O DMARC Email SPF policy_evaluated e o auth_result têm status inconsistente

Navegue suas respostas
5

Alguns (mas não todos) dos e-mails do nosso serviço são sinalizados como phishing pelo gmail e spam pelo hotmail.

Os e-mails marcados como phishing são enviados de um aplicativo implantado em VMs do EC2 que usam o Amazon SES para fazer o envio real. O aplicativo envia outros e-mails que não são sinalizados (temos 4 tipos de e-mails enviados pelo aplicativo no momento).

Também temos um usuário usando uma conta de troca de MS hospedada na OVH enviando e-mails desse domínio, e é por isso que os registros spf incluem uma nova entrada.

Nós configuramos os seguintes registros no domínio: 

_amazonses.mydomain.com.    1799    IN  TXT "JiAZ9E5gIc7VbPfMI4rYSBGZJeTe3lTF+eigtVUF1fg="
_amazonses.mydomain.com.    1799    IN  TXT "vkSOtQqrtz2frIPg+6SeU7CmCenkTPjjvZdCQe/u0Qk="
_dmarc.mydomain.com.    299 IN  TXT "v=DMARC1\;p=none\;rua=mailto:[email protected]"
2anucjune6cx5dfjwtpg5w7xi5bivkdi._domainkey.mydomain.com. 1799 IN CNAME 2anucjune6cx5dfjwtpg5w7xi5bivkdi.dkim.amazonses.com.
5m7pppm63mxlxz3w3al3juxlgwb4j67m._domainkey.mydomain.com. 1799 IN CNAME 5m7pppm63mxlxz3w3al3juxlgwb4j67m.dkim.amazonses.com.
7tpgaubzvve5ekkq3pyu7rhmrxhgif5f._domainkey.mydomain.com. 1799 IN CNAME 7tpgaubzvve5ekkq3pyu7rhmrxhgif5f.dkim.amazonses.com.
mydomain.com.       299 IN  TXT "v=spf1 a mx include:amazonses.com include:mx.ovh.com ~all"
mydomain.com.       299 IN  SPF "v=spf1 a mx include:amazonses.com include:mx.ovh.com ~all"

Aqui estão os relatórios DMARC que recebemos do google: 

  <record>
    <row>
      <source_ip>54.240.6.219</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>mydomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>mydomain.com</domain>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>eu-west-1.amazonses.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

e aqui está um do hotmail.com 

<record>
  <row>
    <source_ip>54.240.6.212</source_ip>
    <count>1</count>
    <policy_evaluated>
      <disposition>none</disposition>
      <dkim>pass</dkim>
      <spf>fail</spf>
    </policy_evaluated>
  </row>
  <identifiers>
    <header_from>mydomain.com</header_from>
  </identifiers>
  <auth_results>
    <spf>
      <domain>eu-west-1.amazonses.com</domain>
      <result>pass</result>
    </spf>
    <dkim>
      <domain>mydomain.com</domain>
      <result>pass</result>
    </dkim>
  </auth_results>

Como você pode ver, a entrada de SPF para policy_evaluated tem um status fail , mas a lista auth_results como spf pass . O que pode explicar os status incoerentes? Essa incoerência pode ser a origem de nossos e-mails serem sinalizados como phishing / spam?

    
por Jean 12.02.2014 / 17:10

2 respostas

4

Isso parece ser devido a problemas de alinhamento de domínio do DMARC. Conforme indicado pelo relatório, o domínio para o resultado da autenticação SPF foi "eu-west-1.amazonses.com", que não está alinhado com o cabeçalho_de "mydomain.com". Por que o DMARC está avaliando o SPF com o domínio amazonses.com, não sei. Eu tenho o mesmo problema e não descobri como resolvê-lo. Do rascunho do DMARC : 

   Example 3.  This record indicates a single message matching this set
   of data points.  The DMARC disposition for this message was "reject"
   based on DMARC aligned results for SPF and DKIM of "fail" and the
   domain's reject policy.  There was no DKIM signature on this message,
   as in Example 1.  The SPF authentication result was "pass" with a
   MAILFROM domain of "classifiedads.com".  The SPF domain is not
   aligned with the header From domain, causing the DMARC aligned SPF
   result to be "fail".

   <record>
      <row>
         <source_ip>65.61.105.5</source_ip>
         <count>1</count>
         <policy_evaluated>
            <disposition>reject</disposition>
            <dkim>fail</dkim>
            <spf>fail</spf>
            </policy_evaluated>
         </row>
      <identifiers>
         <header_from>facebook.com</header_from>
         </identifiers>
      <auth_results>
         <dkim>
            <domain></domain>
            <result>none</result>
            </dkim>
         <spf>
            <domain>classifiedads.com</domain>
            <result>pass</result>
            </spf>
         </auth_results>
      </record>
    
por 27.02.2014 / 00:00
3

Não é provável que essa seja a causa de suas mensagens serem sinalizadas como phishing / spam. Seu < policy_evaluated > elementos mostram que você está passando DKIM e, portanto, você está passando DMARC como um todo.

the SPF entry for policy_evaluated has a fail status, however the auth_results list spf as being pass. What can explain the incoherent statuses ?

Os auth_results não levam em consideração o alinhamento do identificador enquanto a avaliação geral do DMARC é realizada, razão pela qual os auth_results para SPF podem ser aprovados e os resultados gerais do SPF podem falhar.

Por que o SPF é avaliado contra o domínio amazonses.com e não o seu? Ao contrário do DKIM, o SPF não está validando o nome de domínio em um cabeçalho De (que seria seu domínio). Valida o endereço IP do remetente SMTP. Nesse caso, esse é um endereço IP da Amazon, que passa corretamente pelo SPF.

Referências:

link

link

    
por 19.08.2015 / 23:02

Tags

Como posso abrir várias instâncias da Ferramenta de Recorte no Windows (7)? Eventos Winlogon do Agendador de Tarefas do Windows - logout não é suficiente (?)