DMARC: SPF-Fehler, DKIM-Pass, Quell-IP: nicht meine!

8

Dies ist eine seltsame:

<record>    
    <row>   
      <source_ip>65.20.0.12</source_ip> 
      <count>2</count>  
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>pass</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>mydomain.co.uk</header_from> 
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>mydomain.co.uk</domain> 
        <result>pass</result>   
      </dkim>   
      <spf> 
        <domain>mydomain.co.uk</domain> 
        <result>fail</result>   
      </spf>    
    </auth_results> 
  </record> 

Ich verwende eine Kombination aus meinen eigenen Servern und Google, um E-Mails zu senden. Die Quell-IP ist keine von mir oder von Google - wie zum Teufel kann DKIM passieren?

Die Berichte stammen von Yahoo. Die IP scheint ein Mailserver für btinternet.com zu sein, der von cpcloud.co.uk (Critical Path Inc.) verwaltet wird - ich weiß, dass es in der Vergangenheit einige Seltsamkeiten zwischen ihnen mit SPF usw. gab - könnte dies etwas damit zu tun haben ?

Die IP ist nur in den Yahoo DMARC-Berichten enthalten. Die Daten, an denen ich die Berichte erhalte, liegen 1 Tag vor den E-Mails, die an btinternet-Benutzer gesendet wurden.

Ist es so einfach, wie ich eine E-Mail an ein BT-Konto sende, es wird an Yahoo weitergeleitet / umgeleitet / erneut gesendet und das kennzeichnet den Fehler?

nedge2k
quelle
1
Vergessen Sie nicht, dass BT Internet die E-Mail-Bereitstellung an Yahoo ausgelagert hat. Das könnte das Verhalten erklären.
Andrew Leach
Ich sehe dasselbe Problem auch bei einigen meiner Domains und bin mir nicht sicher, warum cpcloud.co.uk als Quelle verwendet werden sollte. Ich fragte mich, ob sie möglicherweise unverschlüsselten SMTP-Verkehr von Benutzern hinter BT-Breitbandverbindungen zu Hause übertragen. Leider erlauben die meisten E-Mail-Hosting-Dienstanbieter ihren Kunden sowohl verschlüsselten als auch unverschlüsselten Zugriff, sodass die automatische Erkennung von Endbenutzergeräten / -software oder Standardeinstellungen häufig die unverschlüsselte Konfiguration wählen.
Richhallstoke

Antworten:

6

Sorry, habe vergessen, die Auflösung dazu zu posten!

Es war also eine Weiterleitungssache, wie vermutet, aber meine SPF-Regeln in DNS waren zu streng und erlaubten keine Weiterleitung - daher schlug SPF fehl. Der Wechsel von -all zu ~ all hat es sortiert.

nedge2k
quelle
Ich habe den SPF TXT-Datensatz auf ~ all gesetzt, erhalte aber immer noch den gleichen Dmarc-Fehler von Yahoo. "v = spf1 include: _spf.google.com ~ all"
Swatantra Kumar
5

Zwei Dinge zu beachten:

  1. Die Weiterleitung von E-Mails erfolgt im Internet. Dies kann der Fall sein, wenn jemand seinen eigenen @ example.org-Server betreibt und dann alle E-Mails an Yahoo weiterleitet (und schließlich in einer @ yahoo.com-Mailbox landet). Die Leute tun dies die ganze Zeit, weil ihnen die Benutzeroberfläche des endgültigen Ziels besser gefällt oder sie einfach zu verwalten ist.

  2. DKIM kann die Weiterleitung überleben, wenn der Inhalt der Nachricht intakt bleibt. Es ist nicht ungewöhnlich, dass DKIM-Nachrichten aus seltsamen Stellen im Internet fließen, bevor sie von DMARC gemeldet werden.

In Ihrem Beispiel ist das Vorhandensein einer DKIM-übergebenen Signatur von einer unbekannten IP-Quelle ein sehr starkes Signal dafür, dass diese Datenzeile weitergeleitete E-Mails darstellt.

Tim Draegen
quelle
0

Ich habe das auch mit einem meiner Kunden. Ich habe die Kontrolle über den Domain Mail Server (Exchange) (wobei DKIM durch dkim-exchange hinzugefügt wird) und Smart Hosts (Postfix) und wir erhalten ein oder zwei E-Mails pro Tag, die immer über den 65.20.0.12 Server eingehen. Ich habe Regeln und Protokolle überprüft und niemand leitet seine Nachrichten intern an einen beliebigen Ort weiter. Ich kann mir also nur vorstellen, dass dies eine ausgehende E-Mail an einen Kunden / Lieferanten ist, der die Nachrichten dann von seinem BT-Konto an Yahoo weiterleitet Konto, vielleicht ohne es zu wissen. In beiden Fällen lasse ich den SPF für die Domain unverändert und lasse Yahoo die E-Mails abprallen, da dies möglicherweise irgendwann jemand bemerkt und mich fragt.

Marco
quelle