O Gmail não deve falhar esta mensagem usando o DMARC devido a um mau alinhamento?

Question

O Gmail não deve falhar esta mensagem usando o DMARC devido a um mau alinhamento?

#1 resposta do (1 votos)
#2 resposta do (1 votos)

1

Eu tive uma execução de teste em nosso servidor de e-mail para ver se o cabeçalho De poderia ser falsificado, o que eu esperava falhar. Temos SPF, DKIM e DMARC configurados corretamente, até onde eu sei. No entanto, a seguinte mensagem ainda foi entregue ao Gmail:

Received-SPF: pass (google.com: domain of [email protected] designates 192.254.121.248 as permitted sender) client-ip=192.254.121.248;
Envelope-to: [email protected]
Delivery-date: Tue, 28 Aug 2018 16:18:23 +0000
Date: Tue, 28 Aug 2018 16:17:40 +0000 (UTC)
From: [email protected]
Mime-Version: 1.0
To: [email protected]
Message-ID: <[email protected]>
Content-type: multipart/alternative; boundary="----------=_1535473060-15651-1640"
Subject: Test Email

------------=_1535473060-15651-1640
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=UTF-8

This is a test Spoof email
------------=_1535473060-15651-1640
Content-Type: text/html; charset="UTF-8"
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

<html><body>
<p>This is a test Spoof email</p>

<img src=3D"https://u6327325.ct.sendgrid.net/wf/open?upn=3DNrk2gJgYF-2FJNXx=
3U3HYjEEXjY9Gfjb7cox0Z4e6RjHEZt6qh0p8LoeTIXQa76HCYYj3NDi02ZXXL6LbK93JpA8Jh6=
-2FQv-2FGmvbigv62ioqwJ8g64lpiJsmGybUPYqSphC11ihdXDIx-2FPdze0-2Fl-2FjacR8VYp=
10vUfLnsNm7qfjEjvuIffEmpN9oGqYSNWwlXFoPvLhGRLIms9LP-2Bxzx6YVVfxoL7v5hzO0JNg=
MXPOTg-2BTgoOYhxskJGVdKFgrp9FOrSImbfZtOx-2BbbZn5wWUVsyg-3D-3D" alt=3D"" wid=
th=3D"1" height=3D"1" border=3D"0" style=3D"height:1px !important;width:1px=
 !important;border-width:0 !important;margin-top:0 !important;margin-bottom=
:0 !important;margin-right:0 !important;margin-left:0 !important;padding-to=
p:0 !important;padding-bottom:0 !important;padding-right:0 !important;paddi=
ng-left:0 !important;"/>
</body></html>

------------=_1535473060-15651-1640--

Como você pode ver, os domínios envelope-from e de não correspondem, o que achei que o DMARC falharia e o Gmail rejeitaria. Por que esse e-mail não está sendo rejeitado?

envelope-from: [email protected]

From: [email protected]

EDITAR:

De link :

DMARC uses a concept which is called alignment. This checks if the header-from matches with the envelope-from (SPF) or with the d=domain (DKIM). A DMARC policy requires that either SPF and/or DKIM passes. It does not require both to pass because, if an email has been forwarded, SPF checks will probably fail but DKIM should still pass (if nothing has been altered). However, even if SPF and DKIM both pass, DMARC still fails if the alignment does not match.

email dkim spf dmarc

por Casey Wilkins 18.09.2018 / 16:54

2 respostas

Tags email dkim spf dmarc

Falha no RAID 1 do software Apache Rewrite não funciona

score 1 · Answer 1

Why isn't this mail being rejected?

Em suma: provavelmente porque os clientes pagam serviços de e-mail respeitáveis, como o Sendgrid, por sua capacidade de entregar e-mails com sucesso e eles são muito bons no que fazem ...

De uma perspectiva técnica:

Sendgrid usou seu próprio domínio sendgrid.net no EnvelopeFrom e Return-Path, que em SPF puro faz o SPF sendgrid.net política não se aplica à política SPF do seu próprio domínio.

O Sendgrid também adiciona sua própria assinatura DKIM, que, como define o domínio d=sendgrid.net , não está validando o cabeçalho From: [email protected] , mas ainda adiciona confiança de que a mensagem foi enviada via sendgrid.

Quando nem o SPF nem o DKIM falharem, o Gmail não acionará a política do DMARC para o seu domínio.

If you're a domain owner, you'll first need to configure SPF records and DKIM keys on all outbound email streams. DMARC relies upon these technologies to ensure signature integrity. A message that fails SPF and/or DKIM checks will trigger the DMARC policy (source: https://support.google.com/a/answer/2466580?hl=en)

score 1 · Answer 2

O que me chama a atenção nos cabeçalhos de exemplo é que o Google parece ter pulado a verificação do DMARC para esse e-mail específico. Espero que um "dmarc=" resulte nos cabeçalhos quando o Google detectou um registro DMARC para seu domínio De, isso não está lá.

Seu registro DMARC parece ser válido ao verificar .

É possível que você tenha enviado este exemplo logo após a publicação do registro DMARC? Nesse caso, o Google poderia ter usado um resultado de "registro DMARC ausente" em cache.

Você ainda sente isso? Nesse caso, você poderia enviar cabeçalhos atualizados para um exemplo mais recente?

Além disso, o e-mail falha no DMARC, já que você não usa uma assinatura DKIM de alinhamento e / ou um cabeçalho Return-Path de alinhamento. Consulte a documentação do Sendgrid para obter mais informações sobre como configurar isso na sua conta.

Atenciosamente,

Michiel

DMARC Analyzer