DMARC —集計レポートについて

8

TL; DR
私は連絡先のないアカウント/ウェブサイトから多くのDMARCフィードバックを受け取っており、アクションを実行する必要があるかどうか、またはこれらのフィードバックレポートが深刻な問題の情報であるかどうかを明確にしたいですか?

WHMサーバーを実行し、SPFとDKIM(および_DMARC)を使用しています。すべての電子メールは同じドメインサーバーから送信されます。

_DMARC(およびDKIMとSPF)のDNS設定の例:

mydomain.co.uk     14400 IN TXT "v=spf1 mx a ip4:11.22.33.44 ip4:11.22.33.55 ~all"

default._domainkey 14400 IN TXT "v=DKIM1; k=rsa; p=<code>;

_dmarc             14400 IN TXT "v=DMARC1; p=quarantine; sp=none; 
                                rua=mailto:me@mydomain.co.uk!90m; 
                                ruf=mailto:me@mydomain.co.uk; 
                                rf=afrf; pct=100; ri=86400"

そして、私の知る限り、これはセットアップされ、期待どおりに機能します。

しかし、私のドメインとは何の関係もない、ウェブ全体のさまざまなドメインからかなりの数の自動メッセージを受け取ります。私のドメインからのメールを使用しているのは私だけです。私のドメインからメールを送信している人は他にいません。

たとえば、今朝、私はComcastからDMARC集計レポートを受け取りました。

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
    <version>1.0</version>
    <report_metadata>
        <org_name>comcast.net</org_name>
        <email>dmarc-admin@alerts.comcast.net</email>
        <report_id>v1-1483425166-mydomain.co.uk</report_id>
        <date_range>
            <begin>1483315200</begin>
            <end>1483401600</end>
        </date_range>
    </report_metadata>
    <policy_published>
        <domain>mydomain.co.uk</domain>
        <adkim>r</adkim>
        <aspf>r</aspf>
        <p>quarantine</p>
        <sp>none</sp>
        <pct>100</pct>
        <fo>0</fo>
    </policy_published>
    <record>
        <row>
            <source_ip>72.167.218.164</source_ip>
            <count>1</count>
            <policy_evaluated>
                <disposition>none</disposition>
                <dkim>fail</dkim>
                <spf>fail</spf>
            </policy_evaluated>
        </row>
        <identifiers>
            <header_from>mydomain.co.uk</header_from>
        </identifiers>
        <auth_results>
            <spf>
                <domain>bounce.secureserver.net</domain>
                <scope>mfrom</scope>
                <result>pass</result>
            </spf>
        </auth_results>
    </record>
</feedback>

いいえ、ここに記載されているドメイン以外の詳細は認識していません。提供されたIPアドレス<source_ip>は私のIPアドレスではなく、Comcastとの連絡先もまったく知りません。

基本的に、私はこれらの通知をかなり受け取りますが、それらが単に情報を提供するだけで忘れてしまう可能性があるかどうか(この場合、それらのポイントは何ですか?)通知で通知された障害を改善するためにサーバーを使用します。

そう:

  • これらのレポートは対処可能なものですか?
  • このようなDMARCレポートは、私の側でどのように処理されますか?
  • これらのレポートは、何らかの形のアカウントの侵害の指標ですか
  • これらのレポートの数は、残りの「ウェブ」に私のドメイン名を[潜在的に]よく反映していますか?

最後の2つの箇条書きに対する答えがどちらも「いいえ」であると私が思うのは注目に値するかもしれませんが、私はこれらの専門家ではありません。

私はすでに読んだこの記事をだけでなく、DMARCよくある質問そのトピックが、多くの情報はありません。集計レポートへの対応方法について。「失敗した」DMARCレポートはメール転送プログラムが原因である可能性があることを認識していますが、私のSPFでこの可能性を無効にしたいと思ってい~allます。

全体として、これらのレポートについて心配する必要はないと思いますが、規則性として認識していることと(私が思うに)受け取っている集計レポートの数が比較的多いため、セカンドオピニオンをお願いします。

email 
マーティン
ソース

回答:

6

これらのレポートは対処可能なものですか?

