@easycode
не боюсь задавать глупые вопросы ))

Поддельное email-письмо на доменную почту при настроенных SPF, DKIM и DMARC — как же так?

Буквально вчера перенесли доменную почту на новый VPS
И прилетело сообщение вида:
61dde34b622aa431697665.png
естественно там поддельные (фишинговые) ссылки

заголовки письма:

Return-path: <support@domen.ru>
Envelope-to: partner@domen.ru
Delivery-date: Mon, 10 Jan 2022 15:04:45 +0300
Received: from [212.192.246.201] (helo=silver.earacheevince.com)
    by server.com with esmtp (Exim 4.94)
    (envelope-from <support@domen.ru>)
    id 1n6tPo-00063H-RY
    for partner@domen.ru; Mon, 10 Jan 2022 15:04:44 +0300
From: domen.ru <support@domen.ru>
To: partner@domen.ru
Subject: ACTION REQUIRED
Date: 10 Jan 2022 13:04:44 +0100
Message-ID: <20220110130443.9E04B9EB2F6609EE@domen.ru>
MIME-Version: 1.0
Content-Type: text/html;
    charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


к моменту получения данного письма SPF-запись, DKIM-подпись, DMARC-политика были уже настроены:

v=spf1 ip4:наш_почтовый_сервер include:mxsspf.sendpulse.com include:mxsmtp.sendpulse.com +a +mx ~all
v=DMARC1; p=quarantine; aspf=r; sp=none; rua=mailto:reject@domen.ru


p=quarantine - означает отправлять в СПАМ сообщения, которые не прошли проверку DMARC - всё верно?

почему же сообщение, которое не подписано DKIM и у которого:
212.192.246.201 (helo=silver.earacheevince.com)
не разрешено в SPF'е прилетело во Входящие , а не в папку СПАМ ?

техподдержка VPS пишет какую-то глупость:

У Вас был выключен метод проверки Greylisting
Включили его, это должно помочь отклонять спам, что будем приходить на Вашу услугу.


шта? причем тут Greylisting? это же некомпетентность какая-то со стороны техподдержки хостинга?

получается письмо пришло с нашего адреса: support@domen.ru на наш же адрес: partner@domen.ru и спокойно попало во входящие минуя проверку SPF, DKIM и невзирая на политику DMARK ? как такое возможно? Или письмо попало в период не полного обновления DNS-записей?
  • Вопрос задан
  • 640 просмотров
Пригласить эксперта
Ответы на вопрос 3
suffix_ixbt
@suffix_ixbt
https://www.babai.ru/
То что Вы настроили dkim, spf, dmarc и ptr это прекрасно (кстати это далеко не всё - крайне желательно ещё и mta-sts и неплохо-бы tlsa dane озаботиться) - но какое это отношение имеет к тому что со всей этой верификацией делает почтовый сервис ПРИНИМАЮЩЕЙ стороны ?

Если у вашего клиента за которых Вы беспокоитесь настроен почтовый сервис на "принимать всё" то и все фишинговые письма якобы от Вас он получит. Ну значит он ССЗБ. Вы то сделали что могли.

В вашей ситуации так и было - ваш почтовый сервис на приём почты был настроен не строго (и это кстати правильно - ибо не получить почту важную и нужную вообще неприемлимо - защитные гайки потихоньку закручивать надо).

P.S.

То что Вы написали в dmarc "карантин" это рекомендация сервису принимающей стороны - он может её исполнить а может и подтереться ибо он не обязан ваши хотелки учитывать !

Вот Вам мой пример ( у меня в dmarc вообще p=reject прописано). Как-то раз при обновлении сервера dkim слетел напрочь, а заранее запланированная рассылка ушла. И что ? В gmail письма успешно попали у всех клиентов во "Входящие", хотя в отчёте dmarc что gmail прислал указано что dkim отсутствует. Просто gmail решает что с письмом делать исходя из собственных правил и мой p=reject ему до лампочки :)
Ответ написан
Комментировать
dimonchik2013
@dimonchik2013
non progredi est regredi
почему некомпетентность? поведение по умолчанию - принимать все
дальше уже админ настраивает жесткость вплоть до спамассасина с капча подтверждением

у вас, видимо, админ - хостер, вот узнал от вас за жесткость - настроил
Ответ написан
@MaxKozlov
Записи мало настроить, их ещё и почтовик проверять должен.

Среди показанных заголовков нет ни одного, касающегося spf и dkim. Может они не проверяются ?
По письму на gmail:
ARC-Seal
ARC-Message-Signature
ARC-Authentication-Results
Received-SPF
Authentication-Results
DKIM-Signature

Ps. Насчет грейлистинга. Не исключено, что у вашего хостера все эти проверки вообще проходят после грейлистинга. Нет грейлистинга-нет проверок. Бывает всякое
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы