Регистрация Войти
Рейтинг:3
avatar Server

Как это электронное письмо проходит DMARC?

флаг in
Lawrence Wagerfield

Сегодня мы получили поддельное электронное письмо: оно было отправлено нам «от нас». (Предположим, что мы владеем foo.com -- реальный домен отредактирован.)

введите описание изображения здесь

Это настораживает, поскольку отображается как «с foo.com», но отправитель определенно не с «foo.com».

Почтовый ящик «[email protected]» — это группа Google, настроенная так, чтобы любой мог «публиковать сообщения» (т. е. люди в Интернете могли отправлять на него сообщения, как на обычный почтовый ящик), но просматривать эти «сообщения» (т. е. полученные электронные письма).

У нас настроены DMARC (p=reject), DKIM и SPF.

Наш DNS:

TXT foo.com "v=spf1 include:_spf.google.com include:helpscoutemail.com ~все"

TXT _dmarc.foo.com "v=DMARC1; p=reject; rua=mailto:[email protected];ruf=mailto:[email protected]; pct=100; aspf=r; adkim=r;"

TXT google._domainkey.foo.com "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0B..."

Заголовки сообщения:

Кому доставлено: [email protected]
Получено: к 2002 году: ad4: 552d: 0: 0: 0: 0: 0 с идентификатором SMTP ba13csp6199730qvb;
        вс, 12 декабря 2021 г., 09:14:44 -08:00 (PST)
X-Received: by 2002:a05:6102:a46:: с идентификатором SMTP i6mr23802281vss.19.1639329284522;
        вс, 12 декабря 2021 г., 09:14:44 -08:00 (PST)
ARC-уплотнение: i=3; а=rsa-sha256; т=1639329284; резюме = пройти;
        д=google.com; с=дуга-20160816;
        b=WReYbvjEI4p+IYx6Y3fT/N5jiaEEA60C4t/3utW/afsQbsrWaMMeWv51lxVOb/HvIx
         oLaSaK6Hskbjeo9rUnYYIlZent9ME4Gf/1tfyVXC+YTRBsBEWHCKr064RzBS9X8Lur2C
         Mo++Fm16blzUIgR8wZoq54WwY7ZK6POjEOXWqUqvKsJOk6GyrAgxza2DrKJsOYCFBu2G
         wzH+gfyx7HwCSNzcd+u18ByLyzXLs1vPW7/T5ztP5v+02QHLTG2snvrrW8TwWpGtDLt3
         zU8oGksIchluHiQwYS056Prsa7/4rHng9D9QNIP6AjlamZejEAlAZjlbajLt4xM17Ozn
         Xt8A==
Подпись сообщения ARC: i=3; а=rsa-sha256; c=расслабленный/расслабленный; д=google.com; с=дуга-20160816;
        h=list-unsubscribe:list-archive:list-help:list-post:list-id
         :список рассылки:приоритет:ответить на:кому:идентификатор сообщения:тема:дата
         :mime-версия:от:контент-передача-кодирование:dkim-подпись;
        bh=4ht9G50SlYlr7BTCuy+KjNotHQlLEXbSKghIYlF3TI=;
        b=qHESIMBiX+DsyurBJ3jkT1tBYiQGFfvjr57xoDFsgoF/KhZNtVfb1JjwT/klZN/Phu
         NoXTTYULEP9j64ynhf6ug1ACwgUqoFieD3fsMpBhO6PrnwjxxU/E8c8TH2eJNR5/SiQm
         9k9/PCH1Vr48EjXGwfBCDV18bkwCyZnYfBGHoskl3EM0WeTIoA3x8s8EGUc4+TSRXUhq
         +tA+2fbTJlofwk5z0Oga5fICZVcPeKPTWSltaXuuUOgpViq9JWbVkWx7+HonhJxzzMw0
         o7LcUhOXfQHutnKRs/Xpaa73AwDgT30QtEn0T1JBnl2Vl9RjH9+nhdWxHjQ0QLdEDPB3
         Xkdw==
ARC-Аутентификация-Результаты: i=3; mx.google.com;
       dkim=pass [email protected] header.s=20210112 header.b=pcMriXR7;
       arc=pass (i=2 spf=pass spfdomain=icloud.com dkim=pass dkdomain=icloud.com dmarc=pass fromdomain=icloud.com);
       spf=pass (google.com: домен [email protected] обозначает 209.85.220.69 в качестве разрешенного отправителя) [email protected];
