos electrónicos que fallan en DMARC se envíen a una dirección de correo electrónico específica que yo especifique, en lugar de enviarlos al usuario final (spam) o bloquearlos.

  • Usamos Google Apps para nuestro servidor de correo electrónico.
  • Toda la información del dominio (registros TXT) se almacena en la Ruta 53 en AWS.

De nuestro informe RUF veré una entrada como esta: 

  <record>
    <row>
      <source_ip>45.123.219.46</source_ip>
      <count>14</count>
      <policy_evaluated>
        <disposition>quarantine</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>****.com</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>***.com</domain>
        <result>fail</result>
      </spf>
    </auth_results>
  </record>

En este caso, sería interesante saber qué se estaba enviando.

    
pregunta Ryan Ternier 22.08.2017 - 17:48
fuente

2 respuestas

1

Una búsqueda rápida aparece Informes de fallas de DMARC .

  

La estrategia que recomendamos es publicar primero un registro simple en   modo de monitor (es decir, "p = ninguno") solo para obtener informes agregados. 

_dmarc.example.com IN TXT "v=DMARC1; p=none; pct=100; rua=mailto:[email protected]"
     

Estudie los informes agregados, comprenda su infraestructura de correo,   entender qué pasaría si cambia la política para rechazar,   especialmente cuántos informes de fallas es probable que reciba. Una vez   está seguro, agregue la etiqueta “ruf =” que apunta a un buzón diferente   que la etiqueta rua = apunta a. Si obtiene demasiados informes de fallos, este   no llenará el buzón de informes agregado, por lo que puede mantener su   estadísticas en ejecución. 

_dmarc.example.com IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]"

Tenga en cuenta la advertencia en la parte superior de la sección, aunque con respecto a si realmente desea hacer esto:

  

No hasta que haya leído esta respuesta y se haya asegurado de estar listo para recibir MUCHOS mensajes ...

Editar: He leído mal el wiki, parece que los informes RUF pueden incluir todo el correo electrónico, pero no necesariamente.

Es obvio que el servidor que valida DKIM y SPF decidirá qué hacer en caso de falla, DMARC esencialmente está preguntando a los servidores "podría tratar las fallas de validación de una manera determinada", y RUF pregunta "si falla un correo electrónico validación, ¿podría decirme por qué? ", pero es muy posible que algunos servidores simplemente no se molesten en entregarle un informe, o que el informe no incluya todo lo que desea. Si quieren ignorar tu solicitud, no hay mucho que puedas hacer.

    
respondido por el AndrolGenhald 22.08.2017 - 18:06
fuente
0

¿Está viendo registros DMARC con direcciones maliciosas ? (Estos son el rua= y el ruf= para los informes agregados y completos). Si es así, estaría muy interesado en verlos. No estoy terriblemente preocupado por esto como un vector de ataque, ya que estos informes son triviales de bloquear y los mensajes diseñados para activar un volumen DDoS de informes completos a una víctima así eventualmente podrían poner al atacante en problemas.

El punto central de las direcciones de informes de DMARC es permitir que el propietario (legítimo) del dominio de envío (supuesto) vea quién falsifica su correo, lo que ayuda a identificar servidores legítimos mal configurados (por ejemplo, un afiliado de marketing), así como a falsificación intentos La implementación DMARC no (sana) utiliza p=reject hasta que los informes sugieren que es seguro.

Parece que Google no incluye los resultados de DMARC en sus encabezados de resultados de autenticación, de lo contrario, sería capaz de recopilar y crear su propia copia de informe. Sin embargo, ya te has eludido de tener tu propia infraestructura de correo.

Un filtro como procmail podría escribir una receta como esta: 

:0c
^Authentication-Results: mx\.google\.com;[^A-Z]*dkim=[^p]
! [email protected]

Esto busca el encabezado de resultados de autenticación agregado por mx.google.com y ve si probó DKIM pero no vio una firma válida (que sería dkim=pass ). Si es así, envía una copia a [email protected]. (Haga que la primera línea :0 para evitar la entrega en lugar de copiar el mensaje).

Tenga en cuenta que esto coincide con un error DKIM y no con un error DMARC. Creo que las fallas de DMARC p=reject nunca te hubieran sido entregadas por Google, por lo que probablemente no puedas interceptar los informes.

    
respondido por el Adam Katz 23.08.2017 - 19:02
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la diferencia entre una puerta de enlace API y una puerta de enlace XML? ¿Justificación para las subclaves en OpenPGP?