É possível ignorar os requisitos DKIM da política DMARC simplesmente não usando DKIM ou usando um envelope SMTP com um DKIM válido para o envelope do domínio

Navegue suas respostas
1

Estou certo em dizer que o DMARC não tem como dizer "todos os e-mails devem ser assinados". Meu entendimento aqui é que posso especificar que quero que o DKIM seja laxista ou estrito - o que entendo que significa que, se a mensagem estiver assinada (considere o e-mail enviado de [email protected] ):

  • Lax: está certo que o registro DKIM DNS TXT pertença a um subdomínio ( [email protected] )
  • Estrito: o registro DKIM DNS TXT deve pertencer ao envio exato domínio ( [email protected] )

No entanto, também há e-mails que não têm assinatura DKIM e outros e-mails que podem conter [email protected] no cabeçalho FROM , mas têm um envelope SMTP semelhante a [email protected] e uma assinatura DKIM que é válido para some-mail-sending-service.com , mas não para b.com .

Em ambos os casos acima, estou certo em dizer que ambos são "PASSES" em certo sentido. O exemplo anterior não tem DKIM inválido, então está tudo bem, e o último é na verdade um DKIM aprovado para o envelope, então também é considerado OK?

Se eu tiver uma política DMARC como: 

v=DMARC1;p=reject;rua=mailto:xyz;ruf=mailto:xyz;adkim=s;aspf=s;pct=100;fo=1;sp=reject

Estou certo em dizer que uma parte maliciosa não será rejeitada por motivos relacionados ao DKIM se eles:

  1. Não use nenhum DKIM.
  2. Envie de um servidor de e-mail que use o DKIM com uma assinatura válida e use um envelope SMTP.

Em ambos os casos acima, a política DKIM do DMARC sozinha não faria com que este e-mail fosse bloqueado?

    
por David Goate 11.10.2018 / 10:28

1 resposta

1

Eu acho que você está faltando principalmente o 'alinhamento' que é necessário para obter um e-mail compatível com DMARC. É isso que diferencia o DMARC das técnicas existentes.

Alinhamento significa que o DMARC exige que você configure a autenticação (SPF / DKIM) usando o mesmo domínio * do domínio "De". Você mencionou o alinhamento entre o domínio SPF (Envelope From) e o domínio DKIM, mas isso não se aplica.

Assim, um invasor não pode receber um email para passar DMARC se:

  • use um cabeçalho "De" de sua-empresa.com
  • assine o email com uma assinatura DKIM de aprovação (d = attacker.com)
  • enviar com um Envelope de passagem (/ Return-Path) de attacker.com

*) Usando o modo de alinhamento, você pode especificar se deseja uma correspondência exata (estrita) ou gostaria de permitir a correspondência de um subdomínio (descontraído)

Isso ajuda você e responde sua pergunta?

Atenciosamente,

Michiel

DMARC Analyzer

    
por 12.10.2018 / 09:44

Tags

Impossível configurar o apache para escutar a porta 443 no Ubuntu Como automatizar corretamente o git push para o servidor