web-dev-qa-db-ja.com

このメールはどのようにSPFチェックを覆しているのですか?

私は、SPFが設定された電子メールを正しく処理しているように見えるメールサーバーを実行しています。

メールの関連ヘッダーは次のとおりです。

Delivered-To: [email protected]
Received: from mail.mydomain.org (localhost [127.0.0.1])
    by mail.mydomain.org (Postfix) with ESMTP id AD4BB80D87
    for <[email protected]>; Thu, 13 Oct 2016 20:04:01 +1300 (NZDT)
Received-SPF: none (www.tchile.com: No applicable sender policy available) receiver=mydomain.org; identity=mailfrom; envelope-from="[email protected]"; helo=www.tchile.com; client-ip=200.6.122.202
Received: from www.tchile.com (www.tchile.com [200.6.122.202])
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by mail.mydomain.org (Postfix) with ESMTPS id 40F6080B9F
    for <[email protected]>; Thu, 13 Oct 2016 20:03:57 +1300 (NZDT)
Received: from www.tchile.com (localhost.localdomain [127.0.0.1])
    by www.tchile.com (8.13.1/8.13.1) with ESMTP id u9D73sOG017283
    for <[email protected]>; Thu, 13 Oct 2016 04:03:55 -0300
Received: (from Apache@localhost)
    by www.tchile.com (8.13.1/8.13.1/Submit) id u9D73smu017280;
    Thu, 13 Oct 2016 04:03:54 -0300
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <[email protected]>
To: [email protected]
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <[email protected]>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

ここで重要なのは、kiwibank.co.nzが私が出身で信頼できる正当な銀行であり、次のようなSPFレコードがあることです。

kiwibank.co.nz.     13594   IN  TXT "v=spf1 include:_spf.jadeworld.com ip4:202.174.115.25 ip4:202.126.81.240 ip4:202.12.250.165 ip4:202.12.254.165 ip4:66.231.88.80 include:spf.smtp2go.com include:spf.protection.Outlook.com -all"

したがって、いくつか読んだところ、Envolope-Fromは正しいようですが、「From」は偽造されています。 「一般的な」電子メールを壊すことなくこれを修正/緩和できる方法はありますか?私はPostfix、Spamassassin、policyd(postfix-policyd-spf-Perl)を使用していることに注意してください。バイパスが本当に簡単な場合、SPFのポイントは何ですか?

13
davidgo

この場合、それらはおそらくがサーバーに次のように言っています:

EHLO www.tchile.com
MAIL FROM: [email protected] 
RCPT TO: [email protected]
DATA
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <[email protected]>
To: [email protected]
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <[email protected]>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

The contents of mail...
.

SMTP会話(「エンベロープ」とも呼ばれます)は、電子メールヘッダーとは異なるFrom/Toを持つことができます。 SPFはヘッダーをチェックしませんが、実際にエンドユーザーに表示されるのは常にヘッダーです!はい、SMTPはthatが壊れています。はい、SPFはthatが壊れています。

SPFだけをチェックするのではなく、DMARCをチェックすることで最善のサービスが提供されます。 DMARCはデフォルトでSPFをチェックしますが、SMTP MAIL FROMとのFromヘッダーのアライメントもチェックします(ドメインは一致する必要があります-ユーザー名の部分は無視されます)。おまけとして、SPIMの非常に便利な補遺であるDKIMサポートも利用できます。

DMARCは、DNSに依存しますTXT _dmarc.kiwibank.co.nzに設定されたレコードですが、現在はありません。現在のインターネット規制の現状では、kiwibank.co.nzの所有者を意味します。はこのようななりすましから保護されることをまったく気にしませんが、実装によっては、すべての受信メールにDMARCを適用することができます。

13
kubanczyk

したがって、いくつか読んだところ、Envolope-Fromは正しいようですが、「From」は偽造されています。 「一般的な」電子メールを壊すことなくこれを修正/緩和できる方法はありますか?

Fromヘッダーを確認するとwillメーリングリストが破損します。

  1. foo @ yourbankはcat-picture-sharing-list @ barにメールを送信します。

  2. メーリングリストがメールを受け取り、

    • Envelope-From cat-picture-sharing-list-bounce @ barのようなもので、
    • おそらくReply-Toヘッダーを変更し、
    • すべての受信者(あなたなど)にメールを再送信します。

今すぐあなたのメールサーバーはメールを受け取ります

Envelope-From: cat-picture-sharing-list-bounce@bar
From: foo@yourBank

バーのメールサーバーから送信されます。

私はPostfix、Spamassassin、policyd(postfix-policyd-spf-Perl)を使用していることに注意してください。バイパスが本当に簡単な場合、SPFのポイントは何ですか?

  1. 多くのスパマーは、「正しい」Envelope-Fromを送信する必要はありません。
  2. NDRはEnvelope-Fromアドレスに送信される(または送信する必要がある)ため、銀行はこのスパムメールの(ほとんど) backscatter を取得しません。
  3. Envelope-Fromに基づくスコアリングの信頼性が向上します。 Envelope-From = ... @ yourbankのすべてのメールに非常に否定的なスパムスコアを割り当てた場合(または信頼できるスコアプロバイダーの場合)、スパマーはそれを悪用することはできません。
2
Heinzi