すべてのヘッダーがGMailのように偽装されているのに、DKIM検証がYahooの署名で成功するのはなぜですか?
今日私は私が解剖することに決めた詐欺メールを受け取りました。 GMailアドレス(From、Reply-To、Return-Path)しかし、メール自体がYahooから送信されたものです。
- YahooのHELO
- 順方向と逆方向の両方のIPマップから受信
- メールにはyahoo.comの有効なDKIM署名があります
- Yahoo所有のIPがその一部ではないため、MailはGMail SPFをソフト失敗させる
Opendkim-testmsgを介してメールをパイプ処理しました。これにより、メッセージに問題はありません。
私はこれらすべてに本当に混乱しています。もちろん、誰でもcanメールで使用されているドメインのいずれとも一致しない場合でも、DKIMを使用して自分のドメインのメールに技術的に署名します。しかし、なぜYahooはこれを行うのでしょうか?そして、Return-PathドメインとDKIMドメインが一致しないにもかかわらず、OpenDKIMがこのメールについてフィッシングがあることを示さないのはなぜですか?
一般的なリクエストにより、一部の電子メールヘッダー。このメールは企業のメールウォッシングサービスを通じて送信されたものであることに注意してください。ただし、ヘッダー部分のDKIM署名はまだ一致しています。本文は省略しましたが、検証も行います。
Received-SPF: softfail (MYMX: transitioning domain of gmail.com does not designate 87.248.110.97 as permitted sender) client-ip=87.248.110.97; [email protected]; helo=sonic302-34.consmr.mail.ir2.yahoo.com;
Received: from sonic302-34.consmr.mail.ir2.yahoo.com ([87.248.110.97])
by MYMX with esmtps (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128)
(envelope-from <[email protected]>)
for MYNAME@MYDOMAIN; Wed, 28 Feb 2018 05:03:02 -0800
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s2048; t=1519822976; bh=35/Syp7oOntp7GfGR2tdK316KBE4uAxZC5lOM//DYjg=; h=Date:From:Reply-To:Subject:References:From:Subject; b=KvnuAmNY1sujXiLsVnNqOJzF3MFxu/jY93zu5QKtbWRy9nMOhomUrZ+398oRwLC0P0RAkCbOj5a2x5JZtrZG4/71RKmHD/ftzOJI2goX2A4KaWrsczH4RsR/kfvpmz0jNRF4nxZONN4a5NKLavt6WPG7yWokVrGh2n/zUZPiFFv8kZL0uNPdIyCC94OiBh0c6GlSRpmTe0GbTQmbDgXZ+8nf7O5kiWpALbpSBHJ22QmdFhLLQWS18xZhl/AwprHFV+txsWtat02ldjYUmoGKhXNmTcWHDLPw7n5uyKXwsaOuX1uXSLzaWUgpnrD/v/FonebJoo1qkcnZoziov6TJmw==
X-YMail-OSG: dOZOfQ0VM1lyzg2OUT1yoveGRURYm6FHV_CU8qWTCRbr8jkKD_gBSwprVT5nSNr
oxL32bI8ge8m_n_BDyDXFKnfZTDdFMGUPxFQt8bl2TLbWIC72.HGgEg6S8trxoSkeYLsPM8tUIhL
XPCdlp3sNlz4quLJyyJznVo55S3vYeLt5fYSOqw2kJtOvf3l.puohOlVCc5WBZO1lp82MLbBi0rq
0tCsbA3xDFW8_3JsxoJGinZ8fn0BBoqUfkfFdGv7UyoM94wlv4_GWYAQwIzicSQsC5od.fBm1lM_
zSZlsV9hfeDUkwDyQiAmFq5rCUJ.3N7Lu9IKZTwnKjWvRFNudXOkEEJwW7Dg0eRNCBx.N2c.52Bi
dfwYepO_0jqL.vF19srHCbj6PrUQjFYiIzaauD.m9IdfE692oG6o9B.w20VkMLmTcxjBKg7NC1pk
6mWavSA7yHndoNrMfcB.liBw3XSLggRvPH60M
Received: from sonic.gate.mail.ne1.yahoo.com by sonic302.consmr.mail.ir2.yahoo.com with HTTP; Wed, 28 Feb 2018 13:02:56 +0000
Date: Wed, 28 Feb 2018 13:02:52 +0000 (UTC)
From: hs <[email protected]>
Reply-To: hs <[email protected]>
Message-ID: <[email protected]>
Subject: MRS.HELEN SOLOMON FUNDS TRANSFER ASSISTANCE.
