Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Exchange Server » Прочее - DMARC и его отчеты

Ответить
Настройки темы
Прочее - DMARC и его отчеты

Пользователь


Сообщения: 111
Благодарности: 0

Профиль | Отправить PM | Цитировать


Доброго дня коллеги!
Разбираюсь с данным механизмом и как он у нас настроен в связи с некоторыми проблемами с доставкой наших писем разным получателям.
Почитал разные ресурсы и доки на данную тему. Но все равно есть несколько вопросов и хочу удостовериться, что правильно понимаю механизмы работы DMARC, DKIM, SPF

1) Подскажите пож-та, я правильно понимаю, что нам дает DMARC указав его в ТХТ записи одного из наших доменов?
Настроив DMARC на своем домене <myfirma.com> я указываю для сервера получателя, что делать с письмами от моего домена, если они не пройдут проверку dkim или spf? Т.е. если проверки не пройдут, то письмо либо будет отброшено, либо помещено в спам. Ну как бы если мое письмо подделелают мошенники, чтобы оно казалось от имени нашего домена, то это помогает, чтобы принимающая сторона это определила. Так?

2) Везде пишут что при создании dmarc записи надо указывать имя записи _dmarc.<имя моего домена> и в поле значение параметры dmarc. Но я обнаружил, что бывший админ имя dmarc записи указал просто _dmarc. И это вроде работает!
Наш пример _dmarc TXT v=DMARC1; p=quarantine; sp=quarantine; rua=mailto:it@mydomen.com; ri=86400 и я периодически получаю на почту отчеты. Которые тоже пытаюсь понять, что в них указано.

Отчет:
К примеру такой отчет
Код: Выделить весь код
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>4236560688845416314</report_id>
    <date_range>
      <begin>1545782400</begin>
      <end>1545868799</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>MyFirma.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>quarantine</p>
    <sp>quarantine</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>40.107.13.105</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>MyFirma.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>oilmarshippingcom.onmicrosoft.com</domain>
        <result>pass</result>
        <selector>selector1-oilmarshippingcom-onmicrosoft-com</selector>
      </dkim>
      <dkim>
        <domain>MyFirma.com</domain>
        <result>fail</result>
        <selector>selector2</selector>
      </dkim>
      <spf>
        <domain>MyFirma.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  
  ........
  
  <record>
    <row>
      <source_ip>40.107.6.124</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>MyFirma.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>MyFirma.com</domain>
        <result>pass</result>
        <selector>selector2</selector>
      </dkim>
      <spf>
        <domain>MyFirma.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  
  ...........
  
  <record>
    <row>
      <source_ip>94.73.131.249</source_ip>
      <count>3</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>MyFirma.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>MyFirma.com</domain>
        <result>pass</result>
        <selector>selector2</selector>
      </dkim>
      <spf>
        <domain>MyFirma.com</domain>
        <result>fail</result>
      </spf>
    </auth_results>
  </record>
  
  .............
  
  <record>
    <row>
      <source_ip>77.88.28.101</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>MyFirma.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>MyFirma.com</domain>
        <result>pass</result>
        <selector>selector2</selector>
      </dkim>
      <spf>
        <domain>sts-shipping.com.ua</domain>
        <result>none</result>
      </spf>
    </auth_results>
  </record>
И если смотреть на этот отчет, то есть в нем source IP. Это ведь IP, с которого послали письмо от имени нашего домена на Gmail, в данном случае (раз отчет от google.com)?
Просто в первых двух блоках IP 40.107.6.124, 40.107.13.105 - это IP серверов Microsoft (мы используем Exchange 365), а вот другие два IP - это вообще ХЗ что! И в них DKIM прошел, а SPF нет!
Т.е. кто-то подделывает письма и шлет их от имени нашего домена?

Отправлено: 12:33, 28-12-2018

 

Забанен


Сообщения: 6345
Благодарности: 1436

Профиль | Цитировать


Цитата DeniTornado:
Настроив DMARC на своем домене <myfirma.com> я указываю для сервера получателя, что делать с письмами от моего домена, если они не пройдут проверку dkim или spf? Т.е. если проверки не пройдут, то письмо либо будет отброшено, либо помещено в спам. »
Либо никаких действий не будет произведено. Это настраивается в DMARC теге p=. Также необходимо указать политики при нарушении DKIM и SPF, соответственно теги adkim= и aspf=, по умолчанию они r, relaxed, то есть допускают нарушения (спам доходит).

