DMARC: Falha no SPF, passagem DKIM, IP de origem: não é meu!

8

Essa é estranha:

<record>    
    <row>   
      <source_ip>65.20.0.12</source_ip> 
      <count>2</count>  
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>pass</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>mydomain.co.uk</header_from> 
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>mydomain.co.uk</domain> 
        <result>pass</result>   
      </dkim>   
      <spf> 
        <domain>mydomain.co.uk</domain> 
        <result>fail</result>   
      </spf>    
    </auth_results> 
  </record>

Eu uso uma combinação de meus próprios servidores e o Google para enviar e-mails. O IP de origem não é meu nem do Google - como eles podem passar o DKIM?

Os relatórios são do Yahoo. O IP parece ser um servidor de correio para btinternet.com gerenciado por cpcloud.co.uk (Critical Path Inc.) - eu sei que havia alguma estranheza entre eles no passado com o SPF etc. - poderia ter algo a ver com isso? ?

O IP está apenas nos relatórios do Yahoo DMARC. As datas em que recebo os relatórios são 1 dia antes dos e-mails enviados aos usuários da Internet.

É tão simples como estou enviando um email para uma conta bt, está sendo encaminhado / redirecionado / reenviado para o yahoo e isso está sinalizando a falha?

yahoo  spf  dkim 
nedge2k
fonte
11
Não esqueça que a BT Internet terceirizou o fornecimento de e-mails para o Yahoo. Isso pode explicar o comportamento.
Andrew Leach
Também estou vendo esse mesmo problema em alguns dos meus domínios e não sei por que o cpcloud.co.uk deve aparecer como fonte. Eu me perguntava se talvez eles estivessem proxy de tráfego SMTP não criptografado de usuários atrás de conexões domésticas de banda larga da BT. Infelizmente, a maioria dos provedores de serviços de hospedagem de email permite o acesso criptografado e não criptografado a seus clientes, deixando a detecção automática do dispositivo / software do usuário final ou as configurações padrão, muitas vezes optando pela configuração não criptografada.
richhallstoke

Respostas:

6

Desculpe, esqueci de postar a resolução para isso!

Portanto, era suspeita de encaminhamento, mas minhas regras de SPF no DNS eram muito rígidas e não permitiam o encaminhamento - portanto, o SPF falhou. Mudar de -all para ~ tudo o classificou.

nedge2k
fonte
Eu tenho o registro SPF TXT definido como ~ all, mas ainda estou recebendo o mesmo erro de dmarc do yahoo. "v = spf1 include: _spf.google.com ~ all"
Swatantra Kumar
5

Duas coisas a considerar:

  1. O encaminhamento de email acontece na internet. Pode ser o caso de alguém executando seu próprio servidor @ example.org, mas depois encaminhando todos os emails para o Yahoo (eventualmente chegando a uma caixa de correio @ yahoo.com). As pessoas fazem isso o tempo todo, porque gostam mais da interface do usuário do destino final ou é mais fácil de gerenciar.

  2. O DKIM pode sobreviver ao encaminhamento se o conteúdo da mensagem permanecer intacto. Não é incomum ver mensagens de passagem de DKIM saindo de lugares estranhos na Internet antes de serem denunciadas pelo DMARC.

No seu exemplo, a presença de uma assinatura que passa por DKIM de uma fonte IP desconhecida é um sinal muito forte de que essa linha de dados representa o email encaminhado.

Tim Draegen
fonte
0

Eu tenho isso também com um dos meus clientes. Eu tenho controle do servidor de correio do domínio (Exchange) (com o DKIM sendo adicionado pelo dkim-exchange) e hosts inteligentes (Postfix) e recebemos um ou dois emails por dia, sempre vindo pelo servidor 65.20.0.12. Eu verifiquei regras e logs e ninguém internamente está encaminhando suas mensagens para qualquer lugar, então a única coisa em que consigo pensar é que esse é um email de saída para um cliente / fornecedor que está devolvendo as mensagens da conta BT para o Yahoo conta, talvez sem saber. De qualquer forma, estou deixando o SPF para o domínio como está e deixando o Yahoo devolver os e-mails, pois assim, eventualmente, alguém notará e me perguntará.

Marco
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.