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
References: <[email protected]>
To: Undisclosed recipients:;
Return-Path: [email protected]
MIME-Version: 1.0
ヘッダーを確認しないと確信が持てませんが、私の推測では、from/reply-to/return-pathはすべて偽装されており、SMTPトランザクションの一部として攻撃者によって渡されているだけです。あなたが言ったように、HELOはヤフーから来て、それに署名したのはヤフーです。 Yahooは、トランザクション内のヘッダーの値を保証していません。それは、それがyahooサーバーに挿入され、それがyahooに代わってDKIMに忠実に署名し、その後オフになったということだけです。
Return-PathとDKIMドメインが一致しない場合にOpenDKIMがフィッシングを示さない理由については、OpenDKIM担当者が回答する質問/バグレポートになります。繰り返しますが、これはMTA送信者のドメインを照合するだけで、DKIM署名と照合します。
私はそれがバグのようだと同意します。
すべての [〜#〜] dkim [〜#〜] は、メッセージの特定の部分が送信SMTPサーバーとクライアントの署名の間で変更されなかったことを示しています(この場合、DKIMは本文に署名し、 DKIM-Signatureヘッダーのbおよびhキーで識別されるいくつかのヘッダー)。
誠実さ≠権限≠安全
整合性:これらのアイテムは署名されているため、送信リレーと最終受信者(あなた)の間で干渉されないことが保証されます。署名の一致が確認されると、サーバーがユーザーが行ったのと同じコンテンツを認識したことが証明されます。
✅有効なDKIMを含むこのメッセージには整合性があるため、送信者が意図したとおりに表示されます。
権限:[〜#〜] dmarc [〜#〜] (および [〜#〜] spf [〜#〜] )は、メッセージが問題のドメイン(gmail.com)によって承認されたかどうかを判断できます。 SPFは指定されたドメインで送信が許可されているメールサーバーをリストし、DMARCはメッセージlacksが整列したSPFまたはDKIMの場合に従うべきポリシーを記述します。 (位置合わせは、Fromヘッダーが(SPFの場合)からのエンベロープメールまたはDKIM-Signatureヘッダーのdキー(DKIM)に一致することを意味します。ホストが完全に一致する場合は「厳密」、それ以外の場合は「緩和」されます。組織ドメインが一致します。)
DKIMのd = yahoo.comはFromの@ gmail.comと一致しないため、DMARCを通過しません。 SPFは失敗します(YahooのインフラストラクチャはGMailでは許可されていません)…とにかく調整されていません。
❌このメッセージには有効な+揃えられたDKIMまたはSPFがないため、承認されていません。
…DMARCポリシー(p = none)はアクションを指示しないため、配信されました。
安全性は、サーバーがほとんど制御できないものです。ユーザーが侵害された(または最初から悪意のある)場合、アカウントを使用して署名付きスパムを送信できます。ほとんどのアウトバウンドメールリレー、特にYahooやGMailなどの無料のリレーにはアウトバウンドスパム検出機能がありますが、すべてのスパム検出システムにはヒットとミスがあり、ほとんど(特にアウトバウンドの場合)の配信側でエラーが発生します(悪意のあるメールをfalseとして通過させます)正当なメールを誤検知としてトラップするのではなく、ネガティブ)。
⚠️DKIM、SPF、DMARCはコンテンツの安全性を判断せず、整合性と権限のみを判断します。
質問が今表現されているので、私は質問の核心に切り込んでいることを望みます。
DKIMは、エンベロープの内容がドメインに対して正確であることを確認するためのものではありません。 DKIMauthorises電子メールと受信者はDKIMプロトコルを使用して、電子メールが封筒に記録されたメーラーからの送信を許可されていることを確認します。
RFCから :
DKIMを使用すると、組織は、受信者が確認できる方法でメッセージを送信する責任を負うことができます。
これにより、仲介者が電子メールの送信に署名して承認し、電子メール送信者が他のドメインに代わって送信できるようになります。
したがって、あなたのインスタンスでは、誰かが偽の送信者を作成しましたが、Yahooメールクライアントとメーラーを使用して送信しました。 SPFは(必要に応じて)失敗しますが、DKIMプロトコルは想定どおりに機能します。エンベロープに署名し、メーラーがシステムから送信された正当な電子メールとして送信します。受信者は、DKIMのおかげで、メールがYahooメーラーによる送信を許可されており、送信中に変更されていないことを確認できます。
したがって、はい、DKIMプロトコルによると、ヘッダーに表示される内容は可能ですが、完全に有効です。送信者は確認しません。それは承認します。
では、DKIMのポイントは何ですか? DKIMは、送信中の操作を防止するなど、多くの点で役立ちますが、正当な電子メール送信者を偽装するように構成されたカスタム電子メールサーバーを防止することもできます。たとえば、メールサーバーを作成し、すべてのエンベロープを設定して、メール送信者がYahooであることを示すとします。 DKIMは、受信者が電子メールを受信したときに、IPとドメイン、および署名が一致しないことを保証します。
DKIMには非常に限定された特定のユースケースがあります。このユースケースは非常に役立ちますが、このような既知の制限があります。そのため、SPF、DKIM、DMARCを組み合わせることが推奨されます。 DMARCは、SPFが失敗した場合と同様にSPFが失敗したときにDMARCが成功した場合に受信者に何をすべきかを伝えるプロトコルです。 DMARCはプロトコルを結び付け、システムでこの電子メールを拒否するポリシーを作成できます。