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=foo.com
Возвратный путь: <[email protected]>
Получено: от mail-sor-f69.google.com (mail-sor-f69.google.com. [209.85.220.69])
        от mx.google.com с идентификатором SMTPS v33sor3392168uad.28.2021.12.12.09.14.44
        для <[email protected]>
        (безопасность транспорта Google);
        вс, 12 декабря 2021 г., 09:14:44 -08:00 (PST)
Received-SPF: pass (google.com: домен [email protected] назначает 209.85.220.69 разрешенным отправителем) client-ip=209.85.220.69;
Результаты аутентификации: mx.google.com;
       dkim=pass [email protected] header.s=20210112 header.b=pcMriXR7;
       arc=pass (i=2 spf=pass spfdomain=icloud.com dkim=pass dkdomain=icloud.com dmarc=pass fromdomain=icloud.com);
       spf=pass (google.com: домен [email protected] обозначает 209.85.220.69 в качестве разрешенного отправителя) [email protected];
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=foo.com
ARC-уплотнение: i=2; а=rsa-sha256; т=1639329284; резюме = пройти;
        д=google.com; с=дуга-20160816;
        b=A2s3aYE1vCQIscDH9RsEl6k0DGqxlZiSGi1iQgz57BP+AWIVt5X9b7nyraOJ8F6DPL
         tga5EsK1KrNHLURbQTBSO+pyg862afsmkhS/VFD3sBxSj6hhnc4oCpVJ3rPUWVxSE5IB
         z4NH0ujDotd4dBNBReOSLfetWC0BeyV6nvHfENuJM+PcpR2vO42O3zWARnvq0wtqZYPd
         eBbEJcfX5V6dGi7K9a5I4s+Hrz4V5VNQO8772L+lDQyRdthazJiKgKmB+jX+rztxflIM
         r9efmFXPwO8t3LVtqOzPFfQJqQiMJ9en62O4ZUwbdKxdLzx8Iw9BLVVm0SkDFpXIQTod
         lU2Q==
Подпись сообщения ARC: i=2; а=rsa-sha256; c=расслабленный/расслабленный; д=google.com; с=дуга-20160816;
        h=list-unsubscribe:list-archive:list-help:list-post:list-id
         :список рассылки:приоритет:ответить на:кому:идентификатор сообщения:тема:дата
         :mime-версия:от:контент-передача-кодирование:dkim-подпись;
        bh=4ht9G50SlYlr7BTCuy+KjNotHQlLEXbSKghIYlF3TI=;
        b=fXMcTPuKuu1Ahb/4kHcUPsbwEnwqaLpheL7AOFtyzp7FKfdBOERXZFdf1zCbmSX7S1
         Gi3D/zlXgcSAmHFUj1eOeuZwaUp3IWo2pkQiN5aMJ9oLlWaEbC/JLsthY8uh0zUSIuX/
         +Wdwjdpy1ZglE49PhkqGrFEr8ND1O/m8ETTHF1M9LhzWwR1c42MM3N17hUFMHcF4x6oz
         nq8M+JQy0V+Foz5AKXPRJGedCgpwGGBcRgoMW+xn/UaSgH1TgHiK82cL6Xy3ScisHeLo
         Wadb7qdxrMKrpn2H5ZvH0rq2VEvTNrLfrxKqO79a4WoohanhBf9Y/5eUckK2pm4nrHNC
         ДВхг==
ARC-Аутентификация-Результаты: i=2; mx.google.com;
       dkim=pass [email protected] header.s=1a1hai header.b=Jw3cDWAa;
       spf=pass (google.com: домен [email protected] обозначает 17.58.63.180 в качестве разрешенного отправителя) [email protected];
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=icloud.com
DKIM-подпись: v=1; а=rsa-sha256; c=расслабленный/расслабленный;
        d=foo-com.20210112.gappssmtp.com; с=20210112;
        h = Content-Transfer-Encoding: from: mime-version: date: subject: message-id
         :to:x-оригинальный-отправитель:x-оригинальные-результаты-аутентификации:ответить-кому
         :precedence:список рассылки:id-списка:список-сообщение:список-помощь:список-архив
         : список-отписаться;
        bh=4ht9G50SlYlr7BTCuy+KjNotHQlLEXbSKghIYlF3TI=;
        b=pcMriXR70y9+xfVEs+8AoajJ0xymE3UTgGyG2NmKWWjdf05SzeYGX8w1GX3rVZ1hG+
         QGcKfhU2Ra9bmXS2sAz2g8iDtWvnoTj+TDFnMs9OWFWSLRLr/wqDqSKnQGrCUr2Y/k/f
         Q9j7R5eV2nwkYa1XIRAAJaanwMw/y5uDSv04a7bf4itRHQWv3sBD0YaK7KW9X3/UhUOC
         5sKMmmK44qVb3NMkOQdureAtqPhUthfkVfQJElPAAUh1LtMy7lyS1g1KqGcUzm1D2Way
         wI6UkGWu9smajIb7O2SPVCCOPPCurlGWKD9eC6xdz9Av1qZZlMIyn+eNJDSik9JnG7/w
         аФив==
X-Google-DKIM-подпись: v=1; а=rsa-sha256; c=расслабленный/расслабленный;
        d=1e100.net; с=20210112;
        h = x-gm-message-state: content-transfer-encoding: from: mime-version: date
         :тема:идентификатор сообщения:кому:х-исходный-отправитель
         :x-оригинальные-результаты-аутентификации:ответ-на:приоритет:список-рассылки
         :list-id:x-spam-checked-in-group:list-post:list-help:list-archive
         : список-отписаться;
        bh=4ht9G50SlYlr7BTCuy+KjNotHQlLEXbSKghIYlF3TI=;
        b=AwA9C6EysiLXrTEGUbzx+5vqODTMTskz7zHz2xe1quctysAvVhk58jn1xx322hfhh1
         yqXDXN/aE2MZwMrS++nikbt7lAJZfoNdpV8rKMgc0lb98yXjnd4n3tidH68eVp0cTVE2
         ИеКвиГклВ95rwOCQXuooqAKzN9/UJwGtH3C/NYZQnZQrGcFuIe5L5f5taRW/lby9IBN
         5u+rTEBn1UaNjDAVX13MbSpN6hjMGNmr1GaFiFSmnBeMBIH0pOzT3+UIR16Sza5unglm
         vkGD5OxPZGdH+fujwjjqrwjvmZSA1k9AhEvujR8B4FpgxGCreExueBMJcmWatPeSpmBO
         fjEA==
X-Gm-Message-State: AOAM531eWx5fz9pqU8qZS4uNtUeKxraKEAR9y1v6gcqUG3XiMb0qBByI FhppMXUtlC8OQUQYY5dXRcAfUe4+
Источник X-Google-Smtp: ABdhPJxynnRydm4JBkMLYoGgqV5RwhkwWcH4Z4w/ljLx6E0GPOqp9cSaCwpFSv4oC456afPUA5CYQA==
X-Received: by 2002:ab0:c10:: с SMTP id a16mr37954454uak.51.1639329284212;
        вс, 12 декабря 2021 г., 09:14:44 -08:00 (PST)
X-BeenThere: [email protected]
Получено: к 2002:a05:6102:2454:: с SMTP id g20ls4382592vss.4.gmail; вс, 12 декабря 2021 г., 09:14:43 -08:00 (PST)
X-получено: к 2002 году: a05:6102:508c:: с SMTP-идентификатором bl12mr23055020vsb.73.1639329283746;
        вс, 12 декабря 2021 г., 09:14:43 -08:00 (PST)
ARC-уплотнение: i=1; а=rsa-sha256; т=1639329283; резюме = нет;
        д=google.com; с=дуга-20160816;
        b=0ToKjpZRQyjPknycN2z3IfIE1Iv7fkhCJbCVUn129k6GVlQVRq7t1xSCqEXMUpWfbb
         vdYNomuAczbfJOR/0o4gBaiPYM4l2L8A8BgUcx2LW26PPeMg1OKO6xexmcO0Qu79Vp+4
         23N3Alz3gRrG44HSkGQ13CwkukROblWgUMZ72U4nO30y0w38NZk4y1aPTPhV+TuFDWsY
         RLSYc3eLKdExhzkmnEgtyDKI/kHLZ++mgu4aFbK6SB4b8uB6v4onz7ONR+/BTGVwcnIs
         pOC6Xv6GwfBXu839bAhi94H83xV7QD5NFWuh0gMm445CzVz09zeesh89Qxcm/U/fKKI0
         6jbw==
Подпись сообщения ARC: i=1; а=rsa-sha256; c=расслабленный/расслабленный; д=google.com; с=дуга-20160816;
        h=to:ID-сообщения:тема:дата:MIME-версия:от
         :content-transfer-encoding:dkim-signature;
        bh=4ht9G50SlYlr7BTCuy+KjNotHQlLEXbSKghIYlF3TI=;
        b=VMzdwjpJVsJyaKxFawsaBAj83gW8hSdi5iOxGMCrQaQ39h5lkhZAM/cc4rtc3RbAt3
         ZmpKTQ0Pdgb+MgpaIOT6X5szReSt7ZVMNsjsKOe2tkfhaC94azGx4H1MdopSdDnPqZoB
         wvlUU3H16eWofWXcgKNj236adKuN0x3rzeTAKCCjNjwNfoOOg5H5Y//pTOtqHc+A3XQjP
         HsGhTohABGTAy68aVCBeHeh/2R5NRy+KuI7ipqkcwO6uPpnue4mMP7B6JtGjDOaiDJXs
         7wZ/G3p4fuJPCSeQWuPD6YzK+0dg3cw5GpNQHLib70Q6g41Ws70727llGEc0Ef89B+o/
         z8BQ==
ARC-Аутентификация-Результаты: i=1; mx.google.com;
       dkim=pass [email protected] header.s=1a1hai header.b=Jw3cDWAa;
       spf=pass (google.com: домен [email protected] обозначает 17.58.63.180 в качестве разрешенного отправителя) [email protected];
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=icloud.com
Получено: от st43p00im-zteg10073501.me.com (st43p00im-zteg10073501.me.com. [17.58.63.180])
        от mx.google.com с идентификатором ESMTPS x11si6141232vss.670.2021.12.12.09.14.43
        для <[email protected]>
        (версия = TLS1_3, шифр = TLS_AES_256_GCM_SHA384, биты = 256/256);
        вс, 12 декабря 2021 г., 09:14:43 -08:00 (PST)
Received-SPF: pass (google.com: домен [email protected] обозначает 17.58.63.180 в качестве разрешенного отправителя) client-ip=17.58.63.180;
Получено: от smtpclient.apple (49.sub-174-209-97.myvzw.com [174.209.97.49]) от st43p00im-zteg10073501.me.com (Postfix) с идентификатором ESMTPSA 49D5FAE07BE для <[email protected]>; Вс, 12 декабря 2021 г., 17:14:42 +0000 (UTC)
Content-Type: текстовый/обычный; кодировка = us-ascii
Контент-передача-кодирование: 7 бит
От кого: «Спамер через Hello» <[email protected]>
Mime-версия: 1.0 (1.0)
Дата: Вс, 12 декабря 2021 г., 12:14:40 -05:00
Тема: Помогаю тому, что у меня уже есть!
Идентификатор сообщения: <[email protected]>
Кому: [email protected]
X-Mailer: iPhone Mail (19B74)
X-Proofpoint-Virus-Version: поставщик = fsecure engine = 1.1.170-22c6f66c430a71ce266a39bfe25bc2903e8d5c8f: 6.0.425, 18.0.790, 17.11.62.513.0000000, определения = 2021-12-12-12_06, 2081-12081_00 12_06,2021-12-02_01 подписей=0
X-Proofpoint-Spam-Details: правило = политика защиты от спама = оценка по умолчанию = 0 phishscore = 0 mlxscore = 0 malwarescore = 0 clxscore = 1011 spamscore = 0 Adultscore = 0 bulkscore = 0 подозрительная оценка = 0 mlxlogscore = 485 classifier = настройка спама = 0 причина = mlx scancount = 1 двигатель = 8.12.0-2009150000 определения = main-2112120106
X-Оригинал-Отправитель: [email protected]
X-Original-Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=1a1hai header.b=Jw3cDWAa;
       spf=pass (google.com: домен [email protected] обозначает 17.58.63.180 в качестве разрешенного отправителя) [email protected];
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=icloud.com
X-Original-From: The Spammer <[email protected]>
Ответить: спамеру <[email protected]>
Приоритет: список
Список рассылки: list [email protected]; свяжитесь с [email protected]
Идентификатор списка: <hello.foo.com>
X-Spam-Checked-In-Group: [email protected]
Идентификатор X-группы Google: 138202709934
Список-сообщение: <https://groups.google.com/a/foo.com/group/hello/post>, <mailto:[email protected]>
Список-справка: <https://support.google.com/a/foo.com/bin/topic.py?topic=25838>, <mailto:[email protected]>
Список-архив: <https://groups.google.com/a/foo.com/group/hello/>
List-Unsubscribe: <mailto:[email protected]>, <https://groups.google.com/a/foo.com/group/hello/subscribe>



