Posso ignorar restrições SPF usando um envelope SMTP FROM com outro domínio que não tenha nenhum registro SPF ou um inválido

1

Considere o registro do DMARC:

v=DMARC1;p=reject;rua=mailto:xyz;ruf=mailto:xyz;adkim=s;aspf=s;pct=100;fo=1;sp=reject

Considere também o domínio example.com com um registro TXT:

v=spf1 include:_spf.google.com -all

Agora, imagine um terceiro envia um email usando FROM [email protected] usando um envelope SMTP com FROM [email protected] ou um caminho de retorno de [email protected] .

Meu entendimento é que agora o servidor SMTP do destinatário validará o SPF usando o registro TXT em mail-sender.com .

Se este registro SPF para mail-sender.com:

  • Não existe
  • está sintaticamente inválido
  • Permite que qualquer IP envie

Meu entendimento é que o registro SPF TXT para example.com é totalmente ignorado e o registro DMARC que "rejeita" e está no modo de alinhamento SPF estrito não não impedirá que essas mensagens sejam entregues com êxito ( Eu acho que estes são considerados um passe de SPF não alinhado).

Essencialmente, estou certo em dizer que não existe tal coisa no SPF & DMARC para dizer "apenas e-mails de IPs explicitamente listados no registro TXT de example.com têm permissão para enviar em nome do meu domínio".

    
por David Goate 11.10.2018 / 11:10

1 resposta

1

Eu acho que você está faltando principalmente o 'alinhamento' que é necessário para obter um e-mail compatível com DMARC. É isso que diferencia o DMARC das técnicas existentes.

Alinhamento significa que o DMARC exige que você configure a autenticação (SPF / DKIM) usando o mesmo domínio * do domínio "De". Você mencionou o alinhamento entre o domínio SPF (Envelope From) e o domínio DKIM, mas isso não se aplica.

No seu exemplo, as mensagens não seriam compatíveis com DMARC, pois não há alinhamento no domínio @ example.com 'From' e no domínio @ mail-sender.com 'Return-Path'. Este exemplo geraria um "Pass" do SPF, no entanto um "Fail" do DMARC.

A declaração sobre o SPF & O DMARC é exatamente o objetivo do DMARC: garantir que a autenticação seja realmente feita usando o domínio 'De' em questão em vez do domínio @ mail-sender.com.

Isso ajuda você?

Atenciosamente,

Michiel

DMARC Analyzer

    
por 12.10.2018 / 09:49

Tags