web-dev-qa-db-ja.com

SPFおよびDMARCレコードを使用して無効な電子メールサブドメインに対抗する

私の会社のプライマリドメインの存在しないサブドメインから、不正行為者がメールを送信していることを確認できました。

私のプライマリドメインがfoo.comであるとしましょう。電子メールは、自分のメールシステムのその基本ドメインから送信されます。ヘルプデスクプロバイダー、eコマース(ストアフロント)企業、CX/NPSプロバイダーとのパートナーシップにより、それぞれからメールが送信される3つの有効な一意のサブドメイン(shop.foo.com、support.foo.com、そしてfeedback.foo.com。

私はすべて4のDKIM付きの完全なDMARCを持っています。DMARCian(DMARCレポート集約およびレポートサービス)の非常に貴重な支援により、他のサブドメインからの定期的なメールのソースがいくつかあることを確認しました-存在しないもの。たとえば、VN内の未承認で不明なエンティティが、news.foo.com&enews.foo.comからメールを送信しています。別のソースは、sales.foo.comから送信しています。この最後の1つは特に懸念されます。転送されたこの悪質な俳優からの数通のメールの内容が私の会社にかなりのダメージを与えているためです(私たちはそれを背後にある激しいニッチ市場での外国の競争相手だと思います)。

残念ながら、現在のDMARCポリシーは監視または隔離のいずれかです。拒否ポリシーを使用できません(これは別の戦いです)。

送信者を許可せず、拒否ポリシーを使用して、これらの存在しないサブドメインのSFPおよびDMARCレコードを作成することを検討しています。

これがどれほど効果的かはわかりません。私はまた、悪いアクターが異なる偽のサブドメインを使用し始めたときにそれを設定してそれを維持するための少し余分な作業以外に、どんな欠点も考えることができません。私たちは常に悪者たちの後ろの一歩です、ええ?

それで...私が考えていることについて私が考えていることに欠点はありますか?そして、それは努力の価値があると思いますか?または、これらの偽のサブドメインを処理するためのより良いアプローチはありますか?

emailspfdmarc
1
CaptainZack

ここでの主な問題は、電子メールの偽造との戦いが送信者と受信者の両方の仕事であることです。受信者が存在しないホスト名からのメールを受け入れる場合、SPF、DKIM、DMARCのいずれもチェックしない可能性があります。また、必要に応じて、これらのレコードを追加する方法は無限です。

DMARC

あなたはフルDMARCを持っていると主張していますが、p=noneまたはp=quarantineでもDMARCポリシーを完全に実施していません。ドメインに厳密なポリシーを適用できないが、サブメインには適用できる場合は、spタグ( RFC 7489、6. )が役立つことがあります。

sp:すべてのサブドメインの要求されたメールレシーバーポリシー(プレーンテキスト;オプション)。ドメイン所有者の要求に応じて受信者が実行するポリシーを示します。照会されたドメインのサブドメインにのみ適用され、ドメイン自体には適用されません。その構文は、上で定義したpタグの構文と同じです。存在しない場合は、pタグで指定されたポリシーをサブドメインに適用する必要があります。 セクション6.6. で説明されているDMARCポリシー検出メカニズムの影響により、組織ドメインのサブドメインで公開されているDMARCレコードのspは無視されます。

メールを送信するすべてのサブドメインにDKIMを配置しているとお伝えしたように、ポリシーは次のようになります。

_dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; sp=reject;"

メールの送信に使用するサブドメインがいくつかあるが、rejectを使用できない場合は、サブドメインの明示的でそれほど厳密でないポリシーでsp=rejectを上書きできます。

_dmarc.no-dkim.example.com. IN TXT "v=DMARC1; p=quarantine;"

SPF

本来あるべきように、受信者が存在しないホスト名からのメールを受け入れないと仮定しましょう。 SPFはDMARCのように継承しないため、既存のTXTレコードごとに対応するSPF Aレコードが必要です。 sub.example.comからメールを送信する予定がない場合は、次のようになります。

sub.example.com. IN TXT "v=spf1 -all"

または、ホスト自体が@sub.example.comからメールを送信できる場合:

sub.example.com. IN TXT "v=spf1 +a -all"
2
Esa Jokinen