Recebimento de relatórios do DMARC para e-mails que não são enviados

4

Estou hospedando o e-mail do meu domínio (vamos chamá-lo example.com) no google apps (edição legada gratuita). Recentemente, ativei os relatórios do DMARC, e agora recebo um relatório diário dos e-mails enviados do meu domínio.

Meu problema é que às vezes recebo relatórios do google.com de e-mails enviados do meu domínio com spf e dkim com um valor de aprovação. Isso significa que os e-mails foram realmente enviados e assinados a partir da minha conta do Google Apps e não é alguém que finge ser minha conta. No entanto, não consigo encontrar esses e-mails enviados em nenhuma das pastas de itens enviados de nenhuma das minhas contas.

A verificação dos registros de IP das páginas de segurança do Google não indica nenhuma atividade suspeita de IP.

Existe alguma maneira de os servidores de e-mail do google.com enviarem relatórios do DMARC para um e-mail que não enviei? Ou eu tenho um vírus que pode de alguma forma estar enviando informações da sessão no meu navegador e, em seguida, excluí-lo da pasta de itens enviados?

Também devo mencionar que, como não estou enviando muitos e-mails dessa conta, esses relatórios não são exibidos todos os dias e, quando isso acontece, geralmente eu posso corresponder aos e-mails enviados com o relatório. Hoje, embora eu não pudesse, como eu não enviei e-mails do Gmail

O relatório DMARC de hoje segue com meu domínio alterado para example.com. O nome do arquivo de relatório era google.com!example.com!1452384000!1452470399.xml . Você notará um registro especificando o e-mail enviado pela amazonses.com. Esse email foi legal e foi enviado por mim. Mas o outro registro com source_ip de 2607: f8b0: 4003: c06 :: 248 não foi enviado por mim.

Alguém pode explicar o que estou vendo?

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>[email protected]</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>9818071788624937284</report_id>
    <date_range>
      <begin>1452384000</begin>
      <end>1452470399</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>example.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>54.240.6.222</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>pass</result>
      </dkim>
      <dkim>
        <domain>amazonses.com</domain>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>eu-west-1.amazonses.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>2607:f8b0:4003:c06::248</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>example.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>

O registro spf é "v=spf1 include:_spf.google.com include:amazonses.com ~all" , já que eu também envio e-mail através de amazonses.

O registro DMARC é "v=DMARC1; p=none; pct=100; sp=none; rua=mailto:[email protected];"

    
por DorAga 11.01.2016 / 16:22

2 respostas

5

Eu finalmente descobri porque estava vendo esses relatórios do DMARC sobre emails devidamente assinados enviados do meu domínio.

Como mencionei na pergunta, meu registro DMARC foi "v=DMARC1; p=none; pct=100; sp=none; rua=mailto:[email protected];"

Por padrão, os aplicativos do Google não entregam e-mails enviados para [email protected] para nenhuma das suas caixas de correio. Para receber esses e-mails, tive que criar um grupo com o mesmo nome e me adicionar como membro desse grupo. Esta etapa de configuração é explicada nesta página de ajuda do Google Apps .

No entanto, acontece que o e-mail encaminhado pelo grupo para minha caixa de correio foi contado como um e-mail enviado do meu domínio, o que significa que também recebi um relatório do DMARC para ele. Isso criou um ciclo de feedback, por isso recebi um relatório do DMARC todos os dias porque um relatório do DMARC foi encaminhado no dia anterior.

Depois de criar uma nova conta chamada [email protected] para aceitar os e-mails do DMARC e alterar meus registros de DNS para "v=DMARC1; p=none; pct=100; sp=none; rua=mailto:[email protected];" , o problema desapareceu.

    
por 08.02.2016 / 11:43
1

O DKIM é para validar o servidor que envia o email. Embora eu não tenha tocado muito com ele, pelo que entendi, você pode ter um servidor de e-mail em example.net usando sua própria assinatura DKIM para enviar e-mails para example.com. Por exemplo, eu uso o Google Apps para domínio sem um registro DKIM para esse serviço, mas ele ainda passa o DKIM com os resultados, como from=example-com.123456789.gappssmtp.com; dkim=pass (ok)

Com base no registro SPF, suspeitei que um servidor que usasse um de seus serviços e seu próprio DKIM passasse pelo DMARC e, como eu imaginei, 2607: f8b0: 4003: c06 :: 248 é de propriedade da Google e tem rDNS de mail-oi0-x248.google.com.

Dito isto, você tem certeza de que não é quem está enviando esse e-mail? Talvez gerado a partir de algum outro serviço ou servidor que você usa? Caramba, o Google poderia incluir o e-mail de relatório agregado que envia para você?

    
por 13.01.2016 / 23:59