Como este email ignorou minhas configurações de SPF?

3

Recebi um e-mail de phishing esta manhã que parecia vir de um dos meus endereços para si próprio.

Olhando para os cabeçalhos, encontrei algo interessante.

DomainKey-Status: no signature
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on
    mydomain.com
X-Spam-Level: 
X-Spam-Status: No, score=-1.0 required=5.0 tests=BAYES_00,HTML_MESSAGE,
    HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,MISSING_MID,SPF_PASS autolearn=no
    version=3.2.5
Received: (qmail 10412 invoked by uid 110); 6 Aug 2012 09:59:17 -0400
Delivered-To: [email protected]
DomainKey-Status: no signature
Received: (qmail 10390 invoked by uid 110); 6 Aug 2012 09:59:17 -0400
Delivered-To: [email protected]
DomainKey-Status: no signature
Received: (qmail 10373 invoked from network); 6 Aug 2012 09:59:15 -0400
Received-SPF: pass (mydomain.com: domain of surewest.com designates 212.61.84.249 as permitted sender) client-ip=212.61.84.249; [email protected]; helo=d84249.iae.nl;
Received: from d84249.iae.nl (212.61.84.249)
  by yetAnotherOfMyDomains.com with SMTP; 6 Aug 2012 09:59:14 -0400
Date: Mon, 6 Aug 2012 14:27:38 +0100
From: <[email protected]>
To: <[email protected]>
Subject: Your Federal Tax Payment ID: 8716780 is failed
X-Mailer: foljo
MIME-Version: 1.0
Content-Type: text/html;
charset=Windows-1252
Content-Transfer-Encoding: 7bit

Ok, então, primeiro, 212.61.84.249 é um IP em Nederlands, e se você visitar o IP você obter uma página de login da LaCie.

Em seguida, o domínio surewest.com é digitalTV / ISP em meados dos EUA.

mas o que me pega é essa linha em particular:

Received-SPF: pass (mydomain.com: domain of surewest.com designates 212.61.84.249 as permitted sender) client-ip=212.61.84.249; [email protected]; helo=d84249.iae.nl

Meu registro SPF está definido corretamente no meu servidor, portanto;

COMO no mundo eles falsificaram um SPF on surewest.com válido para o domínio MY que NÃO está certo?

O que posso fazer para evitar que isso aconteça novamente?

    
por SuperMykEl 06.08.2012 / 17:36

1 resposta

9

Seu registro SPF designa todos no mundo como um remetente permitido:

"v=spf1 mx:... +all"

O +all é a parte importante, + significa "permitido" e all significa "toda a Internet". Eles não precisaram falsificar nada, seu e-mail é válido de acordo com o seu registro SPF. Experimente -all .

    
por 07.08.2012 / 08:20