На этот вопрос уже есть ответ здесь:
Я приложил отчет DMARC для мой домен (этот прислан из Google). Он правильно показывает, что только почта, отправленная с моего mta (amazon ses), соответствует требованиям DMARC. И часть DKIM также показывает только почту от моего MTA как проходящую. Большой.
Однако в этом отчете показано несколько хостов, прошедших аутентификацию SPF, и большинство из которых не прошли аутентификацию. Почему / как это возможно? У меня даже в DNS не установлены записи SPF? Неправильно ли я истолковал значение этого отчета? Может кто-нибудь объяснить, что происходит?
importantshtë e rëndësishme të kuptoni se nga cilat adresa mekanizmat e ndryshëm të vërtetimit kontrollohen. Një mesazh me email ka të paktën dy nga adresat - zarfi nga (RFC 5321) dhe kryefjala nga (RFC 5322.) SPF kontrollohet kundër zarfit nga adresa ndërsa DMARC kontrollohet nga titulli nga. Nëse përdorim disa shembuj:
ENV From: whatever@yourdomain.com
HEADER From: whatever@yourdomain.com
Mungesa juaj e një regjistri SPF është një kalim automatik dhe domenet janë të njëjta, kështu që rreshtimi i DMARC SPF do të kalojë.
ENV From: whatever@differentdomain.com
HEADER From: whatever@yourdomain.com
SPF kontrollohet në krahasim me differentdomain.com dhe mund të kalojë ose jo në varësi në rregullat e tyre, dhe DMARC kontrollohet përkundër domenit tuaj, por shtrirja e SPF do të dështojë sepse fushat janë të ndryshme.
DMARC kërkon që rreshtimi i SPF OSE Rreshtimi i DKIM të kalojë. Që rreshtimi i SPF të kalojë domenin ENV From por të jetë i njëjtë me titullin nga domain dhe SPF duhet të kalojë. Që rreshtimi i DKIM të kalojë domenin e specifikuar në atributin d =
të DKIM duhet të përputhet me domenin në kokë nga dhe nënshkrimi DKIM duhet të jetë i vlefshëm.
Nëse adresa juaj është në kokë, ju merrni raportet DMARC, por nëse nuk ishte domeni juaj në zarf, ju mund të shihni rezultatet e SPF për çfarëdo fushe që të ishte. Në secilin rast nëse ishte saktë nënshkruar nga DKIM, ai do të kalojë përsëri DMARC sepse mos harroni, duhet të kalojë vetëm një ose tjetri kontroll i rreshtimit.
Një shembull nga DMARC
raporti:
Pritësi 216.207.245.17
(kërkimi i kundërt na tregon list.digium.com
) dërgon 147 email në emër të domenit tuaj të postës elektronike. Këto posta elektronike kalojnë një kontroll SPF
, por, meqenëse domeni i përdorur për kontrollin SPF
nuk përputhet me domenin tuaj të postës elektronike, ai dështon në lidhje me DMARC
.
Sidomos përcjellësit e emailit / listat e postave sillen në këtë mënyrë. Para shpërndarjes së postës elektronike tek anëtarët e listës, adresa e kërcimit (aka smtp.mailfrom / kthimi-rruga / zarfi nga adresa) rishkruhet, në mënyrë që Raportet e Mos Dorëzimit (NDR)dërgohen përsëri te ofruesi i listës postare dhe jo tek dërguesi origjinal.
Ndërsa adresa NGA
i tregohet marrësit në klientin e postës elektronike, zarfi nga adresa
është i fshehur , por IS përdoret për të kontrolluar SPF në. Kjo është arsyeja pse DMARC është kaq e rëndësishme për të mbrojtur nga phishing, sepse vetëm SPF
(ose DKIM
) nuk vërteton adresën e NGA
marrësit. Mënyra se si sillen zakonisht listat e postave do të dështojë DMARC
vertetimi në SPF
kontroll, sepse shtrirja e rreshtimit midis zarfit nga domeni
dhe domenit FROM
hiqet . Gjithashtu, nganjëherë DKIM
fushat e nënshkruara si temë redaktohen, gjë që prish nënshkrimin origjinal të DKIM.
Kjo është pikërisht arsyeja pse ARC
(Zinxhiri i Autentikuar i Marrë) po krijohet, si një zgjatim i DMARC
. Për fat të keq, ARC
është akoma në fazën e Hartimit.
Pra, nëse shikojmë përsëri në shembullin tonë, ofruesi i listës së postave rishkruan zarfin nga adresa
në (e fshehur) dhe serveri i postës që merr kontrollon domenin list.digium.com
për një rekord SPF
, të cilin e gjen: "v = spf1 a mx ip4: 216.207.245.0/26 ~ të gjitha \ "
. SPF
kalon ( 216.207.245.17
është pjesë e diapazonit 216.207.245.0/26
], DMARC
dështon. Në varësi të veprimit tuaj të politikave DMARC
dhe marrjes së konfigurimit të serverit, emaili mund të shënohet si SPAM, të karantinohet, të refuzohet ose të dorëzohet në Inbox.