web-dev-qa-db-ja.com

DKIMを使用しないか、ドメインからのエンベロープに有効なDKIMを含むSMTPエンベロープを使用するだけで、DMARCポリシーのDKIM要件をバイパスできますか?

DMARCには「すべての電子メールに署名する必要がある」と言う方法がないと言うのは正しいですか。ここでの私の理解は、DKIMを緩くまたは厳密にすることを指定できるということです-つまり、ifメッセージがたまたま署名されていることを理解しています([email protected]から送信された電子メールを検討してください) )::

  • 緩い:DKIM DNS TXTレコードがサブドメイン([email protected])に属していても問題ありません
  • 厳密:DKIM DNS TXTレコードは正確な送信ドメインに属している必要があります([email protected]

ただし、DKIM署名がまったくない電子メールや、FROMヘッダーに[email protected]が含まれている可能性があるが、[email protected]のようなSMTPエンベロープが含まれている電子メールもあります。 some-mail-sending-service.comには有効ですが、b.comには無効なDKIM署名。

上記のどちらの場合も、ある意味でどちらも「合格」であると言っても過言ではありません。前者の例には無効なDKIMがないため、問題はありません。後者は、実際にはエンベロープの整列されたDKIMパスであるため、これも問題ないと見なされますか?

次のようなDMARCポリシーがある場合:

v=DMARC1;p=reject;rua=mailto:xyz;ruf=mailto:xyz;adkim=s;aspf=s;pct=100;fo=1;sp=reject

悪意のある当事者は、次のいずれかの場合、DKIMに関連する理由で拒否されないというのは正しいですか。

  1. DKIMはまったく使用しないでください。
  2. 有効な署名を持つDKIMを使用し、SMTPエンベロープを使用するメールサーバーから送信します。

上記の両方の場合、DMARCのDKIMポリシーだけでは、この電子メールはブロックされませんか?

dkimdmarc
1
David

DMARC準拠のメールを取得するために必要な「調整」が主に不足していると思います。これが、DMARCを既存の手法と区別するものです。

アラインメントとは、DMARCでは、「From」ドメインと同じ*ドメインを使用して認証(SPF/DKIM)を設定する必要があることを意味します。 SPFドメイン(Envelope From)とDKIMドメイン間の調整についておっしゃいましたが、これは当てはまりません。

したがって、攻撃者はできません次の場合にDMARCを通過させるメールを取得します。

  • your-company.comの「From」ヘッダーを使用します
  • 合格したDKIM署名でメールに署名します(d = attacker.com)
  • 通過するEnvelopeFrom(/ Return-Path)を使用してattacker.comに送信します

*)アライメントモードを使用して、完全一致(厳密)またはサブドメインの一致を許可する(リラックス)かどうかを指定できます

これはあなたを助け、あなたの質問に答えますか?

よろしく、

ミシエル

DMARCアナライザー

1
DMARC Analyzer - Michiel