TL; DR ¿
Recibo muchos comentarios de DMARC de cuentas / sitios web con los que no tengo contacto y quiero aclarar si debo tomar alguna medida o si estos informes de comentarios son informativos de algún problema grave?

Ejecuto un servidor WHM y uso SPF y DKIM (y _DMARC), todos los correos electrónicos se envían desde el mismo servidor de dominio.

Un ejemplo de configuración de DNS para mi _DMARC (y DKIM y SPF):

mydomain.co.uk     14400 IN TXT "v=spf1 mx a ip4:11.22.33.44 ip4:11.22.33.55 ~all"

default._domainkey 14400 IN TXT "v=DKIM1; k=rsa; p=<code>;

_dmarc             14400 IN TXT "v=DMARC1; p=quarantine; sp=none; 
                                rua=mailto:[email protected]!90m; 
                                ruf=mailto:[email protected]; 
                                rf=afrf; pct=100; ri=86400"

y por lo que puedo decir, esto está configurado y funciona como se esperaba.

sin embargo, recibo bastantes mensajes automáticos de varios dominios en la red mundial, que no tienen nada que ver con mi dominio. Soy la única persona que usa correos electrónicos de mi dominio, nadie más está enviando correos electrónicos desde mi dominio.

Por ejemplo, esta mañana recibí un informe agregado de DMARC de Comcast que decía:

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
    <version>1.0</version>
    <report_metadata>
        <org_name>comcast.net</org_name>
        <email>[email protected]</email>
        <report_id>v1-1483425166-mydomain.co.uk</report_id>
        <date_range>
            <begin>1483315200</begin>
            <end>1483401600</end>
        </date_range>
    </report_metadata>
    <policy_published>
        <domain>mydomain.co.uk</domain>
        <adkim>r</adkim>
        <aspf>r</aspf>
        <p>quarantine</p>
        <sp>none</sp>
        <pct>100</pct>
        <fo>0</fo>
    </policy_published>
    <record>
        <row>
            <source_ip>72.167.218.164</source_ip>
            <count>1</count>
            <policy_evaluated>
                <disposition>none</disposition>
                <dkim>fail</dkim>
                <spf>fail</spf>
            </policy_evaluated>
        </row>
        <identifiers>
            <header_from>mydomain.co.uk</header_from>
        </identifiers>
        <auth_results>
            <spf>
                <domain>bounce.secureserver.net</domain>
                <scope>mfrom</scope>
                <result>pass</result>
            </spf>
        </auth_results>
    </record>
</feedback>

No, no reconozco ninguno de los detalles establecidos aquí aparte de mi dominio, la dirección IP <source_ip>no es mi dirección IP y no tengo conocimiento de tener ningún contacto con Comcast.

Básicamente, recibo muchos de estos avisos y no puedo encontrar ningún comentario que me diga si son solo informativos y pueden ser olvidados (en cuyo caso, ¿qué sentido tienen?) O si puedo hacer algo con mi servidor para mejorar las fallas que el aviso me informa.

ENTONCES:

• ¿Son estos informes algo sobre lo que se puede actuar?
• ¿Cómo deberían actuar los informes DMARC como estos en mi caso?
• ¿Son estos informes indicadores de alguna forma de compromiso de cuenta?
• ¿Puede / el número de estos informes [potencialmente] se refleja mal en mi nombre de dominio para el resto de la web?

Vale la pena señalar que sospecho que la respuesta a las dos últimas viñetas es "No", pero no soy un experto en esto.

Ya he leído esta publicación , así como las preguntas frecuentes de DMARC y este tema , pero no hay mucha información. sobre cómo debemos reaccionar ante los informes agregados. Soy consciente de que los informes DMARC "fallidos" pueden ser causados ​​por programas de reenvío de correo, aunque espero negar esta posibilidad con mi SPF ~all.

