Hoy recibí un correo electrónico fraudulento que decidí diseccionar. Descubrí rápidamente que se envió desde una dirección de Gmail ( From
, Reply-To
, Return-Path
) pero que el correo en sí vino de Yahoo.
- HELO de Yahoo
- Recibido de los mapas IP tanto hacia adelante como hacia atrás
- El correo tiene una firma DKIM válida para yahoo.com
- El correo electrónico falla GMail SPF porque una IP propiedad de Yahoo no forma parte de él
He canalizado el correo a través de opendkim-testmsg, que me dice que el mensaje está bien.
Estoy realmente confundido por todo esto. Por supuesto, cualquier persona puede firmar técnicamente cualquier correo electrónico usando DKIM para su propio dominio, incluso si no coincide con ninguno de los dominios utilizados en el correo. Pero, ¿por qué Yahoo haría esto? ¿Y por qué OpenDKIM no indica que hay algo de phishy en este correo, a pesar de que el dominio Return-Path y el dominio DKIM no coinciden?
Por solicitud popular, algunos encabezados de correo electrónico. Tenga en cuenta que este correo electrónico ha sido a través de un servicio de lavado de correo corporativo, Exchange y yo eliminamos una gran cantidad de datos de identificación. Sin embargo, la firma DKIM para la parte del encabezado aún coincide. He omitido el cuerpo, pero también se valida.
Received-SPF: softfail (MYMX: transitioning domain of gmail.com does not designate 87.248.110.97 as permitted sender) client-ip=87.248.110.97; [email protected]; helo=sonic302-34.consmr.mail.ir2.yahoo.com;
Received: from sonic302-34.consmr.mail.ir2.yahoo.com ([87.248.110.97])
by MYMX with esmtps (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128)
(envelope-from <[email protected]>)
for MYNAME@MYDOMAIN; Wed, 28 Feb 2018 05:03:02 -0800
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s2048; t=1519822976; bh=35/Syp7oOntp7GfGR2tdK316KBE4uAxZC5lOM//DYjg=; h=Date:From:Reply-To:Subject:References:From:Subject; b=KvnuAmNY1sujXiLsVnNqOJzF3MFxu/jY93zu5QKtbWRy9nMOhomUrZ+398oRwLC0P0RAkCbOj5a2x5JZtrZG4/71RKmHD/ftzOJI2goX2A4KaWrsczH4RsR/kfvpmz0jNRF4nxZONN4a5NKLavt6WPG7yWokVrGh2n/zUZPiFFv8kZL0uNPdIyCC94OiBh0c6GlSRpmTe0GbTQmbDgXZ+8nf7O5kiWpALbpSBHJ22QmdFhLLQWS18xZhl/AwprHFV+txsWtat02ldjYUmoGKhXNmTcWHDLPw7n5uyKXwsaOuX1uXSLzaWUgpnrD/v/FonebJoo1qkcnZoziov6TJmw==
X-YMail-OSG: dOZOfQ0VM1lyzg2OUT1yoveGRURYm6FHV_CU8qWTCRbr8jkKD_gBSwprVT5nSNr
oxL32bI8ge8m_n_BDyDXFKnfZTDdFMGUPxFQt8bl2TLbWIC72.HGgEg6S8trxoSkeYLsPM8tUIhL
XPCdlp3sNlz4quLJyyJznVo55S3vYeLt5fYSOqw2kJtOvf3l.puohOlVCc5WBZO1lp82MLbBi0rq
0tCsbA3xDFW8_3JsxoJGinZ8fn0BBoqUfkfFdGv7UyoM94wlv4_GWYAQwIzicSQsC5od.fBm1lM_
zSZlsV9hfeDUkwDyQiAmFq5rCUJ.3N7Lu9IKZTwnKjWvRFNudXOkEEJwW7Dg0eRNCBx.N2c.52Bi
dfwYepO_0jqL.vF19srHCbj6PrUQjFYiIzaauD.m9IdfE692oG6o9B.w20VkMLmTcxjBKg7NC1pk
6mWavSA7yHndoNrMfcB.liBw3XSLggRvPH60M
Received: from sonic.gate.mail.ne1.yahoo.com by sonic302.consmr.mail.ir2.yahoo.com with HTTP; Wed, 28 Feb 2018 13:02:56 +0000
Date: Wed, 28 Feb 2018 13:02:52 +0000 (UTC)
From: hs <[email protected]>
Reply-To: hs <[email protected]>
Message-ID: <[email protected]>
Subject: MRS.HELEN SOLOMON FUNDS TRANSFER ASSISTANCE.
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
References: <[email protected]>
To: Undisclosed recipients:;
Return-Path: [email protected]
MIME-Version: 1.0