0

我们无法理解 DMARC 报告。下面是我们从雅虎得到的。

DMARC 报告

<?xml version="1.0"?>   
<feedback>  
  <report_metadata> 
    <org_name>Yahoo! Inc.</org_name>    
    <email>postmaster@dmarc.yahoo.com</email>   
    <report_id>1519264633.286724</report_id>    
    <date_range>    
      <begin>1519171200</begin> 
      <end>1519257599 </end>    
    </date_range>   
  </report_metadata>    
  <policy_published>    
    <domain>mydomain.com</domain>   
    <adkim>r</adkim>    
    <aspf>r</aspf>  
    <p>none</p> 
    <pct>100</pct>  
  </policy_published>   
  <record>  
    <row>   
      <source_ip>198.210.47.11</source_ip>  
      <count>12</count> 
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>fail</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>mydomain.com</header_from>   
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>woodersmtp.com</domain> 
        <result>pass</result>   
      </dkim>   
      <spf> 
        <domain>woodersmtp.com</domain> 
        <result>pass</result>   
      </spf>    
    </auth_results> 
  </record>

在本报告中,SPF 和 DKIM 失败但同样通过。也没有得到,这是什么“woodersmtp.com”?这不是我的域。

总的来说,我想知道:

  1. 这些“woodersmtp.com”是什么以及为什么来自我域的电子邮件会通过它?

  2. 如何确保 SPF 和 DKIM 仅通过合法电子邮件?

  3. 如何找出所有这些失败电子邮件的邮件标题?

4

1 回答 1

5

这几乎可以肯定是由于电子邮件帐户遭到入侵(并且SPF 和 DKIM 机制无意支持)但在邮件中使用了伪造的 From: 标头,表明该邮件是从您的域发送的。

  1. woodersmtp.com可能是一个带有被盗电子邮件帐户的无辜域,垃圾邮件发送者使用它来发送带有您的mydomain.com域的消息,该域被伪造为消息有效负载中的“发件人:”标头。

  2. SPFDKIM 正在传递伪造的消息,因为发送 IP 地址 ( 198.210.47.11 ) 是真实发件人woodersmtp.com的正确地址,可以在该域的 SPF 记录中看到...v=spf1 +a +mx +ip4:198.210.47.11 ~all和消息自应用 DKIM 以来,标题尚未更改。这就是为什么<auth_results>报告部分显示 <result>pass</result>DKIM 和 SPF 的原因,因为这些机制都没有尝试将实际发送域woodersmtp.com与伪造的“From:”标头域mydomain.com相关联。

    而报告的报告<policy_evaluated>部分显示<dkim>fail</dkim>并且<spf>fail</spf>因为DMARC 确实认识到这两个域没有“对齐”。当然DMARC继续允许传递消息,因为您在 mydomain.com 的 DMARC 政策中发布的处置是'p=none',因此只会作为您通过您在 DMARC 记录中发布的报告机制来监督信息的一种方法。您可以将处置更改为'p=reject''p=quarantine'实际执行 DMARC 政策。

  3. 您可以尝试'ruf=mailto:you@mydomain.com;'在 DMARC 记录中使用非常详细的取证报告。这可能包括您想要的邮件标题,但请记住,这将是中间邮件服务器积累和报告的大量信息,许多提供商会认为这很繁重,所以不要指望雅虎一定会提供你希望的细节。

    如果您能够获得取证级别的报告,建议您仅在调查期间启用它们,因为随着时间的推移可能会有大量报告信息,最好'rua=mailto:you@mydomain.com;'用于在其余时间请求汇总报告。

高温高压

于 2018-05-23T18:16:26.757 回答