En general, creo que no debería tener que preocuparme por estos informes, pero me gustaría una segunda opinión debido a lo que percibo como la regularidad y ( creo ) un número relativamente significativo de informes agregados que estoy recibiendo.

¿Son estos informes algo sobre lo que se puede actuar?

Sí, pero esperamos que la mayoría de la información confirme que todo está bien con su configuración.

¿Cómo deberían actuar los informes DMARC como estos en mi caso?

Normalmente, estos informes serían procesados ​​por un sistema automatizado que convierte estos datos en informes bonitos con gráficos, estadísticas y problemas que requieren atención. Si no ha visto este tipo de sistema, tal vez debería visitar dmarcian.com, que ofrece un servicio básico gratuito que lo ayudará a comenzar y comprender lo que puede y no puede hacer o ver. Para que esto funcione, deberá utilizar una dirección de correo electrónico que le proporcionen en su registro DMARC.

¿Son estos informes indicadores de alguna forma de compromiso de cuenta?

No, son solo informes de toda la actividad de servidores con capacidad DMARC que han procesado mensajes que dicen ser de su nombre de dominio, esencialmente diciéndole que recibieron un mensaje, de dónde vino y qué hicieron con él y por qué.

¿Puede / el número de estos informes [potencialmente] se refleja mal en mi nombre de dominio para el resto de la web?

No, estos informes solo se envían a la dirección de correo electrónico proporcionada en el registro DMARC y no se publican en la web. El único potencial real para un impacto negativo es si configura incorrectamente su SPF y / o DKIM y termina recibiendo muchos mensajes rechazados / bloqueados, pero al menos con DMARC lo sabría.

Como respuesta a su ejemplo: muchas fallas de DMARC pueden rastrearse hasta las listas de reenvío y correo, por ejemplo, con Google Groups for Business. Sin embargo, en el informe nos muestra que el correo electrónico fue enviado desde un host, parte de secureserver.net. El SPF se verificó en la ruta de retorno de bounce.secureserver.nety pasó.

Lo más probable es que se tratara de un mensaje de devolución de su servicio anti-SPAM o SMTP entrante, enviado de vuelta al remitente del correo electrónico original, que intentó enviarle un correo electrónico. El rebote se enviará en su nombre con una ruta de retorno alterada. SecureServer.net es parte de GoDaddy, ¿está alojando con GoDaddy o afiliado?

Como respuesta a su declaración:

Soy consciente de que los informes DMARC "fallidos" pueden ser causados ​​por programas de reenvío de correo, aunque espero negar esta posibilidad con mi SPF ~all.

DMARC solo evaluará Pasar si las verificaciones SPF o DKIM resultan en un pase, en alineación con su Fromdominio de dirección. Así que no estoy seguro de lo que quieres decir con eso que ~allniega el problema.

Los reenviadores suelen reescribirlos return-pathen su propia dirección de rebote, lo que hace que falle la alineación con el dominio de origen. El protocolo ARC aún está en borrador, pero debería negar este problema de reenvío para la alineación de SPF con DMARC para reenviadores de confianza. Además, las firmas DKIM a menudo permanecen intactas, a menos que el reenviador modifique los campos firmados. Por lo tanto, DMARC aún puede pasar según DKIM.

Una última cosa:

En su política DMARC, publica una sp=nonepolítica para todos los subdominios, que de lo contrario heredaría la p=quarantinepolítica. Esto da como resultado que cualquier persona que falsifique su dominio simplemente puede elegir cualquier subdominio para usar, por ejemplo app.mydomain.co.uk. Quizás esta sea una configuración deseada, pero solo quería señalarlo.

Puede analizar y mostrar informes DMARC a través de estas herramientas:

• https://github.com/techsneeze/dmarcts-report-parser
• https://github.com/techsneeze/dmarcts-report-viewer

Consulte también https://dmarc.org/resources/deployment-tools/ , la sección "Informe de análisis y visualización".