はい。ただし、ほとんどの情報で、構成に問題がないことを確認できます。

このようなDMARCレポートは、私の側でどのように処理されますか?

通常、これらのレポートは、このデータをグラフ、統計、注意が必要な問題を含むきれいなレポートに変換する自動システムによって処理されます。このタイプのシステムを見たことがない場合は、dmarcian.comをチェックして、無料の基本サービスを提供し、開始して、何ができるか、何ができないかを理解できるようにしてください。これを機能させるには、DMARCレコードで提供されているメールアドレスを使用する必要があります。

これらのレポートは、何らかの形のアカウントの侵害を示していますか?

いいえ、これは、ドメイン名からのメッセージであると主張するメッセージを処理したDMARC対応サーバーからのすべてのアクティビティのレポートであり、基本的に、メッセージの受信元、送信元、処理方法、および理由を通知します。

これらのレポートの数は、私のドメイン名をウェブの他の部分に反映する可能性がありますか?

いいえ、これらのレポートはDMARCレコードで指定されたメールアドレスにのみ送信され、ウェブには公開されません。悪影響の唯一の真の可能性は、SPFまたはDKIM、あるいはその両方を間違って設定し、大量のメッセージが拒否/ブロックされてしまう場合ですが、少なくともDMARCを使用すればそれを知ることができます。

リッチホールストーク
ソース
安心していただきありがとうございます。私はそれ以来アカウント(無料)をセットアップしましたdmarcian.comが、それがなぜそのように有益であるのかすぐにはわかりませんでしたが、レポートが提供するフィードバックデータを要約していると思います。
マーティン
1
特に、レポート内のデータの量とそれらを受け取る頻度が重要な場合は、目にやさしいだけです。DMARCレポートはコンピューターで処理されるように設計されており、dmarcian.comインターフェースは人間が読み取るように設計されています。dmarcian.comインターフェースのファンでない場合は、いつでも独自の自動処理ソリューションを思い付くことができます。あなたが探検できる他のものも存在しますが、これは私が知っている唯一の無料のものです。お役に立てれば。
richhallstoke 2017年
2

あなたの例への回答として: 多くのDMARCの失敗は、たとえばGoogle Groups for Businessを使用して、転送リストとメーリングリストにさかのぼることができます。ただし、レポートでは、secureserver.netの一部であるホストから電子メールが送信されたことが示されています。SPFはのリターンパスでチェックされ、パスさbounce.secureserver.netれました。

おそらくこれは、元の電子メール送信者に送り返された、アンチスパムまたは受信SMTPサービスからのバウンスメッセージであり、電子メールを送信しようとしたものです。バウンスは、変更されたリターンパスであなたに代わって送信されます。SecureServer.netはGoDaddyの一部ですが、GoDaddyまたはアフィリエイトでホスティングしていますか?

あなたの声明への返答として:

「失敗した」DMARCレポートはメール転送プログラムが原因である可能性があることを認識していますが、私のSPFでこの可能性を無効にしたいと思ってい~allます。

DMARCは、SPFまたはDKIMのいずれかのチェックの結果が、Fromアドレスドメインに沿って合格である場合にのみ合格と評価します。だから~all、問題が否定されるという意味がわかりません。

フォワーダーは通常、return-pathを独自のバウンスアドレスに書き換え、元のドメインとの位置合わせに失敗します。第ARCのプロトコルは、ドラフトではまだですが、信頼されるフォワーダのためのDMARCとSPFの位置合わせのため、この転送の問題を否定すべきです。また、署名されたフィールドがフォワーダーによって変更されない限り、DKIM署名はほとんどの場合、そのまま残ります。したがって、DMARCはDKIMに基づいて引き続き通過できます。

最後に一つだけ:

DMARCポリシーでは、sp=noneすべてのサブドメインのポリシーを公開しますp=quarantine。そうしないと、ポリシーが継承されます。これにより、ドメインを偽装している人はだれでも、使用するサブドメインを選択するだけで済みますapp.mydomain.co.uk。おそらくこれは望ましい設定ですが、私はそれを指摘したかっただけです。

レイント
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.