อีเมลนี้ทำการตรวจสอบค่า SPF หรือไม่

13

ฉันใช้เซิร์ฟเวอร์อีเมลซึ่งดูเหมือนว่าจัดการอีเมลอย่างถูกต้องด้วยชุดค่า SPF - แต่ฉันเริ่มได้รับอีเมลปลอมที่อ้างว่ามาจากธนาคาร - ด้วยชุดที่อยู่จากเป็นธนาคาร - แต่แน่นอนไม่ได้มาจากธนาคาร

ส่วนหัวที่เกี่ยวข้องของอีเมลมีดังนี้:

Delivered-To: me@mydomain.name
Received: from mail.mydomain.org (localhost [127.0.0.1])
    by mail.mydomain.org (Postfix) with ESMTP id AD4BB80D87
    for <user@mydomain.com>; Thu, 13 Oct 2016 20:04:01 +1300 (NZDT)
Received-SPF: none (www.tchile.com: No applicable sender policy available) receiver=mydomain.org; identity=mailfrom; envelope-from="apache@www.tchile.com"; helo=www.tchile.com; client-ip=200.6.122.202
Received: from www.tchile.com (www.tchile.com [200.6.122.202])
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by mail.mydomain.org (Postfix) with ESMTPS id 40F6080B9F
    for <user@mydomain.com>; Thu, 13 Oct 2016 20:03:57 +1300 (NZDT)
Received: from www.tchile.com (localhost.localdomain [127.0.0.1])
    by www.tchile.com (8.13.1/8.13.1) with ESMTP id u9D73sOG017283
    for <user@mydomain.com>; Thu, 13 Oct 2016 04:03:55 -0300
Received: (from apache@localhost)
    by www.tchile.com (8.13.1/8.13.1/Submit) id u9D73smu017280;
    Thu, 13 Oct 2016 04:03:54 -0300
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <201610130703.u9D73smu017280@www.tchile.com>
To: user@mydomain.com
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <noreply@kiwibank.co.nz>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

สิ่งสำคัญที่นี่คือ kiwibank.co.nz เป็นธนาคารที่ถูกต้องตามกฎหมายมีชื่อเสียงที่ฉันมาจากและมีระเบียน SPF ที่อ่าน:

kiwibank.co.nz.     13594   IN  TXT "v=spf1 include:_spf.jadeworld.com ip4:202.174.115.25 ip4:202.126.81.240 ip4:202.12.250.165 ip4:202.12.254.165 ip4:66.231.88.80 include:spf.smtp2go.com include:spf.protection.outlook.com -all"

ดังนั้นหลังจากอ่านเสร็จแล้ว - ดูเหมือนว่า Envolope-From นั้นถูกต้อง แต่ "จาก" ถูกแกล้งทำ มีวิธีใดบ้างที่ฉันสามารถแก้ไข / บรรเทาได้โดยไม่ทำให้อีเมล "ทั่วไป" เสียหาย ฉันทราบว่าฉันใช้ Postfix, Spamassassin และ policyd (postfix-policyd-spf-perl) - และถ้ามันง่ายมากที่จะเลี่ยงผ่านได้จุดของ SPF คืออะไร

postfix  spf 
davidgo
แหล่งที่มา

คำตอบ:

13

ในกรณีนี้พวกเขาอาจพูดกับเซิร์ฟเวอร์ของคุณดังนี้:

EHLO www.tchile.com
MAIL FROM: apache@www.tchile.com 
RCPT TO: user@mydomain.com
DATA
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <201610130703.u9D73smu017280@www.tchile.com>
To: user@mydomain.com
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <noreply@kiwibank.co.nz>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

The contents of mail...
.

บทสนทนา SMTP (หรือที่รู้จักว่า "ซองจดหมาย") สามารถมีตั้งแต่ / ถึงที่แตกต่างจากส่วนหัวอีเมล SPF ไม่ได้ตรวจสอบส่วนหัว แต่เป็นส่วนหัวที่แสดงต่อผู้ใช้จริงเสมอ! ใช่ SMTP นั้นเสีย ใช่ SPF นั้นแตกหัก

คุณจะได้รับบริการที่ดีที่สุดโดยการตรวจสอบ DMARC แทนที่จะตรวจสอบเฉพาะ SPF DMARC โดยค่าเริ่มต้นจะตรวจสอบ SPF แต่จะตรวจสอบการจัดตำแหน่งของจากส่วนหัวด้วย SMTP MAIL FROM (โดเมนจำเป็นต้องตรงกัน - จะไม่สนใจส่วนของชื่อผู้ใช้) เป็นโบนัสคุณสามารถได้รับการสนับสนุนจาก DKIM ซึ่งเป็นภาคผนวกที่มีประโยชน์มากสำหรับ SPF

