Verificando a não conformidade com DMARC, 4 Exemplos

2

Nós configuramos o DMARC e recebemos relatórios (a política ainda está definida como "nenhum"). Eu carreguei-os no DMARC XML-to-Human Converter (dmarcian.com) e a maioria parece ótima e 100% de conformidade. Mas recebemos alguns do Google que apareceram como remetentes e alguns deles não tinham conformidade com o DMARC. Quero descobrir se algumas delas são legítimas e as coisas em que precisamos trabalhar, ou se estão corretamente identificadas como não-conformes e seriam rejeitadas se definirmos a política como "rejeitar".

Eu vejo o dmarcian.com como encaminhamento do Gmail / Apps.

No XML, vejo que policy_evaluated mostra uma aprovação / reprovação para DKIM e SPF. Também auth_results mostra um resultado para ambos também. Quais são cada um destes? Por que eles são diferentes às vezes? Não há tag de conformidade geral com o DMARC? Quais indicam a conformidade com o DMARC ... o policy_evaluated?

Nos 3 exemplos abaixo, o source_ip não é o IP do nosso servidor de e-mail para o resto deles. Eu descobri que na verdade é o IP do Google, exceto o Exemplo 4 ..

Exemplo 1 Aqui está um exemplo que parece ruim, certo? falhar, falhar em policy_evaluated. Eu não reconheço o outro domínio, exceto que o gappssmtp.com deve ser o Google Apps, estou supondo.

  <record>
    <row>
      <source_ip>209.85.220.69</source_ip>
      <count>24</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
        <reason>
          <type>local_policy</type>
          <comment>arc=pass</comment>
        </reason>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ourdomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>someotherdomain-com.notourselector.gappssmtp.com</domain>
        <result>pass</result>
        <selector>notourselector</selector>
      </dkim>
      <spf>
        <domain>someotherdomain.com</domain>
        <result>none</result>
      </spf>
    </auth_results>
  </record>

Exemplo 2 Que tal agora? O outro domínio que eu realmente reconheço é o mesmo domínio de alguém com quem enviamos emails atualmente. Isso significa que eles estão tentando enviar como nosso domínio ou o quê? Ou eles enviaram um e-mail que originalmente receberam de nós (explicando porque o DKIM passou). Mas por que isso aparece aqui? Eu vi um outro como este com um domínio diferente que corresponde ao de alguém com quem enviamos um email.

  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>7</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ourdomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ourdomain.com</domain>
        <result>pass</result>
        <selector>ourselector</selector>
      </dkim>
      <spf>
        <domain>someotherdomain.com</domain>
        <result>none</result>
      </spf>
    </auth_results>
  </record>

Exemplo 3

  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
        <reason>
          <type>local_policy</type>
          <comment>arc=pass</comment>
        </reason>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ourdomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ourdomain.com</domain>
        <result>fail</result>
        <selector>ourselector</selector>
      </dkim>
      <spf>
        <domain>gmail.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

Exemplo 4 Descobri que este source_ip está associado ao domínio que aparece no endereço de e-mail de alguém com quem enviamos um e-mail.

<record>
    <row>
      <source_ip>64.239.243.200</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>ourdomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>ourdomain.com</domain>
        <result>pass</result>
        <selector>ourselector</selector>
      </dkim>
      <spf>
        <domain>ourdomain.com</domain>
        <result>neutral</result>
      </spf>
    </auth_results>
  </record>

Qualquer ajuda para digerir estes é muito apreciada!

    
por mikato 14.03.2018 / 23:42

1 resposta

1

Parabéns pela implementação do DMARC. Parece que você está adotando uma abordagem ponderada.

Não é incomum as pessoas usarem endereços de e-mail encaminhados para caixas de correio reais. O Google estará ciente dos servidores de alguns deles e poderá entregá-los à caixa de correio do usuário de qualquer maneira. É provável que isso tenha acontecido com os exemplos 2, 3 e 4. Com o tempo, você verá vários registros que são iguais ao tempo do relatório.

Com base em meus registros, o Google informará um motivo de "encaminhamento" para o correio que ele identificar como encaminhado legitimamente. Outros domínios também podem relatar emails encaminhados como tal, mas não tenho esses relatórios.

Se os usuários tiverem o envio incorreto de e-mails enviados pelo remetente para o spam, há várias opções disponíveis. Este é um caso em que eles podem querer colocar seu domínio na lista de permissões quando receberem o encaminhamento deles. O servidor deve saber que você não está enviando spam se o seu e-mail for refeito repetidamente na caixa de entrada.

Alguns spammers tentam forjar sua identidade apesar do DMARC. Como o DMARC ainda não é implantado com frequência, muitos servidores de e-mail processam e-mails sem referência à sua política. Se eles não limparem as listas de destinatários para remover endereços manipulados por provedores que implementaram o DMARC, você obterá relatórios como o Exemplo 1. (Se você não precisar usar seus servidores autorizados para enviar e-mails de seu domínio, poderá obter relatórios como este.)

No entanto, neste caso, o exemplo 1 parece ter se originado na rede do Google. DNS indica que o endereço IP pertence ao Google. Uma pesquisa whois no domínio indica que seus servidores de nomes estão no domínio "googledomains.com". A adição de um motivo ao registro indica que existe uma política local que permite esse email.

Você pode querer verificar os endereços IP que são relatados em várias listas negras de DNS. Eles também podem ser listados em uma lista de permissões de DNS. Se você armazenar os dados em um banco de dados, poderá automatizar as pesquisas de DNS.

    
por 15.03.2018 / 01:28

Tags