この電子メールは、SPFチェックを破壊しますか?


13

私は、SPFが設定された電子メールを正しく処理するように見えるメールサーバーを実行します-しかし、銀行から発信された偽の電子メールを受信し始めました-差出人アドレスを銀行として設定しますが、銀行から発信されたものではありません。

電子メールの関連ヘッダーは次のとおりです。

Delivered-To: me@mydomain.name
Received: from mail.mydomain.org (localhost [127.0.0.1])
    by mail.mydomain.org (Postfix) with ESMTP id AD4BB80D87
    for <user@mydomain.com>; Thu, 13 Oct 2016 20:04:01 +1300 (NZDT)
Received-SPF: none (www.tchile.com: No applicable sender policy available) receiver=mydomain.org; identity=mailfrom; envelope-from="apache@www.tchile.com"; helo=www.tchile.com; client-ip=200.6.122.202
Received: from www.tchile.com (www.tchile.com [200.6.122.202])
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by mail.mydomain.org (Postfix) with ESMTPS id 40F6080B9F
    for <user@mydomain.com>; Thu, 13 Oct 2016 20:03:57 +1300 (NZDT)
Received: from www.tchile.com (localhost.localdomain [127.0.0.1])
    by www.tchile.com (8.13.1/8.13.1) with ESMTP id u9D73sOG017283
    for <user@mydomain.com>; Thu, 13 Oct 2016 04:03:55 -0300
Received: (from apache@localhost)
    by www.tchile.com (8.13.1/8.13.1/Submit) id u9D73smu017280;
    Thu, 13 Oct 2016 04:03:54 -0300
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <201610130703.u9D73smu017280@www.tchile.com>
To: user@mydomain.com
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <noreply@kiwibank.co.nz>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

ここで重要なことは、kiwibank.co.nzは私が出身であり、次のようなSPFレコードを持っている正当で評判の良い銀行であることです。

kiwibank.co.nz.     13594   IN  TXT "v=spf1 include:_spf.jadeworld.com ip4:202.174.115.25 ip4:202.126.81.240 ip4:202.12.250.165 ip4:202.12.254.165 ip4:66.231.88.80 include:spf.smtp2go.com include:spf.protection.outlook.com -all"

そのため、いくつかの読書の後-Envolope-Fromは正しいように見えますが、「From」は偽造されています。「一般的な」メールを壊さずにこれを修正/軽減する方法はありますか?Postfix、Spamassassin、およびpolicyd(postfix-policyd-spf-perl)を使用していることに注意してください-本当に簡単にバイパスできる場合、SPFのポイントは何ですか

回答:


13

この場合、彼らはおそらくあなたのサーバーに次のように言ったでしょう

EHLO www.tchile.com
MAIL FROM: apache@www.tchile.com 
RCPT TO: user@mydomain.com
DATA
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <201610130703.u9D73smu017280@www.tchile.com>
To: user@mydomain.com
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <noreply@kiwibank.co.nz>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

The contents of mail...
.

SMTP会話(別名「エンベロープ」)は、電子メールヘッダーとは異なるFrom / Toを持つことができます。SPFはヘッダーをチェックしませんが、実際にエンドユーザーに表示されるのは常にヘッダーです!はい、SMTPがあることを壊れました。はい、SPFがあることを壊れました。

SPFのみをチェックするのではなく、DMARCをチェックするのが最適です。DMARCはデフォルトでSPFをチェックしますが、FromヘッダーとSMTP MAIL FROMのアライメントもチェックします(ドメインは一致する必要があります-ユーザー名の部分は無視します)。ボーナスとして、DKIMサポートを取得することもできます。これはSPFの非常に有用な補遺です。

DMARCは、_dmarc.kiwibank.co.nzで設定されたDNS TXTレコードに依存します。しかし、現在はありません。インターネット規制の現在の状態ごとに、kiwibank.co.nzの所有者を意味します。そのようななりすましからの保護についてはまったく気にしません。ただし、一部の実装では、すべての受信メールにDMARCを適用できます。


SPFは壊れていません。メール自体はここで壊れています。Envelope to!= header toには正当な理由があります。!=ヘッダーからのクロスドメインエンベロープに正当な理由はありません。
-joshudson

1
@joshudsonはい、そうです。たとえば.forward、あるアカウントから別のアカウントに転送するようにファイル(または他のメール転送)を設定した場合、メッセージの送信者(Fromヘッダー)を保存し、送信者としてメッセージを表示するのが理にかなっていますただし、その転送(エンベロープ送信者)によって生成されたバウンスは、最初にメッセージを送信した人ではなく、私に送信する必要があります。同じことがメーリングリストにも当てはまります。
デロバート

1
@derobertメーリングリストはフリンジです。メールクライアントは、明らかな偽造についてユーザーに警告しません。これは大きな問題であり、.forward使用法によってそれを正当化することはできません。
クバンチク

これは信じられないほどです。
g33kz0r

2

そのため、いくつかの読書の後-Envolope-Fromは正しいように見えますが、「From」は偽造されています。「一般的な」メールを壊さずにこれを修正/緩和できる方法はありますか?

Fromヘッダー確認すると、メーリングリスト破損します。

  1. foo @ yourbankはcat-picture-sharing-list @ barにメールを送信します。

  2. メーリングリストがメールを受け取ります。

    • Envelope-Fromcat-picture-sharing-list-bounce @ barのようなものに置き換えます。
    • Reply-Toヘッダーを変更し、
    • すべての受信者(あなたなど)にメールを再送信します。

これで、メールサーバーは

Envelope-From: cat-picture-sharing-list-bounce@bar
From: foo@yourBank

バーのメールサーバーから送信されます。

Postfix、Spamassassin、およびpolicyd(postfix-policyd-spf-perl)を使用していることに注意してください-本当に簡単にバイパスできる場合、SPFのポイントは何ですか

  1. 多くのスパマーは、「正しい」エンベロープ送信者を送信することを気にしません。
  2. NDRはEnvelope-Fromアドレスに送信される(または送信されるべき)ため、銀行はこのスパムメールの後方散乱(ほとんど)を取得しません。
  3. Envelope-Fromに基づくスコアリングの信頼性が向上します。Envelope-From = ... @ yourbankを含むすべてのメールに非常にネガティブなスパムスコアを割り当てた場合(または信頼できるスコアプロバイダー)、スパマーはそれを悪用できません。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.