Рейтинг:0

Почему это входящее электронное письмо прошло через спам-фильтры Office 365 с ошибкой DKIM? Какую политику мне нужно «настроить»?

флаг my

Мы пользуемся почтой Office 365, я получил этот спам сегодня утром, поэтому я проверил заголовок, чтобы узнать, могу ли я что-нибудь сделать. Вот заголовок с удаленным доменом получения

Получено: от DB6PR01MB3829.eurprd01.prod.exchangelabs.com
 (2603:10a6:6:52::25) от PAXPR01MB9291.eurprd01.prod.exchangelabs.com с
 HTTPS; Вт, 10 мая 2022 г. 02:17:42 +0000
ARC-уплотнение: i=2; а=rsa-sha256; s=селектор дуги9901; д=микрософт.com; резюме = пройти;
 b=EeGi0lrMprVF98QNcErMivV15SlCGfKOkWEjmPF6RvL4rtMscNmuzA0Do6xVi7W2VL14YtJE0cS2MQzJgsNnh2x2b3fkVMGb+L3mqCyhYvfpphI21XkeOLzjiuJaLexSA1TK6bChcboiF1sP+KI+G/gfGbzfWdzt3mhABec4s/98qZTQGjCe50IuXc0F46ILAEbIXjl1S1pmKLQnKi5j9BFhdwtITVWlIzY7ZiCFng+1mHKigKFDPTyeEiw7ttsm3oviZe1VLP+yy0lvUMPilZ6q7myeBYm9hAb53MWIrYNmX9aevyxV0TpC39uTOK3u9pYH2MZ7fZlm4xX5Ppo/8A==
Подпись сообщения ARC: i=2; а=rsa-sha256; c=расслабленный/расслабленный; д=микрософт.com;
 s=селектор дуги9901;
 h = From: Date: Subject: Message-ID: Content-Type: MIME-Version: X-MS-Exchange-AntiSpam-MessageData-ChunkCount: X-MS-Exchange-AntiSpam-MessageData-0: X-MS-Exchange- AntiSpam-MessageData-1;
 bh=YadlNX9F1tdHPU6GBSCru6/kZ/UxDewIfN1iyiWDfYU=;
 b=MfogbEoTECE7pnnCdWfNTaPrbyhjph3ZMKGUlMoJEC9pu//dHDOMF07eiTsT3t5tba1ghfgbe2xZEZqg7azDGULAznA9eTzsjSnhnveCVt1thqLWnQLXh/T3/BOgpwQb8nCjVoq6p3KuBUXrObEWxqu07csivgli0UAiOS4UUVInWOX93PlMWL9APXrNRuOQzRBPrr84cg/XQhKWhxjMjtyoHH/VIvykTkEk/3mtuAdDjWseunvhqbD8K1b4pjrE4zycJNvTuo/+ZuV3YuFAfnEXcnQu/fmshdFMvWaEGAAK4Lex8O1P564OeW2XibLPAzqzy4aREtMWmAz2iKdmGQ==
ARC-Аутентификация-Результаты: i=2; mx.microsoft.com 1; spf=pass (IP-адрес отправителя
 52.100.172.225) smtp.rcpttodomain=***************************
 smtp.mailfrom=columbiacentral.edu; dmarc=нет действие=нет
 header.from=biglifejournal.com; dkim=pass (подпись проверена)
 header.d=columbiacoedu.onmicrosoft.com; dkim=fail (подпись не проверялась)
 header.d=ksd1.klaviyomail.com; arc=pass (0 oda=0 ltdi=1)
Получено: от AS9PR06CA0338.eurprd06.prod.outlook.com (2603:10a6:20b:466::32)
 по DB6PR01MB3829.eurprd01.prod.exchangelabs.com (2603:10a6:6:52::25) с
 SMTP-сервер Microsoft (версия = TLS1_2,
 шифр = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) идентификатор 15.20.5206.24; Вт, 10 мая
 2022 02:17:40 +0000
Получено: от VE1EUR01FT092.eop-EUR01.prod.protection.outlook.com
 (2603:10a6:20b:466:cafe::a6) AS9PR06CA0338.outlook.office365.com
 (2603:10a6:20b:466::32) с сервером Microsoft SMTP (версия = TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) идентификатор 15.20.5227.20 через интерфейс
 Транспорт; Вт, 10 мая 2022 г. 02:17:39 +0000
Результаты аутентификации: spf=pass (IP-адрес отправителя 52.100.172.225)
 smtp.mailfrom=columbiacentral.edu; dkim=pass (подпись проверена)
 header.d=columbiacoedu.onmicrosoft.com;dmarc=none action=none
 header.from=biglifejournal.com;compauth=softpass Reason=202
Received-SPF: Pass (защита.outlook.com: домен columbiacentral.edu
 назначает 52.100.172.225 разрешенным отправителем)
 приемник=защита.outlook.com; клиент-ip=52.100.172.225;
 helo=NAM11-DM6-obe.outbound.protection.outlook.com;
Получено: от NAM11-DM6-obe.outbound.protection.outlook.com (52.100.172.225)
 от VE1EUR01FT092.mail.protection.outlook.com (10.152.3.140) с Microsoft
 Идентификатор SMTP-сервера (версия = TLS1_2, шифр = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
 15.20.5227.15 через внешний транспорт; Вт, 10 мая 2022 г. 02:17:39 +0000
ARC-уплотнение: i=1; а=rsa-sha256; s=селектор дуги9901; д=микрософт.com; резюме = нет;
 b=Q5rpXKAdNS+0d9NAcPdgg6yieRqMW+KRK56NvHARZ4dvDoZFK3ySOALeF/i9hUzI42iCy0O8N39lvyCdQqVsh1ZRKOfp/yVtfpa+crSVPK2TK/DezxAE0TxWMewLdzGDhWUXugtGjgvNArKyHBS84F2rsOpDZRMfs1Yo8BJXZw3qT5bLFu1TkCU1sZvnzO7fNomw6exzWksgwRLCiQyigO26zDT99562VKyMLxSo0jW24mxN948jAg9vtGu5M95gunA+fRSJUu26E6pjhpS3ESkrcETmi074jwsIHPRts8NV9zZTNlnkigxKxqCGnbYgNiDqNRNK8eicLHn3nZht9w==
Подпись сообщения ARC: i=1; а=rsa-sha256; c=расслабленный/расслабленный; д=микрософт.com;
 s=селектор дуги9901;
 h = From: Date: Subject: Message-ID: Content-Type: MIME-Version: X-MS-Exchange-AntiSpam-MessageData-ChunkCount: X-MS-Exchange-AntiSpam-MessageData-0: X-MS-Exchange- AntiSpam-MessageData-1;
 bh=YadlNX9F1tdHPU6GBSCru6/kZ/UxDewIfN1iyiWDfYU=;
 b=j+q7sHypXOlRowsbB0TbvBhGeqo6NZcgUYskR6DrTJPVsaNOdxldABCpIYBtnRZpytb8NaleVgX84hn+wqy5as3e1845BoDH2jANfo5D6geIh3Vofc8VE7GykIOjyq93qgxLkfsdd20iU9gsgwMln8yZ0OUvSFR4tBeDXTcSOB0JT0pMq/iF+qiyva6TgwUA5XhHCwnpu0w1IkdHGlAAZpLkRAyiaqgf6dduuwqmz9Blu/wsgeAUSEE+djSXNoiFnWTaF03/lC7iANlqlQLELSw6d/lfNtozYKaZ9l4uHiYe+aoVk9LaowjlQkEWLw/ZAQ7XL6fUizHvmUpLcZYhog==
ARC-Аутентификация-Результаты: i=1; mx.microsoft.com 1; spf=temperror (IP-адрес отправителя
 2603:10c6:1:12::22) smtp.rcpttodomain=***************************
 smtp.mailfrom=columbiacentral.edu; dmarc=нет действие=нет
 header.from=biglifejournal.com; dkim=fail (подпись не проверялась)
 header.d=ksd1.klaviyomail.com; дуга=нет (0)
DKIM-подпись: v=1; а=rsa-sha256; c=расслабленный/расслабленный;
 d=columbiacoedu.onmicrosoft.com; s=selector2-columbiacoedu-onmicrosoft-com;
 h = From: Date: Subject: Message-ID: Content-Type: MIME-Version: X-MS-Exchange-SenderADCheck;
 bh=YadlNX9F1tdHPU6GBSCru6/kZ/UxDewIfN1iyiWDfYU=;
 b=bT0lBDUtXDKcbaYKPzBcpv5vTzkI2emJ1pBGfaTd3x6neulCygKlzvKyHKYGlQlefNOrPONvGwR4V1yGol3jN/x2z6VwPq5+eHxvM9Apc/7zrdfEfOlCnaiM2mYScqeP/1qcKlgPUjJZQ+vpA/Djhp3XL+zdzWCJNfbjMC46VMs=
Получено: от MW2PR16CA0035.namprd16.prod.outlook.com (2603:10b6:907::48) от
 BY5PR02MB7044.namprd02.prod.outlook.com (2603:10b6:a03:232::18) с
 SMTP-сервер Microsoft (версия = TLS1_2,
 шифр = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) идентификатор 15.20.5227.20; Вт, 10 мая
 2022 02:17:37 +0000
Получено: от MW2NAM12FT006.eop-nam12.prod.protection.outlook.com
 (2603:10b6:907:0:cafe::9c) по MW2PR16CA0035.outlook.office365.com
 (2603:10b6:907::48) с сервером Microsoft SMTP (версия = TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) идентификатор 15.20.5227.23 через интерфейс
