Поддельное email-письмо на доменную почту при настроенных SPF, DKIM и DMARC — как же так?

Question

[Леонид]

Буквально вчера перенесли доменную почту на новый VPS
И прилетело сообщение вида:

естественно там поддельные (фишинговые) ссылки

заголовки письма:

Return-path: <support@domen.ru>
Envelope-to: partner@domen.ru
Delivery-date: Mon, 10 Jan 2022 15:04:45 +0300
Received: from [212.192.246.201] (helo=silver.earacheevince.com)
    by server.com with esmtp (Exim 4.94)
    (envelope-from <support@domen.ru>)
    id 1n6tPo-00063H-RY
    for partner@domen.ru; Mon, 10 Jan 2022 15:04:44 +0300
From: domen.ru <support@domen.ru>
To: partner@domen.ru
Subject: ACTION REQUIRED
Date: 10 Jan 2022 13:04:44 +0100
Message-ID: <20220110130443.9E04B9EB2F6609EE@domen.ru>
MIME-Version: 1.0
Content-Type: text/html;
    charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

к моменту получения данного письма SPF-запись, DKIM-подпись, DMARC-политика были уже настроены:

v=spf1 ip4:наш_почтовый_сервер include:mxsspf.sendpulse.com include:mxsmtp.sendpulse.com +a +mx ~all
v=DMARC1; p=quarantine; aspf=r; sp=none; rua=mailto:reject@domen.ru

p=quarantine - означает отправлять в СПАМ сообщения, которые не прошли проверку DMARC - всё верно?

почему же сообщение, которое не подписано DKIM и у которого:
212.192.246.201 (helo=silver.earacheevince.com)
не разрешено в SPF'е прилетело во Входящие , а не в папку СПАМ ?

техподдержка VPS пишет какую-то глупость:

У Вас был выключен метод проверки Greylisting
Включили его, это должно помочь отклонять спам, что будем приходить на Вашу услугу.

шта? причем тут Greylisting? это же некомпетентность какая-то со стороны техподдержки хостинга?

получается письмо пришло с нашего адреса: support@domen.ru на наш же адрес: partner@domen.ru и спокойно попало во входящие минуя проверку SPF, DKIM и невзирая на политику DMARK ? как такое возможно? Или письмо попало в период не полного обновления DNS-записей?

Comments

[wisgest]

Возможно, я не понимаю вопроса, но все эти настройки относятся к исходящей почте. При чём здесь поступившее к вам письмо?

[Леонид]

wisgest, я просто надеялся что наш почтовый сервер тоже будет делать все эти проверки и определять что делать с письмом - в частности положить его в СПАМ или оставить во Входящих

[Godless]

ИМХО, для входящей почты очень неплохо работает Kaspersky Mail Gateway (не реклама) или что-то аналогичное установленный локально в конторе.
Ваш серв потом просто фильтрует заголовки и хоть в спам, хоть в дроп сразу.

spf, dkim, dmarc нужны и я бы сказал обязательны сегодня, но это увы не панацея.

ЗЫ: Совсем спам конечно не ушел, единичные письма проскакивают.

[Владимир Дубровин]

Ваш почтовый сервер будет делать то, на что вы его настроили. Вам нужно настроить проверку SPF, DKIM и DMARC,
https://exim.org/exim-html-4.93/doc/html/spec_html...
сейчас у вас, судя по отсутствию заголовков Authentication-Results, ничего из этого не проверяется.

Answer 1

[Александр Фалалеев]

То что Вы настроили dkim, spf, dmarc и ptr это прекрасно (кстати это далеко не всё - крайне желательно ещё и mta-sts и неплохо-бы tlsa dane озаботиться) - но какое это отношение имеет к тому что со всей этой верификацией делает почтовый сервис ПРИНИМАЮЩЕЙ стороны ?

Если у вашего клиента за которых Вы беспокоитесь настроен почтовый сервис на "принимать всё" то и все фишинговые письма якобы от Вас он получит. Ну значит он ССЗБ. Вы то сделали что могли.

