DMARC: SPF Fail, DKIM Pass, IP-адрес источника: не мой!

8

Это странный:

<record>    
    <row>   
      <source_ip>65.20.0.12</source_ip> 
      <count>2</count>  
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>pass</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>mydomain.co.uk</header_from> 
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>mydomain.co.uk</domain> 
        <result>pass</result>   
      </dkim>   
      <spf> 
        <domain>mydomain.co.uk</domain> 
        <result>fail</result>   
      </spf>    
    </auth_results> 
  </record> 

Я использую комбинацию моих собственных серверов и Google для отправки почты. Исходный IP не является ни моим, ни одним из Google - как, черт возьми, DKIM может пройти?

Отчеты приходят из Yahoo. Похоже, что IP - это почтовый сервер для btinternet.com, которым управляет cpcloud.co.uk (Critical Path Inc.) - я знаю, что в прошлом между ними была какая-то странность с SPF и т. Д. - может ли это быть как-то связано с этим ?

IP только в отчетах Yahoo DMARC. Сроки получения отчетов на 1 день опережают электронные письма, которые были отправлены пользователям btinternet.

Это так просто, как я отправляю электронное письмо на аккаунт bt, оно перенаправляется / перенаправляется / пересылается в Yahoo, и это указывает на ошибку?

nedge2k
источник
1
Не забывайте, что BT Internet передала свои услуги электронной почты Yahoo. Это может объяснить поведение.
Эндрю Лич
Я также вижу эту проблему на некоторых из моих доменов и не уверен, почему cpcloud.co.uk должен прийти в качестве источника. Я задавался вопросом, возможно, они передавали незашифрованный SMTP-трафик от пользователей за домашними широкополосными соединениями BT. К сожалению, большинство поставщиков услуг хостинга электронной почты предоставляют своим клиентам как зашифрованный, так и незашифрованный доступ, в результате чего автоматическое обнаружение устройства / программного обеспечения конечного пользователя или настройки по умолчанию часто выбирают незашифрованную конфигурацию.
richhallstoke

Ответы:

6

Извините, забыл опубликовать разрешение на это!

Так что, как и предполагалось, это была переадресация, но мои правила SPF в DNS были слишком строгими и не позволяли пересылку - следовательно, SPF не удался. Изменение от -все к ~ все отсортировано.

nedge2k
источник
У меня для записи SPF TXT установлено значение ~ all, но я все равно получаю ту же ошибку dmarc от Yahoo. "v = spf1 include: _spf.google.com ~ all"
Сватантра Кумар
5

Две вещи для рассмотрения:

  1. Пересылка электронной почты происходит в интернете. Это может быть случай, когда кто-то запускает собственный сервер @ example.org, но затем пересылает всю электронную почту в Yahoo (в конечном итоге попадает в почтовый ящик @ yahoo.com). Люди делают это постоянно, потому что им больше нравится пользовательский интерфейс конечного пункта назначения или им просто управлять.

  2. DKIM может перенести пересылку, если содержание сообщения остается неизменным. Нет ничего необычного в том, что сообщения DKIM, проходящие через странные места в Интернете, перед тем, как об этом сообщает DMARC.

В вашем примере наличие проходящей через DKIM подписи из неизвестного источника IP является очень сильным сигналом того, что этот ряд данных представляет пересылаемую электронную почту.

Тим Дреген
источник
0

У меня это тоже есть с одним из моих клиентов. У меня есть контроль над почтовым сервером домена (Exchange) (с добавлением DKIM с помощью dkim-exchange) и смарт-хостами (Postfix), и мы получаем одно или два электронных письма в день, которые всегда поступают через сервер 65.20.0.12. Я проверил правила и журналы, и никто внутри не отправляет их сообщения куда-либо, поэтому я могу думать только о том, что это исходящее электронное письмо клиенту / поставщику, который затем перенаправляет сообщения со своей учетной записи BT на свой Yahoo счет, может быть, не зная. В любом случае, я оставляю SPF для домена, как он есть, и позволяю Yahoo перенаправлять электронные письма, как, возможно, таким образом, в конце концов кто-то заметит и спросит меня.

Marco
источник