DMARC и его отчеты - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Exchange Server (http://forum.oszone.net/forumdisplay.php?f=76)

- - DMARC и его отчеты (http://forum.oszone.net/showthread.php?t=338469)

DMARC и его отчеты

Доброго дня коллеги!
Разбираюсь с данным механизмом и как он у нас настроен в связи с некоторыми проблемами с доставкой наших писем разным получателям.
Почитал разные ресурсы и доки на данную тему. Но все равно есть несколько вопросов и хочу удостовериться, что правильно понимаю механизмы работы DMARC, DKIM, SPF

1) Подскажите пож-та, я правильно понимаю, что нам дает DMARC указав его в ТХТ записи одного из наших доменов?
Настроив DMARC на своем домене <myfirma.com> я указываю для сервера получателя, что делать с письмами от моего домена, если они не пройдут проверку dkim или spf? Т.е. если проверки не пройдут, то письмо либо будет отброшено, либо помещено в спам. Ну как бы если мое письмо подделелают мошенники, чтобы оно казалось от имени нашего домена, то это помогает, чтобы принимающая сторона это определила. Так?

2) Везде пишут что при создании dmarc записи надо указывать имя записи _dmarc.<имя моего домена> и в поле значение параметры dmarc. Но я обнаружил, что бывший админ имя dmarc записи указал просто _dmarc. И это вроде работает!
Наш пример _dmarc TXT v=DMARC1; p=quarantine; sp=quarantine; rua=mailto:it@mydomen.com; ri=86400 и я периодически получаю на почту отчеты. Которые тоже пытаюсь понять, что в них указано.

Отчет:
К примеру такой отчет

Код:

<?xml version="1.0" encoding="UTF-8" ?>

<feedback>

  <report_metadata>

    <org_name>google.com</org_name>

    <email>noreply-dmarc-support@google.com</email>

    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>

    <report_id>4236560688845416314</report_id>

    <date_range>

      <begin>1545782400</begin>

      <end>1545868799</end>

    </date_range>

  </report_metadata>

  <policy_published>

    <domain>MyFirma.com</domain>

    <adkim>r</adkim>

    <aspf>r</aspf>

    <p>quarantine</p>

    <sp>quarantine</sp>

    <pct>100</pct>

  </policy_published>

  <record>

    <row>

      <source_ip>40.107.13.105</source_ip>

      <count>1</count>

      <policy_evaluated>

        <disposition>none</disposition>

        <dkim>fail</dkim>

        <spf>pass</spf>

      </policy_evaluated>

    </row>

    <identifiers>

      <header_from>MyFirma.com</header_from>

    </identifiers>

    <auth_results>

      <dkim>

        <domain>oilmarshippingcom.onmicrosoft.com</domain>

        <result>pass</result>

        <selector>selector1-oilmarshippingcom-onmicrosoft-com</selector>

      </dkim>

      <dkim>

        <domain>MyFirma.com</domain>

        <result>fail</result>

        <selector>selector2</selector>

      </dkim>

      <spf>

        <domain>MyFirma.com</domain>

        <result>pass</result>

      </spf>

    </auth_results>

  </record>

  

  ........

  

  <record>

    <row>

      <source_ip>40.107.6.124</source_ip>

      <count>1</count>

      <policy_evaluated>

        <disposition>none</disposition>

        <dkim>pass</dkim>

        <spf>pass</spf>

      </policy_evaluated>

    </row>

    <identifiers>

      <header_from>MyFirma.com</header_from>

    </identifiers>

    <auth_results>

      <dkim>

        <domain>MyFirma.com</domain>

        <result>pass</result>

        <selector>selector2</selector>

      </dkim>

      <spf>

        <domain>MyFirma.com</domain>

        <result>pass</result>

      </spf>

    </auth_results>

  </record>

  

  ...........

  

  <record>

    <row>

      <source_ip>94.73.131.249</source_ip>

      <count>3</count>

      <policy_evaluated>

        <disposition>none</disposition>

        <dkim>pass</dkim>

        <spf>fail</spf>

      </policy_evaluated>

    </row>

    <identifiers>

      <header_from>MyFirma.com</header_from>

    </identifiers>

    <auth_results>

      <dkim>

        <domain>MyFirma.com</domain>

        <result>pass</result>

        <selector>selector2</selector>

      </dkim>

      <spf>

        <domain>MyFirma.com</domain>

        <result>fail</result>

      </spf>

    </auth_results>

  </record>

  

  .............