отправлено из моего Айфона

Почему это письмо разрешено?

Дело в том, что icloud.com (SMTP-сервер отправителя) не соблюдает DMARC, поэтому принимает электронную почту, затем пересылает на gmail, а gmail предполагает, что icloud.com выполнил первоначальные проверки DMARC, поэтому не беспокоится? (Извините, я очень зеленый в этой области.).

537
0 + 0
Paul avatar
флаг cn
Paul
Похоже, для icloud.com должен быть заголовок DKIM. На первый взгляд, мне интересно, правильно ли вы предоставили заголовки и в том порядке, в котором они прибыли в сообщении.
0
Ответить
флаг in
Lawrence Wagerfield
Заголовки и тело были скопированы из веб-интерфейса GMail (когда вы нажимаете «Просмотреть оригинал» в сообщении) — нет никакого изменения порядка или упущений (по крайней мере, я сделал). Однако я заменил «mycompany.com» на «foo.com», а также «Имя спамера» на «Спамер».
0
Ответить
Paul avatar
флаг cn
Paul
Почему есть куча заголовков списка групп Google и сообщение, исходящее от `gappssmtp.com`? Это было отправлено через какой-то список?
0
Ответить
флаг in
Lawrence Wagerfield
Адрес электронной почты [email protected] предназначен для группы Google. Тем не менее, группа используется просто как общий почтовый ящик для коллег — любой человек в Интернете может отправлять электронные письма _в_ нее (как в обычный почтовый ящик), но только члены организации «foo.com» получают их.
0
Ответить
Paul avatar
флаг cn
Paul
Надеюсь, кто-то, кто лучше разбирается в этих услугах или может потратить больше времени на просмотр заголовков, может прокомментировать или ответить. Я не понимаю, почему заголовок DKIM `icloud.com` отсутствует, но это может быть частью спуфинга или каким-то образом частью того, как эта служба обычно работает, и я ничего не знаю о группах Google или почему это хорошо. Идея сделать его по умолчанию отправителем для вашей организации. Обратите внимание, что ARC является экспериментальным, и IIRC включает некоторые операторы MAY.
1
Ответить
Рейтинг:3
avatar Server
флаг cn
shearn89

