SPF Record bypassed

2

Acabei de receber um e-mail de [email protected] para [email protected], que foi capturado pelo meu pega-tudo e enviado por e-mail para mim.

Abaixo estão os cabeçalhos para o e-mail que mostram que ele foi enviado de 191.185.233.11, mas de alguma forma através do meu IP do webmail 185.116.214.97

Meu registro SPF é v=spf1 a mx ip4:185.116.214.97 -all , o que deveria funcionar, de modo que, no mundo, isso era possível?

Return-Path: <[email protected]>
Received: from server.primahc.com (server.primahc.com [185.116.214.97])
    by mtaig-mac03.mx.aol.com (Internet Inbound) with ESMTP id 6509B700000A1
    for <[email protected]>; Mon, 30 May 2016 17:54:08 -0400 (EDT)
Received: from ([191.185.233.11]) for <[email protected]> with MailEnable Catch-All Filter; Mon, 30 May 2016 22:54:05 +0100
Received: from bfb9e90b.virtua.com.br ([191.185.233.11]) by primahc.com with MailEnable ESMTP; Mon, 30 May 2016 22:54:04 +0100
Message-ID: <[email protected]>
From: <[email protected]>
To: <[email protected]>
    
por Shivam 31.05.2016 / 00:12

3 respostas

6

Isso significa que o seu MTA não está configurado para rejeitar o correio com base na falha do SPF ou que apenas o faz com o registro _dmarc adequado.

DMARC tem a intenção de concluir SPF registros para definir como tratá-los.

Observe que a validação e a assinatura do DKIM se revelariam uma medida de segurança ainda mais eficaz, embora gere um pouco de sobrecarga por todos os lados.

    
por 31.05.2016 / 00:24
4

O SPF não é uma solução mágica que impeça isso. Em essência, é apenas uma dica para o servidor de e-mail de onde os e-mails supostamente provenientes desse domínio devem ser originados, e um servidor de e-mail pode fazer qualquer coisa entre ignorá-lo, usá-lo como um fator contribuinte em um filtro de spam ou segui-lo a carta. Como o seu servidor de email está configurado para lidar com o SPF?

    
por 31.05.2016 / 00:25
2

Olhando as informações que você postou, seus registros MX e A são ambos 85.116.214.97 , então seu SPF é um pouco exagerado. Você pode simplificá-lo para apenas v=spf1 mx -all

Eu olhei para sua página de contato em seu site, estou supondo que este é o lugar onde o Feedback é enviado? Com base nos cabeçalhos fornecidos, parece que é possível enviar e-mails para outras pessoas por meio da tela "Entre em contato". Se você postar o código para essa seção, poderemos ver se é isso que está sendo abusado.

Eu fiz o seu IP através de um scanner de lista negra - Eles estão limpos, o que é uma boa notícia, muito vezes, se um servidor estiver sendo abusado, você aparecerá em algumas listas.

    
por 31.05.2016 / 14:33