Entrada sospechosa en el informe DMARC

Navega tus respuestas
0

Hace poco me puse en contacto con un proveedor de bibliotecas de desarrollo relacionadas con la seguridad para solicitar una cotización (no las nombraré todavía).

Al día siguiente, Matasellos me envió mi informe semanal de DMARC, y contenía 2 entradas fallidas que se originaron en el dominio de este proveedor, diciendo que tanto SPF como DKIM falló. Esto es lo que dice el informe:

  

Fuentes no confiables (no alineadas)

     

Sin alineación significa que ni DKIM   ni SPF pasan la política de DMARC. Estos mensajes son spam   (Spoofed) o requiere su atención para la autenticación SPF / DKIM.   Es importante monitorear estos correos electrónicos de cerca

¿Este proveedor realmente ha estado intentando falsificar correos electrónicos de nuestro dominio? Quizás algún tipo de sonda de vulnerabilidad?

¿O hay alguna explicación plausible e inocente para estas entradas?

    
pregunta Owen Orwell 27.02.2017 - 21:08
fuente

3 respuestas

2

El informe por matasellos se basa en los informes enviados por los servidores de correo a la dirección de informe configurada en caso de que se considere que un correo viola las políticas DKIM / SPF. Por lo tanto, es muy probable que esto se deba a la violación de la política (es decir, a la suplantación de identidad) pero esta no es la única explicación posible.

Por ejemplo, alguien podría crear un informe de violación de política y enviarlo a la dirección de informe configurada aunque no se haya cometido ninguna violación, es decir, solo para confundir a alguien con informes falsos.

Y, finalmente, un sistema de correo defectuoso en el proveedor con el que ha contactado podría tratar la distribución interna de su correo original o una redistribución del correo como si alguien hubiera intentado falsificar su dominio, e informar de esto como una violación de la política.

    
respondido por el Steffen Ullrich 27.02.2017 - 22:25
fuente
1

Si envió la consulta mediante un formulario web e incluyó su dirección de correo electrónico, el formulario podría haber enviado a alguien dentro de la compañía "de" su dirección de correo electrónico proporcionada, y su servidor podría tener (correctamente) lo trató como una dirección falsificada. He visto tales correos electrónicos "falsificados" (aunque por razones legítimas) anteriormente, aunque no he presenciado los fallos consiguientes de DMARC.

    
respondido por el Joel 03.04.2018 - 05:45
fuente
0

No puedo comentar todavía, pero está pensado para agregar a enlace .

No entiende bien lo que dice el informe: significa que sus sistemas consideran que su correo electrónico fue enviado desde un servidor no válido o con una firma DKIM no válida.

Personalmente, me he causado este problema al limpiar los encabezados de los correos electrónicos salientes, lo cual (me di cuenta de la manera más difícil) sucedía después de la firma DKIM.

Esto significaba que todos los DKIM estaban fallando, y dieron como resultado una interesante variedad de informes de DMARC.

Si tiene sentido, dada su configuración de correo, para hacerlo, envíe un correo electrónico a un gran proveedor que también tenga verificación DMARC (google, hotmail, yahoo, probablemente una tonelada más) y vea si se obtienen los mismos resultados. .

Otra posibilidad, por su parte, es que su servidor de correo tenga una vista de DNS limitada (es decir, solo dominios internos), lo que significa que no puede recuperar información válida de DKIM y / o SPF (este podría ser el caso si tienen un DMARC). validando el servidor detrás de un servidor de correo de "front-end" que realiza, por ejemplo, el filtrado).

Una cosa, sin embargo: esto puede significar que su solicitud está en sus filtros de spam. Lo que significa que es posible que deba considerar otros medios para ponerse en contacto.

    
respondido por el iwaseatenbyagrue 27.02.2017 - 23:58
fuente

Lea otras preguntas en las etiquetas

¿El desbordamiento de búfer se aplica solo a los arreglos? ¿Una estructura de directorio desconocida se considera seguridad por oscuridad? [duplicar]