Не претендую на звание эксперта в этом, но страницы IETF для X-Оригинал-От заголовок, кажется, подразумевает, что это ожидаемое поведение при отправке электронной почты в список рассылки Google Apps.

В настоящее время Google Apps реализует «псевдонимы» в виде групп Google (это верно уже несколько лет, до этого были отдельные псевдонимы и группы). Из-за этого адрес [email protected], который перенаправляет на внутренних пользователей или внешний инструмент CRM (salesforce), будет получать переписанное групповое сообщение. Эти сообщения не будут проходить DKIM из-за перезаписи, поэтому, если они из домена DMARC p=REJECT/QUARANTINE, такого как yahoo.com, заголовок from будет переписан в имя группы ([email protected]) а x-original-from будет первоначальным отправителем.

Вы проверили Страницы Google DMARC чтобы узнать, помогут ли вам шаги по устранению неполадок?

Учитывая, что спамер отправляет сообщения с адреса iCloud, можете ли вы обновить политику для блокировки на основе этого адреса? X-Оригинал-От заголовок?

РЕДАКТИРОВАТЬ: перечитывая вопрос, я не думаю, что это быть подделанным - я думаю, что Google Apps переписывает адрес "от" намеренно / поведение по умолчанию. Тестировали ли вы отправку электронной почты в почтовый ящик с адреса электронной почты, не относящегося к домену (например, с одноразовой учетной записи hotmail или аналогичной)? У вас такое же поведение?

0 + 0
флаг in
Lawrence Wagerfield
Когда я отправляю электронное письмо в почтовый ящик с адреса электронной почты, не относящегося к домену, адрес электронной почты отправителя находится внутри шевронов «» в заголовке «От:», а не «[email protected]». Это означает, что это не поведение, которое применяется к обычной входящей электронной почте: этот конкретный отправитель, похоже, сделал что-то другое, чтобы _наш_ адрес электронной почты был адресом отправителя.
0
Ответить
флаг cn
shearn89
Хорошо, но это по-прежнему звучит как ожидаемое поведение согласно страницам IETF, потому что почта спамера помечается как `dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=icloud.com`.
0
Ответить
флаг in
Lawrence Wagerfield
Ре. шаги по устранению неполадок: при чтении страницы кажется, что это общее руководство по настройке DMARC, а не какие-либо шаги, которые мы могли пропустить при настройке нашей учетной записи Gmail. Согласно записям TXT в исходном вопросе, мы считаем, что DMARC настроен правильно (но рады, что нам сказали обратное!).
1
Ответить
флаг in
Lawrence Wagerfield
Если я правильно читаю 1-ю ссылку (для которой вы любезно процитировали содержимое): у любого отправителя из домена DMARC REJECT/QUARANTINE заголовок «From:» будет переписан на «" при отправке нам электронной почты?
0
Ответить
флаг in
Lawrence Wagerfield
Если это так, то, я полагаю, нет никаких проблем: только мы (члены foo.com) когда-либо видим эту «спуфинг» — спамер не может маскироваться под нас при отправке электронной почты кому-либо за пределами организации. Спасибо!
1
Ответить
флаг cn
shearn89
Без проблем. Не забудьте проголосовать/пометить как ответ!
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.