DMARC: SPF Fail, DKIM Pass, Source IP: not mine!

8

Esta es extraña:

<record>    
    <row>   
      <source_ip>65.20.0.12</source_ip> 
      <count>2</count>  
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>pass</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>mydomain.co.uk</header_from> 
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>mydomain.co.uk</domain> 
        <result>pass</result>   
      </dkim>   
      <spf> 
        <domain>mydomain.co.uk</domain> 
        <result>fail</result>   
      </spf>    
    </auth_results> 
  </record> 

Utilizo una combinación de mis propios servidores y google para enviar correos. La fuente IP no es mía ni de Google, ¿cómo demonios puede pasar DKIM?

Los informes provienen de Yahoo. La IP parece ser un servidor de correo para btinternet.com administrado por cpcloud.co.uk (Critical Path Inc.). Sé que hubo alguna rareza entre ellos en el pasado con SPF, etc., ¿podría tener algo que ver con eso? ?

La IP solo está en los informes DMARC de Yahoo. Las fechas en que recibo los informes son 1 día antes de los correos electrónicos que se enviaron a los usuarios de btinternet.

¿Es tan simple como enviar un correo electrónico a una cuenta bt, se reenvía / redirige / reenvía a Yahoo y eso marca el error?

nedge2k
fuente
1
No olvide que BT Internet subcontrató su suministro de correo electrónico a Yahoo. Eso puede explicar el comportamiento.
Andrew Leach
También veo este mismo problema en algunos de mis dominios y no estoy seguro de por qué cpcloud.co.uk debería aparecer como fuente. Me preguntaba si tal vez estaban representando el tráfico SMTP sin cifrar de los usuarios detrás de las conexiones de banda ancha doméstica de BT. Desafortunadamente, la mayoría de los proveedores de servicios de alojamiento de correo electrónico permiten el acceso cifrado y no cifrado a sus clientes, dejando que la detección automática del dispositivo / software del usuario final o la configuración predeterminada a menudo opten por la configuración no cifrada.
richhallstoke

Respuestas:

6

Lo sentimos, olvidé publicar la resolución para esto.

Por lo tanto, era algo de reenvío como se sospechaba, pero mis reglas de SPF en DNS eran demasiado estrictas y no permitían el reenvío, por lo que SPF falló. Cambiando de -todos a ~ todos ordenados.

nedge2k
fuente
Tengo el registro SPF TXT establecido en ~ all, pero sigo recibiendo el mismo error dmarc de yahoo. "v = spf1 incluye: _spf.google.com ~ all"
Swatantra Kumar
5

Dos cosas a tener en cuenta:

  1. El reenvío de correo electrónico ocurre en Internet. Este podría ser el caso de alguien que ejecuta su propio servidor @ example.org pero luego reenvía todo el correo electrónico a Yahoo (finalmente aterriza en un buzón @ yahoo.com). La gente hace esto todo el tiempo porque les gusta más la interfaz de usuario del destino final o simplemente es más fácil de administrar.

  2. DKIM puede sobrevivir al reenvío si el contenido del mensaje permanece intacto. No es inusual ver mensajes que pasan DKIM que fluyen de lugares extraños en Internet antes de ser informados por DMARC.

En su ejemplo, la presencia de una firma que pasa DKIM de una fuente IP desconocida es una señal muy fuerte de que esta fila de datos representa el correo electrónico reenviado.

Tim Draegen
fuente
0

También tengo esto con uno de mis clientes. Tengo el control del servidor de correo de dominio (Exchange) (con DKIM agregado por dkim-exchange) y los hosts inteligentes (Postfix) y recibimos uno o dos correos electrónicos al día siempre a través del servidor 65.20.0.12. Verifiqué las reglas y los registros y nadie internamente reenvía sus mensajes a ninguna parte, por lo que lo único que puedo pensar es que se trata de un correo electrónico saliente a un cliente / proveedor que luego envía los mensajes desde su cuenta BT a su cuenta de Yahoo cuenta, tal vez sin saberlo. De cualquier manera, dejo el SPF para el dominio tal como está y dejo que Yahoo rebote los correos electrónicos, ya que tal vez de esa manera alguien finalmente se dé cuenta y me pregunte.

Marco
fuente