Alinhamento de DMARC: Impor mensagens passam BOTH SPF e DKIM

4

Existe uma maneira de forçar o DMARC a falhar / rejeitar e-mails que não passem tanto pelo DKIM quanto pelo SPF?

Estamos estreitando o número que está falhando, mas há alguns domínios em nosso relatório agregado (rua) que estão passando apenas pelo DKIM e preferimos que eles falhem em nosso DMARC porque não os reconhecemos.

Os domínios que reconhecemos são totalmente alinhados.

Nosso objetivo final é que, a menos que esteja totalmente alinhado (DKIM E SPF), a mensagem será rejeitada

    
por Noah Hall-Potvin 31.10.2016 / 20:34

3 respostas

3

Sob as hipóteses básicas que sustentam o DMARC, ninguém deve ser capaz de passar qualquer um teste DKIM ou SPF como seu domínio, a menos que o e-mail seja proveniente de um servidor que você controla. Um passe para qualquer um dos dois é suficiente para confirmar isso.

Assim, não há como forçar o DMARC a exigir o passe, e não deve haver razão para isso.

Se terceiros puderem passar os testes DKIM como você e você não os autorizar, você terá um problema de segurança e isso é o que precisa corrigir.

Primeiro, verifique se você não cometeu um erro ao interpretar os relatórios que está vendo. Eles são assinados DKIM, mas com um domínio que não é seu? Se assim for, não há nada que você precise fazer. Mas se os e-mails não autorizados por você forem assinados com o domínio seu , isso indica que você está fazendo algo errado.

Passos a serem tomados:

  • Gere uma nova chave DKIM, comece a assinar com ela e remova as referências à chave antiga de seus registros DNS (deixando os antigos registros DNS que permitirão que a chave antiga continue sendo usada).
  • Mantenha a parte privada da sua chave DKIM segura. Por padrão, ele deve estar oculto para todos, exceto para root no seu servidor. Mantenha assim.
  • Verifique se você não está assinando e-mails provenientes de fontes não confiáveis. Você deve estar adicionando apenas assinaturas DKIM ao e-mail originado com você e seus usuários.

    Se estiver usando o OpenDKIM, isso é controlado pela opção InternalHosts, e você também deve certificar-se de não reexecutar o OpenDKIM após passar o e-mail através de um filtro ou proxy local que possa parecer que o e-mail foi originado internamente.

por 08.11.2017 / 00:01
2

O DMARC está funcionando conforme projetado; se pelo menos um dos SPF ou DKIM passar (e estiver alinhado), a mensagem passa pelo DMARC e é entregue. Muito provavelmente, as mensagens que estão falhando SPF, mas passando DKIM (assinatura válida e alinhada) são mensagens que foram encaminhadas. (As mensagens encaminhadas falharão no SPF, enquanto uma assinatura DKIM poderá sobreviver ao encaminhamento.)

    
por 08.10.2018 / 18:12
1

Não, o DMARC foi projetado para exigir apenas o DKIM + ADKIM ou o SPF + ASPF para aprovação.

Não há necessidade de exigir ambos.

Acho difícil entender como o DKIM passa no teste de alinhamento, se a chave d = não corresponder à de então falhará no teste ADKIM.

Veja como os identificadores devem coincidir aqui: Identificadores de e-mail do DMARC

Mesmo que você não tenha especificado o adkim em seu registro DMARC, o padrão será "Relaxado", que ainda não se alinharia.

    
por 02.11.2016 / 14:44

Tags