DMARC จะขึ้นอยู่กับชุดระเบียน DNS TXT ที่ _dmarc.kiwibank.co.nz แต่ในปัจจุบันไม่มี ตามสถานะปัจจุบันของข้อบังคับอินเทอร์เน็ตซึ่งหมายถึงเจ้าของ kiwibank.co.nz ไม่สนใจเลยเกี่ยวกับการป้องกันการปลอมแปลง แต่ในบางระบบอาจบังคับใช้ DMARC สำหรับอีเมลขาเข้าทั้งหมด

kubanczyk
แหล่งที่มา
SPF ไม่แตก เมลเสียเองที่นี่ ซองจดหมายถึง! = ส่วนหัวที่มีเหตุผลที่ดี ซองจดหมายข้ามโดเมนจาก! = ส่วนหัวจากไม่มีเหตุผลที่ดี
joshudson
1
@ Joshu ใช่แล้วใช่ ตัวอย่างเช่นหากฉันตั้งค่า.forwardไฟล์ (หรือการส่งต่ออีเมลอื่น) เพื่อส่งต่อจากบัญชีหนึ่งไปยังอีกบัญชีหนึ่งฉันควรเก็บข้อความว่ามาจากใคร (จากส่วนหัว) และเพื่อแสดงว่าใครเป็นคนใน โปรแกรมรับส่งเมล ฯลฯ แต่การตีกลับใด ๆ ที่เกิดจากการส่งต่อ (ผู้ส่งซองจดหมาย) ควรไปหาฉันไม่ใช่คนที่ส่งข้อความมา แต่แรก เช่นเดียวกับรายการส่งจดหมาย
Derobert
1
@derobert รายชื่อผู้รับจดหมายเป็นสวัสดิการ เมลไคลเอ็นต์ไม่เตือนผู้ใช้เกี่ยวกับของปลอมที่เห็นได้ชัด - เป็นปัญหาใหญ่และไม่มี.forwardการใช้งานที่สามารถพิสูจน์ได้
kubanczyk
นี่เป็นเรื่องเหลือเชื่อ
g33kz0r
2

ดังนั้นหลังจากอ่านเสร็จแล้ว - ดูเหมือนว่า Envolope-From นั้นถูกต้อง แต่ "จาก" ถูกแกล้งทำ มีวิธีใดบ้างที่ฉันสามารถแก้ไข / บรรเทาได้โดยไม่ทำให้อีเมล "ทั่วไป" เสียหาย

การตรวจสอบFromส่วนหัวจะแยกรายชื่อผู้รับจดหมาย:

  1. foo @ yourbank ส่งอีเมลไปที่ bar-picture-sharing-list @ bar

  2. รายชื่อผู้รับจดหมายจะรับจดหมาย

    • แทนที่Envelope-Fromด้วยบางสิ่งที่คล้ายกับ cat-picture-sharing-list-bounce @ bar
    • อาจแก้ไขส่วนหัว Reply-To และ
    • ส่งอีเมลไปยังผู้รับทั้งหมดอีกครั้ง (เช่นคุณ)

ตอนนี้เมลเซิร์ฟเวอร์ของคุณจะได้รับเมลด้วย

Envelope-From: cat-picture-sharing-list-bounce@bar
From: foo@yourBank

ส่งจากเมลเซิร์ฟเวอร์ของบาร์

ฉันทราบว่าฉันใช้ Postfix, Spamassassin และ policyd (postfix-policyd-spf-perl) - และถ้ามันง่ายมากที่จะเลี่ยงผ่านได้จุดของ SPF คืออะไร

  1. ผู้ส่งอีเมลขยะจำนวนมากไม่ต้องการส่งซองจดหมายที่ "ถูกต้อง"
  2. ธนาคารของคุณจะไม่ได้รับbackscatter (ส่วนใหญ่) สำหรับจดหมายขยะนี้เนื่องจาก NDR คือ (หรือ: ควรจะ) ส่งไปยังที่อยู่ซองจดหมายจาก
  3. เกณฑ์การให้คะแนนจากอิงจากซองจดหมายได้รับความน่าเชื่อถือมากขึ้น หากคุณ (หรือผู้ให้คะแนนที่คุณไว้วางใจ) มอบหมายอีเมลทั้งหมดที่มี Envelope-From = ... @ yourbank ให้คะแนนสแปมที่ไม่ดีนักสแปมเมอร์ก็ไม่สามารถละเมิดได้
Heinzi
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.