¿Puede una ruta de retorno personalizada hacer que SPF sea redundante?

Navega tus respuestas
1

Entiendo que SPF se puede usar para definir un conjunto de direcciones IP que tienen permiso para enviar correos electrónicos salientes en nombre de un dominio. Si un servidor de correo que no está incluido en el conjunto de direcciones IP permitidas envía un correo electrónico, el servidor receptor podría realizar la búsqueda de registros TXT en el dominio e inspeccionar el registro para ayudar a determinar si debería fallar o fallar un correo electrónico entrante .

Por ejemplo, 

dig my-site.com TXT
"v=spf1 include:_spf.google.com include:servers.mcsv.net -all"

Pensé que este registro básicamente decía "permitir cualquier servidor indicado por el registro TXT que se encuentra en spf.google.com o servers.mcsv.net y fallar en cualquier otra cosa".

Luego encontré esto: enlace

  

¿Necesito SPF? No, Intercom se encarga de eso por ti. Los correos electrónicos enviados desde Intercom incluyen un encabezado de ruta de retorno. Cuando un servidor de correo del destinatario recibe uno de nuestros correos electrónicos y verifica el registro SPF del dominio en nuestra ruta de retorno, verán que nuestras direcciones IP de envío son remitentes autorizados. Esto significa que los correos electrónicos enviados a través de Intercom pasarán la autenticación automáticamente y usted no necesita configurar ningún registro por su cuenta.

Esto me confunde. ¿No significa esto que el intercomunicador en este caso (también cualquier persona en Internet que use la misma técnica) puede enviar un correo electrónico que parece provenir de my-site.com a pesar del hecho de que he usado un registro SPF que supuestamente fallara todo? no está en mi conjunto de direcciones IP en lista blanca? ¿La persona que recibe el correo electrónico no lo vería como "de" [email protected] Y como un pase SPF, aunque la dirección IP del servidor de envío no haya sido una de mis direcciones IP autorizadas?

Tenga en cuenta que también utilizo DKIM y DMARC, pero quiero aislar esta discusión solo al lado SPF de las cosas.

    
pregunta David Goate 21.09.2018 - 10:56
fuente

2 respuestas

1

Cuando hablamos de "De" con respecto al correo electrónico, puede referirse a dos cosas:

  1. El encabezado "De:"
  2. El "Sobre de" que se intercambia entre los servidores de correo electrónico directamente al establecer una conexión.
  3. No tienen que ser iguales.

Cuando su cliente se conecta al servidor para enviar correos electrónicos, aquí hay un intercambio simplificado entre ellos: 

client: HELO client.example.com
server: Hello, client.example.com, nice to meet you
client: MAIL FROM: <[email protected]>
server: Okay
client: RCPT TO: <[email protected]>
server: Okay, go ahead with the message, terminate with a single '.'
client:
From: Junie B. Jones <[email protected]>
Subject: Important discussion

Hello, Claire...
...blah...
...blah...
.
server: Okay, accepted for delivery

Verás más arriba que "De" apareció dos veces: la primera vez como parte de MAIL FROM , y la segunda vez como From: en el cuerpo del mensaje. Solo el primero (llamado "Sobre de" o "Ruta de retorno") es importante en lo que respecta a los servidores de correo; el segundo es principalmente para apariencias. De hecho, puede faltar por completo.

Lo que Intercom está diciendo es que cuando envían un mensaje, lo enviarán así: 

client: HELO foo.intercom.com
server: Hello, foo.intercom.com, nice to meet you
client: MAIL FROM: <[email protected]> # <-- envelope-from
server: OK
client: RCPT TO: <[email protected]>
server: OK, proceed, terminate with a single "."
client: 
From: Junie B. Jones <[email protected]> # <-- cosmetic "From:"
Subject: Mailing from intercom

...blah...
...blah...
.
server: OK, accepted for delivery

Muchos clientes de correo mostrarán esto como " Junie B. Jones < [email protected]> a través de foo.intercom.com " cuando muestre el correo electrónico, para indicar la discrepancia entre el Envelope De y el cosmético de, pero se considera una práctica kosher cuando se trata de correo electrónico.

SPF específicamente solo trata con Sobre-De, e ignora el campo cosmético "De:":

respondido por el mricon 25.09.2018 - 17:50
fuente
1

El encabezado Return-Path representa el comando mail from emitido en SMTP ( RFC 5321 ), también conocido como "remitente del sobre". Sender Policy Framework comprueba solo la información SMTP: el host se identifica con SMTP EHLO o HELO y el remitente del sobre .

El SPF ejecutado por un sistema que no tiene acceso directo a la información SMTP debe extraer el remitente del sobre del encabezado Return-Path y el host HELO del encabezado Received apropiado (o confíe en el Received-SPF header).

Sospecho que su remitente del sobre representa la cuenta que usa para autenticarse con Intercom, lo que significa que pasará el SPF de Intercom pero no estará "alineado" para DMARC ya que no coincide con el dominio de su encabezado From .

Esto significa que aún necesita su propio registro SPF que bendice a los servidores salientes de Intercom (no necesariamente su registro completo; no desea permitir que sus comercializadores, a menos que también sean sus comercializadores). El registro que tienes arriba parece suficiente. Configure un registro DMARC con una clave rua para enviar informes agregados a un buzón dedicado y verá (durante un largo período de tiempo) todo lo que usa su dominio en su encabezado From sin pasar SPF o DKIM, que es alineado con tu dominio.

    
respondido por el Adam Katz 25.09.2018 - 20:19
fuente

Lea otras preguntas en las etiquetas

Autenticación de la aplicación móvil mediante UUID Cómo manejar el cifrado de extremo a extremo [cerrado]