web-dev-qa-db-fra.com

DMARC: échec du SPF, passe DKIM, IP source: pas le mien!

C'est un étrange:

<record>    
    <row>   
      <source_ip>65.20.0.12</source_ip> 
      <count>2</count>  
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>pass</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>mydomain.co.uk</header_from> 
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>mydomain.co.uk</domain> 
        <result>pass</result>   
      </dkim>   
      <spf> 
        <domain>mydomain.co.uk</domain> 
        <result>fail</result>   
      </spf>    
    </auth_results> 
  </record>

J'utilise une combinaison de mes propres serveurs et de Google pour envoyer du courrier. L'adresse IP source n'est pas l'une des miennes ni celle de Google. Comment DKIM peut-il passer?

Les rapports proviennent de Yahoo. L’IP semble être un serveur de messagerie pour btinternet.com géré par cpcloud.co.uk (Critical Path Inc.) - je sais qu’il y avait une certaine bizarrerie entre eux dans le passé avec SPF, etc. - pourrait-il y avoir un lien avec cela? ?

L'IP ne figure que dans les rapports Yahoo DMARC. Les dates auxquelles je reçois les rapports ont 1 jour d'avance sur les courriels envoyés aux utilisateurs de btinternet.

Est-ce aussi simple que j'envoie un e-mail à un compte bt, qu'il soit transféré/redirigé/renvoyé à yahoo et que cela signale un échec?

yahoospfdkim
8
nedge2k

Désolé, j'ai oublié de poster la résolution à cela!

C’était donc suspect, mais mes règles SPF dans le système DNS étaient trop strictes et n’autorisaient pas le transfert. Par conséquent, SPF avait échoué. Changer de -all à ~ tout l'a trié.

6
nedge2k

Deux choses à considérer:

  1. Le transfert de courrier électronique a lieu sur Internet. Cela pourrait être le cas de quelqu'un exécutant son propre serveur @ example.org mais transmettant ensuite tous les courriers électroniques à Yahoo (éventuellement dans une boîte aux lettres @ yahoo.com). Les gens font cela tout le temps parce qu'ils aiment mieux l'interface utilisateur de la destination finale ou que c'est simplement plus facile à gérer.

  2. DKIM peut survivre au transfert si le contenu du message reste intact. Il n’est pas rare de voir DKIM faire passer des messages qui sortent d’étranges endroits sur Internet avant d’être signalés par DMARC.

Dans votre exemple, la présence d'une signature transmettant DKIM à partir d'une source IP inconnue est un signal très fort que cette ligne de données représente un courrier électronique transféré.

5
Tim Draegen

J'ai ceci aussi avec un de mes clients. J'ai le contrôle du serveur de messagerie du domaine (Exchange) (avec DKIM ajouté par dkim-exchange) et des hôtes actifs (Postfix) et nous recevons un ou deux e-mails par jour toujours via le serveur 65.20.0.12. J'ai vérifié les règles et les journaux et personne en interne ne transfère leurs messages vers un lieu quelconque. La seule chose à laquelle je peux penser, c'est qu'il s'agit d'un courriel sortant destiné à un client/fournisseur qui renvoie ensuite les messages de son compte BT à leur compte Yahoo. compte, peut-être sans savoir. Quoi qu'il en soit, je quitte le SPF pour le domaine en tant que tel et laisse Yahoo rebondir sur les e-mails, car peut-être que de cette manière, un jour, quelqu'un le remarquera et me le demandera.

0
Marco