DMARC ninguna política sobrescribe la política local

Navega tus respuestas
1

DMARC se utiliza para indicar a los receptores del correo electrónico qué hacer si SPF o DKIM fallan en los correos enviados desde su dominio. Por lo que sé, esto resume bastante bien a DMARC, si esto no es correcto, corríjame.

Mi pregunta: La situación es esta, mydomain.org tiene la política DMARC ninguna (p = ninguna). El servidor de correo de somedomain.org tiene su propia política de rechazar todos los correos electrónicos que fallan en la verificación SPF Entonces, si el servidor de correo de somedomain.org recibe un correo electrónico que falla el chequeo SPF, simplemente lo rechazará. Pero es así, cuando un correo electrónico de mydomain.org se recibe en somedomain.org y falla el chequeo SPF, el servidor de correo rechazará el correo electrónico según la política local o tomará la política DMARC y en realidad solo entregará el correo electrónico ?

En esencia, la pregunta es, ¿no es una política de DMARC p = none ni siquiera menos segura que ninguna DMARC?

Saludos cordiales,

    
pregunta Wealot 25.10.2017 - 10:12
fuente

2 respuestas

1

Los servidores de correo deben usar lo que pones en tu registro DMARC. En su ejemplo, le está diciendo al servidor de correo que usted, como propietario del dominio, está feliz de que sea ignorado, pero está afirmando que ha tomado esa decisión con el registro DMARC.

Algunos servidores de correo podrían decidir qué hacer, pero creo que esto iría en contra del espíritu de DMARC.

Con DMARC, si estuviera configurado, también recibiría estadísticas basadas en los resultados, incluso con DMARC p=none .

    
respondido por el ISMSDEV 25.10.2017 - 10:20
fuente
2

TL; DR: Una política de DMARC de ninguno no significa que el correo deba ser aceptado. Solo significa que no debe rechazarse / ponerse en cuarentena en función de una verificación DMARC fallida. Todavía se puede rechazar en función del error de SPF.

  

DMARC se utiliza para indicar a los destinatarios del correo electrónico qué hacer si SPF o DKIM fallan en los correos enviados desde su dominio.

DMARC no define qué sucede si SPF o DKIM fallan. No importa en absoluto los cheques fallidos. Solo se preocupa por las comprobaciones alineadas con el identificador y las correctas (es decir, el dominio de la verificación debe coincidir con From en el encabezado del correo). DMARC pasa si al menos una de las firmas DKIM alineadas con el identificador o las comprobaciones de SPF pasan y falla de lo contrario. DMARC puede definir que el correo debe rechazarse o ponerse en cuarentena si la comprobación de DMARC falla.

Una política de DMARC de "ninguna" no significa que el correo deba conservarse , solo dice que no se tomará ninguna decisión en función del estado de DMARC. De la RFC 7489 sección 6.3:

  

ninguno: el propietario del dominio no solicita ninguna acción específica.            en cuanto a la entrega de mensajes.

Y el ejemplo en la sección B.2.1 dice más claramente que p=none no debe tratarse como un "pase" sino como "no cambiar el comportamiento existente":

  

Los receptores no deben alterar la forma en que tratan estos mensajes porque         de este registro de política de DMARC ("p = none")

Por lo tanto, p = ninguno no significa aceptar el correo, sino que uno no debe rechazar / poner en cuarentena el correo y, en cambio, puede confiar en otras políticas. Y SPF define su propia política. Un error significa que el correo no se envió desde una IP de origen que se permite enviar. De la sección 2.5.4 de RFC 4408 :

  

2.5.4. Fallo

     

Un resultado "Falla" es una declaración explícita de que el cliente no es
  autorizado para usar el dominio en la identidad dada. La comprobación
  el software puede elegir marcar el correo en función de este o rechazar el
  correo directo .

Aparte de eso, no se requiere que los MTA implementen SPF ni DMARC y pueden implementar SPF sin implementar DMARC y, por lo tanto, rechazan un correo únicamente basado en un error de SPF.

    
respondido por el Steffen Ullrich 25.10.2017 - 10:53
fuente

Lea otras preguntas en las etiquetas

¿Es posible desactivar el escáner de huellas dactilares pero no el botón en el que está encendido? ¿Hay algún dispositivo Wi-Fi a prueba de KRACK [cerrado]