TL; DR
Recebo muitos comentários do DMARC de contas / sites com os quais não tenho contato e quero esclarecer se devo tomar alguma providência ou se esses relatórios de feedback são informativos sobre problemas sérios?
Eu executo um servidor WHM e uso SPF e DKIM (e _DMARC), todos os emails são enviados do mesmo servidor de domínio.
Um exemplo de configuração de DNS para meu _DMARC (e DKIM e SPF):
mydomain.co.uk 14400 IN TXT "v=spf1 mx a ip4:11.22.33.44 ip4:11.22.33.55 ~all"
default._domainkey 14400 IN TXT "v=DKIM1; k=rsa; p=<code>;
_dmarc 14400 IN TXT "v=DMARC1; p=quarantine; sp=none;
rua=mailto:[email protected]!90m;
ruf=mailto:[email protected];
rf=afrf; pct=100; ri=86400"
e até onde eu sei, isso está configurado e funciona conforme o esperado.
no entanto, recebo várias mensagens automáticas de vários domínios da Internet, que nada têm a ver com o meu domínio. Eu sou a única pessoa que usa e-mails do meu domínio, ninguém mais está enviando e-mails do meu domínio.
Por exemplo, nesta manhã, recebi um relatório agregado do DMARC da Comcast informando:
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<version>1.0</version>
<report_metadata>
<org_name>comcast.net</org_name>
<email>[email protected]</email>
<report_id>v1-1483425166-mydomain.co.uk</report_id>
<date_range>
<begin>1483315200</begin>
<end>1483401600</end>
</date_range>
</report_metadata>
<policy_published>
<domain>mydomain.co.uk</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>quarantine</p>
<sp>none</sp>
<pct>100</pct>
<fo>0</fo>
</policy_published>
<record>
<row>
<source_ip>72.167.218.164</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>mydomain.co.uk</header_from>
</identifiers>
<auth_results>
<spf>
<domain>bounce.secureserver.net</domain>
<scope>mfrom</scope>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
Não, eu não reconheço nenhum dos detalhes estabelecidos aqui, além do meu domínio, o endereço IP cedido <source_ip>
não é o meu endereço IP e não estou ciente de ter qualquer contato com a Comcast.
Basicamente, recebo muitos avisos e não consigo encontrar nenhum feedback para me dizer se são apenas informativos e podem ser esquecidos (nesse caso, qual é o sentido deles?) Ou se posso fazer algo com meu servidor para melhorar as falhas que o aviso me informa.
TÃO:
- Esses relatórios são algo que pode ser adotado?
- Como relatórios DMARC como esses devem ser analisados no meu final?
- Esses relatórios são indicadores de qualquer forma de comprometimento da conta
- o número desses relatórios pode [potencialmente] refletir mal sobre o meu nome de domínio para o restante da 'web'?
Pode ser interessante notar que eu suspeito que a resposta para as duas últimas balas seja "Não", mas não sou especialista nisso.
Eu já li este post , bem como as Perguntas frequentes do DMARC e este tópico , mas não há muita informação. sobre como devemos reagir a relatórios agregados. Estou ciente de que os relatórios DMARC "com falha" podem ser causados por programas de encaminhamento de email, embora eu espere negar essa possibilidade com meu SPF ~all
.
No geral, acho que não preciso me preocupar com esses relatórios, mas gostaria de ter uma segunda opinião devido ao que considero regularidade e ( acho ) um número relativamente significativo de relatórios agregados que estou recebendo.
dmarcian.com
mas não sabia imediatamente imediatamente por que isso seria benéfico, mas acho que resume os dados de feedback que os relatórios me fornecem.Como resposta ao seu exemplo: Muitas falhas do DMARC podem ser rastreadas até as listas de encaminhamento e correspondência, por exemplo, com o Google Groups for Business. No entanto, no relatório, ele nos mostra que o email foi enviado de um host, parte do secureserver.net. O SPF foi verificado no caminho de retorno
bounce.secureserver.net
e passado.Provavelmente, essa foi uma mensagem de devolução do serviço SMTP anti-SPAM ou de entrada, enviada de volta ao remetente do email original, que tentou enviar um email. A devolução será enviada em seu nome com um caminho de retorno alterado. SecureServer.net faz parte do GoDaddy, você está hospedando no GoDaddy ou afiliado?
Como resposta à sua declaração:
O DMARC avaliará apenas como aprovado se as verificações de SPF ou DKIM resultarem em um passe, alinhado ao seu
From
domínio de endereço. Portanto, não tenho certeza do que você quer dizer com isso~all
nega o problema.Os encaminhadores geralmente reescrevem
return-path
para o seu próprio endereço de devolução, fazendo com que falhe o alinhamento com o domínio de origem. O protocolo ARC ainda está em rascunho, mas deve negar esse problema de encaminhamento para o alinhamento do SPF com o DMARC para encaminhadores confiáveis. Além disso, as assinaturas DKIM geralmente permanecem intactas, a menos que os campos assinados sejam modificados pelo encaminhador. Portanto, o DMARC ainda pode passar com base no DKIM.Uma última coisa:
Na sua política DMARC, você publica uma
sp=none
política para todos os subdomínios, que de outra forma herdariam ap=quarantine
política. Isso resulta em que alguém que deseja fraudar seu domínio pode simplesmente escolher qualquer subdomínio a ser usado, por exemploapp.mydomain.co.uk
. Talvez essa seja uma configuração desejada, mas eu só queria salientar.fonte
Você pode analisar e exibir relatórios DMARC através destas ferramentas:
Consulte também https://dmarc.org/resources/deployment-tools/ , a seção "Análise e exibição de relatórios".
fonte