Почему почтовые службы не обрабатывают DMARC?

Question

[tester12]

Настроил DKIM, SPF, DMARC для защиты от фишинга/спуфинга:

@	TXT	v=spf1 redirect=nicmail.ru		
phpmailer._domainkey	TXT	v=DKIM1; k=rsa; t=s; p=<открытый ключ>
_dmarc	TXT	v=DMARC1; p=reject; sp=reject; rua=mailto:test.nic@mydomain.io; fo=1

DKIM и SPF работают. Яндекс-почта (веб-интерфейс) сообщает, что отправитель и подпись подтверждены.

Если же отправить (phpmailer-ом) письмо без подписи или подписанное не тем закрытым ключом, Яндекс показывает, что письмо не подписано. Но! У меня же в DMARC параметр "p=reject". Яндекс должен вообще отклонять не подписанные письма.

А Яндекс их принимает. И Mail.ru тоже принимает. Это глюки почтовых служб или это я что-то неправильно делаю?

Answer 1

[Alexander NAZARIAN]

Политика "reject" применяется только к письмам которые не проходят проверку и SPF и DKIM.
То есть, DMARC= fail IF (SPF=fail AND DKIM=fail).

В случае (SPF=pass AND DKIM=pass) или (SPF=fail AND DKIM=pass) письмо считается "authenticated" (DMARC=pass) и, соответственно, не будет отклонено принимающим сервером.

Вот наиболее удачная диаграмма из всех которые я встречал:


Единственное исключение - это почтовые сервисы от Microsoft (Hotmail / Outlook / Office365). Входящие письма которые попадают под политику "reject", не отклоняются а помещаются в папку "Junk".
Подробнее тут:
https://docs.microsoft.com/en-us/microsoft-365/sec...

Comments

[tester12]

Спасибо.

А если у меня в DMARC параметр "fo=1". Документация говорит, что в этом случае должны быть правильны одновременно и DKIM, и SPF.

И потом, выходит, что кто угодно может зарегистрировать "почту для домена" в Ру-Центре (там же где и моя почта) и отправлять спам от моего имени? SPF будет верным, а отсутствие подписи DKIM не будет влиять на попадание спама в ящики?

Т.е. получается, что для защиты от почтового спуфинга нужно поднимать свой почтовый сервак?

[Alexander NAZARIAN]

1. параметер "fo" вообще то нужен для другого -> https://tools.ietf.org/html/rfc7489#section-6.3
fo = 0:1:d:s дает знать принимающему серверу когда генерировать / посылать так называемый "failure report"
пример тут–> https://tools.ietf.org/html/rfc6591#appendix-B

2. отправлать от вашего имени (domain name in HEADER FROM) может любой, но domain name in MAIL FROM (aka RETURN-PATH) у них будет свой а не ваш. И тут на помощь приходит DMARC.

- SPF проверяет домен указаный в RETURN-PATH.
- DMARC проверяет идентичны ли домены (domain alignment) указаные в HEADER FROM и RETURN-PATH
если SPF (для RETURN-PATH) = pass И домeны в HEADER FROM и RETURN-PATH идентичны (aligned) то DMARC=pass
если SPF (для RETURN-PATH) = pass И домeны в HEADER FROM и RETURN-PATH НЕидентичны (not aligned) то DMARC=fail

на желтой диаграме все это хорошо показано

3. для защиты домена от почтового спуфинга нужны:
- коррекнтная SPF запись
- DMARC запись с политикой "reject"
- очень желательна DKIM подпись (так как в случае авто-пересылки письма проверка SPF нарушается)
- платформа для анализа DMARC отчетов. Например EasyDMARC