 Транспорт; Вт, 10 мая 2022 г. 02:17:36 +0000
X-MS-Exchange-Authentication-Results: spf=temperror (IP-адрес отправителя
 2603:10c6:1:12::22) smtp.mailfrom=columbiacentral.edu; dkim=fail (подпись
 не проверял) header.d=ksd1.klaviyomail.com;dmarc=none action=none
 header.from=biglifejournal.com;
Получено-SPF: TempError (защита.outlook.com: ошибка в обработке во время
 поиск columbiacentral.edu: тайм-аут DNS)
Получено: от bouttecontour.cloud (195.58.39.136)
 MW2NAM12FT006.mail.protection.outlook.com (10.13.180.73) с Microsoft SMTP
 Идентификатор сервера 15.20.5250.8 через внешний транспорт; Вт, 10 мая 2022 02:17:36
 +0000
Получено: от SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) от
 ME1PR01MB1235.ausprd01.prod.outlook.com с HTTPS; вс, 8 мая 2022 04:00:40
 +0000
Получено: от SYXPR01CA0100.ausprd01.prod.outlook.com (2603:10c6:0:2e::33) от
 SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) с Microsoft
 Идентификатор SMTP-сервера (версия = TLS1_2, шифр = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
 15.20.5227.18; Вс, 8 мая 2022 г., 04:00:37 +0000
Получено: от SY4AUS01FT005.eop-AUS01.prod.protection.outlook.com
 (2603:10c6:0:2e:cafe::e6) по SYXPR01CA0100.outlook.office365.com
 (2603:10c6:0:2e::33) с сервером Microsoft SMTP (версия = TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) идентификатор 15.20.5227.18 через интерфейс
 Транспорт; Вс, 8 мая 2022 г., 04:00:37 +0000
Authentication-Results-Original: spf=pass (IP-адрес отправителя — 168.245.125.63)
 smtp.mailfrom=send.ksd1.klaviyomail.com; dkim=pass (подпись проверена)
 header.d=ksd1.klaviyomail.com;dmarc=none action=none
 header.from=biglifejournal.com;compauth=причина пропуска=102
Received-SPF: Pass (защита.outlook.com: домен
 send.ksd1.klaviyomail.com назначает 168.245.125.63 разрешенным отправителем)
 приемник=защита.outlook.com; клиент-ip=168.245.125.63;
 helo=o1401.shared.klaviyomail.com;
Получено: от o1401.shared.klaviyomail.com (168.245.125.63)
 SY4AUS01FT005.mail.protection.outlook.com (10.114.156.159) с Microsoft
 Идентификатор SMTP-сервера (версия = TLS1_2, шифр = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
 15.20.5227.15 через внешний транспорт; Вс, 8 мая 2022 г., 04:00:36 +0000
DKIM-подпись: v=1; а=rsa-sha256; c=расслабленный/расслабленный; d=ksd1.klaviyomail.com;
    h = тип содержимого: из: MIME-версия: тема: ответ на: список-отписаться: на;
    с=м1; bh=ignkFy+p5H/cOK1305fEybl8jB7GJjbHDFUzuCHPfgY=;
    b=Sje97uAIGDZXT68b/atMmmyhc+HymmKzq6VYL9DqX8vLCaPc2D+5ZQ5oNx03m+QsjMqk
    ZgR+dA3mpPMpCDZKEA8KnkBqLfjcEy/yVW5UNh6QgUWDBl+Rw8Hf+zLSBWtAbJj+l4FaXL
    FsqsMZ45T6+SyssDqFLGm2aFlK7TFXoSY=
Получено: от filterdrecv-587b769b88-2bpk5 с идентификатором SMTP filterdrecv-587b769b88-2bpk5-1-62774062-56
        2022-05-08 04:00:34.371597831 +0000 UTC м=+2700818.931010760
Получено: от MTk3MDQ3Mzc (неизвестно)
    от geopod-ismtpd-1-5 (SG) с HTTP
    идентификатор Rs3WzlZyRbmab0T598cUNQ
    Вс, 08 мая 2022 г., 04:00:34.261 +0000 (UTC)

Что мне особенно запомнилось, так это сбой DKIM:

 52.100.172.225) smtp.rcpttodomain=***************************
 smtp.mailfrom=columbiacentral.edu; dmarc=нет действие=нет
 header.from=biglifejournal.com; dkim=pass (подпись проверена)
 header.d=columbiacoedu.onmicrosoft.com; dkim=fail (подпись не проверялась)
 header.d=ksd1.klaviyomail.com; arc=pass (0 oda=0 ltdi=1)

Какую политику 365 мне следует настроить, чтобы ужесточить отслеживание этих сбоев DKIM?

РЕДАКТИРОВАТЬ: я пропустил это через анализатор заголовков, и там есть ДВЕ ошибки DKIM:

dkim:ksd1.klaviyomail.com:m1  

Публичная запись Дкима:
к=rsa; т=с; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6L9gyFVAyoilbWhRbDZp+S8sFyNK4ACBgovgHxfbrutEet95U/CaL0mUnhv4VmkbIK7vUM2lsZl5rqLMQf5FGapvT3lWYQOgWBtl2USeDDr5Y+LzaHA1XZ+5NVf+l6sAFRaKeabsIKidXfxkdDALgIOIdmF3WV+VI4TvMRo90hQIDAQAB

Подпись Dkim (это ошибка):
v=1; а=rsa-sha256; c=расслабленный/расслабленный; d=ksd1.klaviyomail.com;
 h = тип содержимого: из: MIME-версия: тема: ответ на: список-отписаться: на;
 с=м1; bh=ignkFy+p5H/cOK1305fEybl8jB7GJjbHDFUzuCHPfgY=;
 b=Sje97uAIGDZXT68b/atMmmyhc+HymmKzq6VYL9DqX8vLCaPc2D+5ZQ5oNx03m+QsjMqk
 ZgR+dA3mpPMpCDZKEA8KnkBqLfjcEy/yVW5UNh6QgUWDBl+Rw8Hf+zLSBWtAbJj+l4FaXL
 FsqsMZ45T6+SyssDqFLGm2aFlK7TFXoSY=

и

dkim:columbiacoedu.onmicrosoft.com:selector2-columbiacoedu-onmicrosoft-com  

Публичная запись Дкима:
v=ДКИМ1; к=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOvOdOm9Ug9778qHNSHRfls8jR3NWGijSKHOo/T2z4WdACJHA3IDPMVB2q4cWnHt+KwAnWiRYWeSeBWkzqWBIiWgdn8kMh08+iMy86hfqKb7mzbWgXigdEdtzzD9RGy09FRKsy5sIPJMMavbPhzvJaS/KNmWEMEb09JXkMyNCnRQIDAQAB;

Подпись Dkim (это тоже ошибка):
v=1; а=rsa-sha256; c=расслабленный/расслабленный;
 d=columbiacoedu.onmicrosoft.com; s=selector2-columbiacoedu-onmicrosoft-com;
 h = From: Date: Subject: Message-ID: Content-Type: MIME-Version: X-MS-Exchange-SenderADCheck;
 bh=YadlNX9F1tdHPU6GBSCru6/kZ/UxDewIfN1iyiWDfYU=;
 b=bT0lBDUtXDKcbaYKPzBcpv5vTzkI2emJ1pBGfaTd3x6neulCygKlzvKyHKYGlQlefNOrPONvGwR4V1yGol3jN/x2z6VwPq5+eHxvM9Apc/7zrdfEfOlCnaiM2mYScqeP/1qcKlgPUjJZQ+vpA/Djhp3XL+zdzWCJNfbjMC46VMs=
Рейтинг:0
флаг us

Похоже, у вас могут быть поддельные полученные заголовки:

Получено: от bouttecontour.cloud (195.58.39.136) похоже на настоящую инъекцию в O365 во вторник, 10 мая 2022 г., 02:17:36 +0000

Но приведенные ниже заголовки Received имеют отключение по времени и, кажется, показывают внутреннюю обработку O365 ДО внедрения.