  

  <record>

    <row>

      <source_ip>77.88.28.101</source_ip>

      <count>1</count>

      <policy_evaluated>

        <disposition>none</disposition>

        <dkim>pass</dkim>

        <spf>fail</spf>

      </policy_evaluated>

    </row>

    <identifiers>

      <header_from>MyFirma.com</header_from>

    </identifiers>

    <auth_results>

      <dkim>

        <domain>MyFirma.com</domain>

        <result>pass</result>

        <selector>selector2</selector>

      </dkim>

      <spf>

        <domain>sts-shipping.com.ua</domain>

        <result>none</result>

      </spf>

    </auth_results>

  </record>

И если смотреть на этот отчет, то есть в нем source IP. Это ведь IP, с которого послали письмо от имени нашего домена на Gmail, в данном случае (раз отчет от google.com)?
Просто в первых двух блоках IP 40.107.6.124, 40.107.13.105 - это IP серверов Microsoft (мы используем Exchange 365), а вот другие два IP - это вообще ХЗ что! И в них DKIM прошел, а SPF нет!
Т.е. кто-то подделывает письма и шлет их от имени нашего домена?

Цитата:

Цитата DeniTornado

Настроив DMARC на своем домене <myfirma.com> я указываю для сервера получателя, что делать с письмами от моего домена, если они не пройдут проверку dkim или spf? Т.е. если проверки не пройдут, то письмо либо будет отброшено, либо помещено в спам. »

Либо никаких действий не будет произведено. Это настраивается в DMARC теге p=. Также необходимо указать политики при нарушении DKIM и SPF, соответственно теги adkim= и aspf=, по умолчанию они r, relaxed, то есть допускают нарушения (спам доходит).

Цитата:

Цитата DeniTornado

Наш пример _dmarc TXT v=DMARC1; p=quarantine; sp=quarantine; rua=mailto:it@mydomen.com; ri=86400 »

Если добавить теги aspf=s; adkim=s; то при фейле проверки DKIM/SPF письма будут помечаться как карантинные и отправляться в спам. Осторожно, при неверных настройках DKIM/SPF в спам пойдут и легитимные письма.

Цитата:

Цитата DeniTornado

Т.е. кто-то подделывает письма и шлет их от имени нашего домена? »

Возможно. Ну если только у вас нет релей-сервера в Турции ;)

PS Если б вы не поковырялись ручками в отчёте, пытаясь его анонимизировать, его можно было бы распарсить, чтобы легче понимать.

Да я в отчете только наш домен поменял на MyFirma.com ). Больше ни чего не трогал!

Разбираясь в этом всем, просто пытаюсь понять, кто наш домен вгоняет в черные списки(. Все началось с того что нам ломанули на одном веб хостинге CMS-ку на которой лежал сайт. И стали слать спам с этого IP от имени этого домена. Заразу вроде пристрелили. Даже заморочились и перенесли CMS на другой веб хостинг. Несколько дней после этого, письма от нашего этого домена доходили получателям нормально и даже не светились ни в одном черном списке, а вчера стали опять попадать в спам и домен уже в двух списках. Сразу выяснилось, что CMS опять расковыряли уже на новом веб хостинге. Но техподдержка говорит, что с их серверов от имени нашего домена ни какая исходящая почта не уходит. Значит источник где-то в другом месте.

По этой ссылке (спасибо) я парсил отчеты. Просто было непонимание самого DMARC. Отчет ведь показывает с какого IP на какого почтового провайдера ушли письма в каком кол-ве и какие проверки они не прошли?

Цитата:

Цитата DeniTornado

Да я в отчете только наш домен поменял на MyFirma.com ). Больше ни чего не трогал! »

Этого достаточно, чтобы парсер не работал корректно. Если стесняетесь, то можете распарсить отчёты сами, по приведённой ссылке.

Смущает, что письма с помойки проходят DKIM. Без приватного ключа это невозможно, но если вы говорите, что вас регулярно ломают, то возможно и этот ключ был скомпрометирован.

Цитата:

Цитата Jula0071

Этого достаточно, чтобы парсер не работал корректно. Если стесняетесь, то можете распарсить отчёты сами, по приведённой ссылке. »

) Да не, парсил я с оригинальными данными, просто на форум выкладывая подменил домен).

Да с DKIM мне тоже не понятно как там получилось. Лучше сменить DKIM?

Цитата:

Цитата DeniTornado

Да с DKIM мне тоже не понятно как там получилось. Лучше сменить DKIM? »

Разбираться надо. Расследовать инцидент – произошла ли в самом деле утечка (мне, например, отсюда это неочевидно), если произошла, то да, сменить ключи, выяснить как произошла утечка, какие меры предпринять, чтобы это не повторилось.

Начните с добавления тега ruf=, будут приходить не только агрегированные отчёты (тег rua=), но и отчёты о фейлах прям в момент фейла. К ним будет приложено тело письма, что облегчит расследование.