DMARC - compreendendo relatórios agregados

8

TL; DR
Recebo muitos comentários do DMARC de contas / sites com os quais não tenho contato e quero esclarecer se devo tomar alguma providência ou se esses relatórios de feedback são informativos sobre problemas sérios?

Eu executo um servidor WHM e uso SPF e DKIM (e _DMARC), todos os emails são enviados do mesmo servidor de domínio.

Um exemplo de configuração de DNS para meu _DMARC (e DKIM e SPF):

mydomain.co.uk     14400 IN TXT "v=spf1 mx a ip4:11.22.33.44 ip4:11.22.33.55 ~all"

default._domainkey 14400 IN TXT "v=DKIM1; k=rsa; p=<code>;

_dmarc             14400 IN TXT "v=DMARC1; p=quarantine; sp=none; 
                                rua=mailto:[email protected]!90m; 
                                ruf=mailto:[email protected]; 
                                rf=afrf; pct=100; ri=86400"

e até onde eu sei, isso está configurado e funciona conforme o esperado.

no entanto, recebo várias mensagens automáticas de vários domínios da Internet, que nada têm a ver com o meu domínio. Eu sou a única pessoa que usa e-mails do meu domínio, ninguém mais está enviando e-mails do meu domínio.

Por exemplo, nesta manhã, recebi um relatório agregado do DMARC da Comcast informando:

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
    <version>1.0</version>
    <report_metadata>
        <org_name>comcast.net</org_name>
        <email>[email protected]</email>
        <report_id>v1-1483425166-mydomain.co.uk</report_id>
        <date_range>
            <begin>1483315200</begin>
            <end>1483401600</end>
        </date_range>
    </report_metadata>
    <policy_published>
        <domain>mydomain.co.uk</domain>
        <adkim>r</adkim>
        <aspf>r</aspf>
        <p>quarantine</p>
        <sp>none</sp>
        <pct>100</pct>
        <fo>0</fo>
    </policy_published>
    <record>
        <row>
            <source_ip>72.167.218.164</source_ip>
            <count>1</count>
            <policy_evaluated>
                <disposition>none</disposition>
                <dkim>fail</dkim>
                <spf>fail</spf>
            </policy_evaluated>
        </row>
        <identifiers>
            <header_from>mydomain.co.uk</header_from>
        </identifiers>
        <auth_results>
            <spf>
                <domain>bounce.secureserver.net</domain>
                <scope>mfrom</scope>
                <result>pass</result>
            </spf>
        </auth_results>
    </record>
</feedback>

Não, eu não reconheço nenhum dos detalhes estabelecidos aqui, além do meu domínio, o endereço IP cedido <source_ip>não é o meu endereço IP e não estou ciente de ter qualquer contato com a Comcast.

Basicamente, recebo muitos avisos e não consigo encontrar nenhum feedback para me dizer se são apenas informativos e podem ser esquecidos (nesse caso, qual é o sentido deles?) Ou se posso fazer algo com meu servidor para melhorar as falhas que o aviso me informa.

TÃO:

  • Esses relatórios são algo que pode ser adotado?
  • Como relatórios DMARC como esses devem ser analisados ​​no meu final?
  • Esses relatórios são indicadores de qualquer forma de comprometimento da conta
  • o número desses relatórios pode [potencialmente] refletir mal sobre o meu nome de domínio para o restante da 'web'?

Pode ser interessante notar que eu suspeito que a resposta para as duas últimas balas seja "Não", mas não sou especialista nisso.


Eu já li este post , bem como as Perguntas frequentes do DMARC e este tópico , mas não há muita informação. sobre como devemos reagir a relatórios agregados. Estou ciente de que os relatórios DMARC "com falha" podem ser causados ​​por programas de encaminhamento de email, embora eu espere negar essa possibilidade com meu SPF ~all.

No geral, acho que não preciso me preocupar com esses relatórios, mas gostaria de ter uma segunda opinião devido ao que considero regularidade e ( acho ) um número relativamente significativo de relatórios agregados que estou recebendo.

Martin
fonte

Respostas:

6

Esses relatórios são algo que pode ser adotado?

Sim, mas esperamos que a maioria das informações confirme que tudo está bem com sua configuração.