Цитата DeniTornado:
Наш пример _dmarc TXT v=DMARC1; p=quarantine; sp=quarantine; rua=mailto:it@mydomen.com; ri=86400 »
Если добавить теги aspf=s; adkim=s; то при фейле проверки DKIM/SPF письма будут помечаться как карантинные и отправляться в спам. Осторожно, при неверных настройках DKIM/SPF в спам пойдут и легитимные письма.

Цитата DeniTornado:
Т.е. кто-то подделывает письма и шлет их от имени нашего домена? »
Возможно. Ну если только у вас нет релей-сервера в Турции

PS Если б вы не поковырялись ручками в отчёте, пытаясь его анонимизировать, его можно было бы распарсить, чтобы легче понимать.

Отправлено: 13:19, 28-12-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 111
Благодарности: 0

Профиль | Отправить PM | Цитировать


Да я в отчете только наш домен поменял на MyFirma.com ). Больше ни чего не трогал!

Разбираясь в этом всем, просто пытаюсь понять, кто наш домен вгоняет в черные списки(. Все началось с того что нам ломанули на одном веб хостинге CMS-ку на которой лежал сайт. И стали слать спам с этого IP от имени этого домена. Заразу вроде пристрелили. Даже заморочились и перенесли CMS на другой веб хостинг. Несколько дней после этого, письма от нашего этого домена доходили получателям нормально и даже не светились ни в одном черном списке, а вчера стали опять попадать в спам и домен уже в двух списках. Сразу выяснилось, что CMS опять расковыряли уже на новом веб хостинге. Но техподдержка говорит, что с их серверов от имени нашего домена ни какая исходящая почта не уходит. Значит источник где-то в другом месте.

По этой ссылке (спасибо) я парсил отчеты. Просто было непонимание самого DMARC. Отчет ведь показывает с какого IP на какого почтового провайдера ушли письма в каком кол-ве и какие проверки они не прошли?

Отправлено: 13:40, 28-12-2018 | #3


Забанен


Сообщения: 6345
Благодарности: 1436

Профиль | Цитировать


Цитата DeniTornado:
Да я в отчете только наш домен поменял на MyFirma.com ). Больше ни чего не трогал! »
Этого достаточно, чтобы парсер не работал корректно. Если стесняетесь, то можете распарсить отчёты сами, по приведённой ссылке.

Смущает, что письма с помойки проходят DKIM. Без приватного ключа это невозможно, но если вы говорите, что вас регулярно ломают, то возможно и этот ключ был скомпрометирован.

Последний раз редактировалось Jula0071, 28-12-2018 в 13:49.


Отправлено: 13:43, 28-12-2018 | #4


Пользователь


Сообщения: 111
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата Jula0071:
Этого достаточно, чтобы парсер не работал корректно. Если стесняетесь, то можете распарсить отчёты сами, по приведённой ссылке. »
) Да не, парсил я с оригинальными данными, просто на форум выкладывая подменил домен).

Да с DKIM мне тоже не понятно как там получилось. Лучше сменить DKIM?

Отправлено: 14:07, 28-12-2018 | #5


Забанен


Сообщения: 6345
Благодарности: 1436

Профиль | Цитировать


Цитата DeniTornado:
Да с DKIM мне тоже не понятно как там получилось. Лучше сменить DKIM? »
Разбираться надо. Расследовать инцидент – произошла ли в самом деле утечка (мне, например, отсюда это неочевидно), если произошла, то да, сменить ключи, выяснить как произошла утечка, какие меры предпринять, чтобы это не повторилось.

Начните с добавления тега ruf=, будут приходить не только агрегированные отчёты (тег rua, но и отчёты о фейлах прям в момент фейла. К ним будет приложено тело письма, что облегчит расследование.

Последний раз редактировалось Jula0071, 28-12-2018 в 17:52.


Отправлено: 14:18, 28-12-2018 | #6



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Exchange Server » Прочее - DMARC и его отчеты

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
550 5.7.0 Message rejected per DMARC policy doomspace Хочу все знать 3 12-12-2018 21:09
ISA 2006 формирует пустые отчеты vicking ISA Server / Microsoft Forefront TMG 5 11-09-2012 09:32
Прочие - Отчеты Dynamic CRM 4.0 Kitana Программное обеспечение Windows 0 16-05-2012 11:04
Загрузка - [решено] Отчеты журнала событий cneltyn Microsoft Windows 7 1 17-02-2012 18:40
Прочие - Отчеты о проблемах и их решениях NVST Microsoft Windows Vista 0 01-10-2009 22:07




 
Переход