В вашей ситуации так и было - ваш почтовый сервис на приём почты был настроен не строго (и это кстати правильно - ибо не получить почту важную и нужную вообще неприемлимо - защитные гайки потихоньку закручивать надо).

P.S.

То что Вы написали в dmarc "карантин" это рекомендация сервису принимающей стороны - он может её исполнить а может и подтереться ибо он не обязан ваши хотелки учитывать !

Вот Вам мой пример ( у меня в dmarc вообще p=reject прописано). Как-то раз при обновлении сервера dkim слетел напрочь, а заранее запланированная рассылка ушла. И что ? В gmail письма успешно попали у всех клиентов во "Входящие", хотя в отчёте dmarc что gmail прислал указано что dkim отсутствует. Просто gmail решает что с письмом делать исходя из собственных правил и мой p=reject ему до лампочки :)

Answer 2

[Dimonchik]

почему некомпетентность? поведение по умолчанию - принимать все
дальше уже админ настраивает жесткость вплоть до спамассасина с капча подтверждением

у вас, видимо, админ - хостер, вот узнал от вас за жесткость - настроил

Comments

[Леонид]

поведение по умолчанию - принимать все

шта?

v=DMARC1; p=quarantine; aspf=r; sp=none; rua=mailto:reject@domen.ru

получается такая DMARC-запись говорит что нужно принимать всё?
у меня же там p=quarantine разве это не означает, то что не прошедшие проверку письма должны лететь в папку СПАМ? вроде как по всем источникам где есть описание DMARC - именно так и значит или нет?

читаю про:

Greylisting — это автоматический фильтр входящего спама на уровне протокола SMTP. Технология основана на предположении, что спамеры, рассылая письма, обычно не выполняют предусмотренные протоколом требования. Одно из требований заключается в том, что при отказе сервера получателя принять письмо, серверы-отправители должны повторно пытаться его доставить. Спамерское программное обеспечение обычно этого не делает.

и там же нет проверки на SPF и DKIM - соотв. какое отношение Greylisting имеет к данному поддельному письму?

[Леонид]

дальше уже админ настраивает жесткость вплоть до спамассасина с капча подтверждением

мы то можем настроить как угодно жестко, но если суть SPF+DKIM+DMARC не будет работать, поддельные письма будут рассылаться нашим клиентам (например) и что тогда? просить клиентов проверять все письма на подделку? какой тогда смысл во всех этих SPF+DKIM+DMARC ?

[Drno]

Леонид, это не для клиентов записи, а для других почтовиков, чтоб они опознавали ваш сервер и принимали соответствующие решения

[Dimonchik]

Леонид, у Вас идеалистическое или сформированное девочкой-копирайтером представление о всесильности DNS настроек ))

они - всего лишь помощники почтовику для классификации почты

но если классификация на почтовике не настроена, они бесполезны, для почтовика их нет

и да, будут рассылать и рассылают, и кривые почтовики думаю что письма от вашего домена, изменить это нельзя никак ,
но таких почтовиков мало + все популярные, конечно, проверяют

[Dimonchik]

и да, когда мальчик админ у хостера или ваш ньюбай настроит так, что не будут доходить важные письма - например из гос контор, с заказами или еще чем похоже, вы скажете спасибо Богу и авторам спецификаций, что

принимать все

все же остается настройкой по умолчанию

[Леонид]

Dimonchik, наша красивая девочка-копирайтер уж точно ничего не знает про DNS и почтовые сервера ))

Answer 3

[MaxKozlov]

Записи мало настроить, их ещё и почтовик проверять должен.

Среди показанных заголовков нет ни одного, касающегося spf и dkim. Может они не проверяются ?
По письму на gmail:

ARC-Seal
ARC-Message-Signature
ARC-Authentication-Results
Received-SPF
Authentication-Results
DKIM-Signature

Ps. Насчет грейлистинга. Не исключено, что у вашего хостера все эти проверки вообще проходят после грейлистинга. Нет грейлистинга-нет проверок. Бывает всякое