web-dev-qa-db-ja.com

DMARC電子メールSPFpolicy_evaluated&auth_resultのステータスに一貫性がありません

私たちのサービスからの電子メールの一部(すべてではありません)は、Gmailによるフィッシングおよびhotmailによるスパムとしてフラグが立てられています。

フィッシングとしてマークされているメールは、AmazonSESを使用して実際の送信を行うEC2VMにデプロイされたアプリケーションから送信されます。アプリケーションは、フラグが付けられていない他の電子メールを送信します(現在、アプリから送信される電子メールは4種類あります)。

また、OVHでホストされているMS Exchangeアカウントを使用して、このドメインから電子メールを送信しているユーザーがいます。そのため、spfレコードにはovhエントリが含まれています。

ドメインに次のレコードを構成しました。

_amazonses.mydomain.com.    1799    IN  TXT "JiAZ9E5gIc7VbPfMI4rYSBGZJeTe3lTF+eigtVUF1fg="
_amazonses.mydomain.com.    1799    IN  TXT "vkSOtQqrtz2frIPg+6SeU7CmCenkTPjjvZdCQe/u0Qk="
_dmarc.mydomain.com.    299 IN  TXT "v=DMARC1\;p=none\;rua=mailto:[email protected]"
2anucjune6cx5dfjwtpg5w7xi5bivkdi._domainkey.mydomain.com. 1799 IN CNAME 2anucjune6cx5dfjwtpg5w7xi5bivkdi.dkim.amazonses.com.
5m7pppm63mxlxz3w3al3juxlgwb4j67m._domainkey.mydomain.com. 1799 IN CNAME 5m7pppm63mxlxz3w3al3juxlgwb4j67m.dkim.amazonses.com.
7tpgaubzvve5ekkq3pyu7rhmrxhgif5f._domainkey.mydomain.com. 1799 IN CNAME 7tpgaubzvve5ekkq3pyu7rhmrxhgif5f.dkim.amazonses.com.
mydomain.com.       299 IN  TXT "v=spf1 a mx include:amazonses.com include:mx.ovh.com ~all"
mydomain.com.       299 IN  SPF "v=spf1 a mx include:amazonses.com include:mx.ovh.com ~all"

Googleから取得したDMARCレポートは次のとおりです。

  <record>
    <row>
      <source_ip>54.240.6.219</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>mydomain.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>mydomain.com</domain>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>eu-west-1.amazonses.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

これがhotmail.comからのものです

<record>
  <row>
    <source_ip>54.240.6.212</source_ip>
    <count>1</count>
    <policy_evaluated>
      <disposition>none</disposition>
      <dkim>pass</dkim>
      <spf>fail</spf>
    </policy_evaluated>
  </row>
  <identifiers>
    <header_from>mydomain.com</header_from>
  </identifiers>
  <auth_results>
    <spf>
      <domain>eu-west-1.amazonses.com</domain>
      <result>pass</result>
    </spf>
    <dkim>
      <domain>mydomain.com</domain>
      <result>pass</result>
    </dkim>
  </auth_results>

ご覧のとおり、policy_evaluatedのSPFエントリのステータスはfailですが、auth_resultsにはspfがpassとしてリストされています。一貫性のないステータスを説明できるものは何ですか?この矛盾が、フィッシング/スパムとしてフラグが立てられているメールの原因になる可能性はありますか?

7
Jean

これは、DMARCドメインの配置の問題が原因のようです。レポートに示されているように、SPF認証結果のドメインは「eu-west-1.amazonses.com」であり、「mydomain.com」のheader_fromと一致していません。 DMARCがamazonses.comドメインでSPF評価を行っている理由はわかりません。私は同じ問題を抱えており、それを解決する方法を理解していません。 DMARCドラフト から:

   Example 3.  This record indicates a single message matching this set
   of data points.  The DMARC disposition for this message was "reject"
   based on DMARC aligned results for SPF and DKIM of "fail" and the
   domain's reject policy.  There was no DKIM signature on this message,
   as in Example 1.  The SPF authentication result was "pass" with a
   MAILFROM domain of "classifiedads.com".  The SPF domain is not
   aligned with the header From domain, causing the DMARC aligned SPF
   result to be "fail".

   <record>
      <row>
         <source_ip>65.61.105.5</source_ip>
         <count>1</count>
         <policy_evaluated>
            <disposition>reject</disposition>
            <dkim>fail</dkim>
            <spf>fail</spf>
            </policy_evaluated>
         </row>
      <identifiers>
         <header_from>facebook.com</header_from>
         </identifiers>
      <auth_results>
         <dkim>
            <domain></domain>
            <result>none</result>
            </dkim>
         <spf>
            <domain>classifiedads.com</domain>
            <result>pass</result>
            </spf>
         </auth_results>
      </record>
5
lid

これが、メッセージにフィッシング/スパムのフラ​​グが付けられる原因ではない可能性があります。 <policy_evaluated>要素は、DKIMを渡しているため、DMARC全体を渡していることを示しています。

policy_evaluatedのSPFエントリのステータスは失敗ですが、auth_resultsにはspfが合格としてリストされています。一貫性のないステータスを説明できるものは何ですか?

Auth_resultsは、全体的なDMARC評価では識別子の配置を考慮しません。そのため、SPFのauth_resultsは成功し、全体的なSPF結果は失敗する可能性があります。

しかし、なぜSPFはあなたのドメインではなくamazonses.comドメインに対して評価されるのですか? DKIMとは異なり、SPFはFromヘッダー(ドメインになります)のドメイン名を検証しません。 SMTP送信者のIPアドレスを検証します。この場合、それはAmazon IPアドレスであり、SPFを正しく渡します。

参照:

https://tools.ietf.org/html/rfc7489

http://sesblog.Amazon.com/post/Tx3IREZBQXXL8O8/SPF-and-Amazon-SES

5
Ed Rowe