Получено: от SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) от ME1PR01MB1235.ausprd01.prod.outlook.com с HTTPS; вс, 8 мая 2022 04:00:40 +0000

Получено: от SYXPR01CA0100.ausprd01.prod.outlook.com (2603:10c6:0:2e::33) от SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) с Microsoft Идентификатор SMTP-сервера (версия = TLS1_2, шифр = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) 15.20.5227.18; Вс, 8 мая 2022 г., 04:00:37 +0000

Получено: от SY4AUS01FT005.eop-AUS01.prod.protection.outlook.com (2603:10c6:0:2e:cafe::e6) по SYXPR01CA0100.outlook.office365.com (2603:10c6:0:2e::33) с сервером Microsoft SMTP (версия = TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) идентификатор 15.20.5227.18 через интерфейс Транспорт; Вс, 8 мая 2022 г., 04:00:37 +0000

Сравните их с заголовками из примера, который мы также исследуем:

Получено: от breckcraigint.pro (195.58.39.137) от DM6NAM12FT048.mail.protection.outlook.com (10.13.178.173) с идентификатором SMTP-сервера Microsoft 15.20.5250.8 через внешний транспорт; Пн, 9 мая 2022 г. 02:00:01 +0000

Снова строки заголовка ниже показывают обработку O365, которая точно соответствует вашему примеру.

Получено: от SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) от ME1PR01MB1235.ausprd01.prod.outlook.com с HTTPS; Вс, 8 мая 2022 г. 04:00:40 +0000

Получено: от SYXPR01CA0100.ausprd01.prod.outlook.com (2603:10c6:0:2e::33) от SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) с Microsoft Идентификатор SMTP-сервера (версия = TLS1_2, шифр = TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) 15.20.5227.18; Вс, 8 мая 2022 г., 04:00:37 +0000

Получено: от SY4AUS01FT005.eop-AUS01.prod.protection.outlook.com (2603:10c6:0:2e:cafe::e6) по SYXPR01CA0100.outlook.office365.com (2603:10c6:0:2e::33) с сервером Microsoft SMTP (версия = TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) идентификатор 15.20.5227.18 через интерфейс Транспорт; Вс, 8 мая 2022 г., 04:00:37 +0000

Рейтинг:0
флаг my

ОК, так что после дальнейшего копания я -РЕДАКТИРОВАТЬ: после комментариев, ВОЗМОЖНО- есть свой собственный ответ. У меня не было правила Exchange Online для Authentication-Results, которое устанавливало SCL для dkim=fail.

Для других ищущих:

  • Перейти к администратору Exchange Online
  • Почтовый поток -> Правила
  • Добавьте новое правило и выберите дополнительные параметры (иначе вы не увидите параметры заголовка)
  • Добавьте тест для заголовка "Результаты аутентификации" с содержанием "dkim=fail"
  • Действие, как установить SCL на 6

Я добавил второе правило, которое делало то же самое, что и выше, но с заголовком «X-MS-Exchange-Authentication-Results».

Справка https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/support-for-validation-of-dkim-signed-messages?view=o365-worldwide

Администраторы могут создавать правила для обработки почты Exchange (также известные как правила транспорта) на основе результатов проверки DKIM. Эти правила обработки почты позволят администраторам фильтровать или направлять сообщения по мере необходимости.

Gerrit avatar
флаг cn
Блокировка при сбое DKIM на самом деле не является стандартом DMARC. Некоторые исходные серверы для вашего почтового домена могут зависеть от настроек SPF вместо DKIM для доставки почты. Итак, немного осторожности, это может заблокировать больше, чем вы на самом деле хотите.
AngryCarrotTop avatar
флаг my
у вас есть идеи по альтернативному решению? Я еще не принял это как ответ. Я только смотрел на фильтрацию dkim=fail на основе ссылки на статью Microsoft.
Gerrit avatar
флаг cn
Если подумать, то не помешает отфильтровать dkim=fail в Authentication-Results, так как для получения любой почты не потребуется подпись dkim. Но большинство спамеров на самом деле используют действительные подписи DKIM. В этом случае это выглядит как дважды перенаправленное сообщение с какими-то странными манипуляциями с заголовком, происходящими в одном из серверов пересылки.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.