Como relatórios DMARC como esses devem ser analisados ​​no meu final?

Normalmente, esses relatórios seriam processados ​​por um sistema automatizado que transforma esses dados em relatórios bonitos, com gráficos, estatísticas e questões que requerem atenção. Se você ainda não viu esse tipo de sistema, talvez deva visitar o dmarcian.com, que fornece um serviço básico gratuito que o ajudaria a começar e entender o que você pode ou não fazer ou ver. Para que isso funcione, você teria que usar um endereço de e-mail fornecido por você no seu registro DMARC.

Esses relatórios são indicadores de qualquer forma de comprometimento da conta?

Não, são apenas relatórios de todas as atividades de servidores compatíveis com DMARC que processaram mensagens que alegam ser do seu nome de domínio, basicamente dizendo que receberam uma mensagem, de onde veio e o que fizeram com ela e por quê.

O número desses relatórios pode / potencialmente refletir mal no meu nome de domínio para o resto da web?

Não, esses relatórios são enviados apenas para o endereço de e-mail fornecido no registro DMARC e não são publicados na web. O único potencial real de um impacto negativo é se você configurar seu SPF e / ou DKIM errado e acabar recebendo muitas mensagens rejeitadas / bloqueadas, mas, pelo menos com o DMARC, você saberia sobre isso.

richhallstoke
fonte
Obrigado pela garantia lá. Desde então, tenho uma conta (gratuita) configurada, dmarcian.commas não sabia imediatamente imediatamente por que isso seria benéfico, mas acho que resume os dados de feedback que os relatórios me fornecem.
Martin
11
É mais fácil para os olhos, especialmente quando a quantidade de dados nos relatórios e a frequência de recebimento deles podem ser significativas. Os relatórios do DMARC são projetados para serem processados ​​por computadores, a interface dmarcian.com foi projetada para ser lida por humanos. Você sempre pode criar sua própria solução de processamento automático se não for um fã da interface dmarcian.com. Também existem outros que você poderia explorar, mas esse é o único gratuito que eu conheço. Espero que isto ajude.
precisa saber é o seguinte
2

Como resposta ao seu exemplo: Muitas falhas do DMARC podem ser rastreadas até as listas de encaminhamento e correspondência, por exemplo, com o Google Groups for Business. No entanto, no relatório, ele nos mostra que o email foi enviado de um host, parte do secureserver.net. O SPF foi verificado no caminho de retorno bounce.secureserver.nete passado.

Provavelmente, essa foi uma mensagem de devolução do serviço SMTP anti-SPAM ou de entrada, enviada de volta ao remetente do email original, que tentou enviar um email. A devolução será enviada em seu nome com um caminho de retorno alterado. SecureServer.net faz parte do GoDaddy, você está hospedando no GoDaddy ou afiliado?

Como resposta à sua declaração:

Estou ciente de que os relatórios DMARC "com falha" podem ser causados ​​por programas de encaminhamento de email, embora eu espere negar essa possibilidade com meu SPF ~all.

O DMARC avaliará apenas como aprovado se as verificações de SPF ou DKIM resultarem em um passe, alinhado ao seu Fromdomínio de endereço. Portanto, não tenho certeza do que você quer dizer com isso ~allnega o problema.

Os encaminhadores geralmente reescrevem return-pathpara o seu próprio endereço de devolução, fazendo com que falhe o alinhamento com o domínio de origem. O protocolo ARC ainda está em rascunho, mas deve negar esse problema de encaminhamento para o alinhamento do SPF com o DMARC para encaminhadores confiáveis. Além disso, as assinaturas DKIM geralmente permanecem intactas, a menos que os campos assinados sejam modificados pelo encaminhador. Portanto, o DMARC ainda pode passar com base no DKIM.

Uma última coisa:

Na sua política DMARC, você publica uma sp=nonepolítica para todos os subdomínios, que de outra forma herdariam a p=quarantinepolítica. Isso resulta em que alguém que deseja fraudar seu domínio pode simplesmente escolher qualquer subdomínio a ser usado, por exemplo app.mydomain.co.uk. Talvez essa seja uma configuração desejada, mas eu só queria salientar.

Reinto
fonte