DMARC报告分析[关闭]答案

【问题标题】：DMARC Report Analysis [closed]DMARC报告分析[关闭]
【发布时间】：2018-02-23 07:02:55
【问题描述】：

我们无法理解 DMARC 报告。下面是我们从雅虎那里得到的。

DMARC 报告

<?xml version="1.0"?>   
<feedback>  
  <report_metadata> 
    <org_name>Yahoo! Inc.</org_name>    
    <email>postmaster@dmarc.yahoo.com</email>   
    <report_id>1519264633.286724</report_id>    
    <date_range>    
      <begin>1519171200</begin> 
      <end>1519257599 </end>    
    </date_range>   
  </report_metadata>    
  <policy_published>    
    <domain>mydomain.com</domain>   
    <adkim>r</adkim>    
    <aspf>r</aspf>  
    <p>none</p> 
    <pct>100</pct>  
  </policy_published>   
  <record>  
    <row>   
      <source_ip>198.210.47.11</source_ip>  
      <count>12</count> 
      <policy_evaluated>    
        <disposition>none</disposition> 
        <dkim>fail</dkim>   
        <spf>fail</spf> 
      </policy_evaluated>   
    </row>  
    <identifiers>   
      <header_from>mydomain.com</header_from>   
    </identifiers>  
    <auth_results>  
      <dkim>    
        <domain>woodersmtp.com</domain> 
        <result>pass</result>   
      </dkim>   
      <spf> 
        <domain>woodersmtp.com</domain> 
        <result>pass</result>   
      </spf>    
    </auth_results> 
  </record>

在此报告中，SPF 和 DKIM 均未通过，但均通过。也没有得到，这是什么“woodersmtp.com”？这不是我的域。

总的来说，我想知道：

这些“woodersmtp.com”是什么以及为什么来自我域的电子邮件会通过它？
如何确保 SPF 和 DKIM 仅通过合法电子邮件？
如何找出所有这些失败邮件的邮件头？

【问题讨论】：

标签： spf dkim dmarc

【解决方案1】：

这几乎可以肯定是由于电子邮件帐户遭到入侵而发送电子邮件（并且在他们的 SPF 和 DKIM 机制中无意支持）但在邮件中使用了伪造的 From: 标头，暗示邮件已发送来自您的域。

woodersmtp.com 可能是一个带有被盗电子邮件帐户的无辜域，垃圾邮件发送者使用该域发送邮件，其中您的 mydomain.com 域被伪造为“发件人” :" 消息负载中的标头。
SPF 和 DKIM 为伪造邮件传递，因为发送 IP 地址 (198.210.47.11 ) 是真实发件人 woodersmtp.com 的专有地址，可以在该域的 SPF 记录中看到...v=spf1 +a +mx +ip4:198.210.47.11 ~all，并且自 DKIM 推出以来，邮件标头没有更改应用。这就是为什么报告的<auth_results> 部分显示了 DKIM 和 SPF 的<result>pass</result>，因为这些机制都没有尝试将实际发送域 woodersmtp.com 与伪造的“发件人：”相关联。标头域 mydomain.com。

而报告中报告的<policy_evaluated> 部分显示<dkim>fail</dkim> 和<spf>fail</spf>，因为DMARC 确实认识到这两个域没有“对齐”。当然，DMARC 继续允许传递消息，因为您在 mydomain.com 的 DMARC 策略中发布的处置是 'p=none'，因此只会作为您通过您在 DMARC 记录中发布的报告机制。您可以将处置更改为 'p=reject' 或 'p=quarantine' 以实际执行 DMARC 政策。
您可以尝试使用 DMARC 记录中的'ruf=mailto:you@mydomain.com;' 获取非常详细的取证报告。这可能包括您想要的邮件标题，但请记住，这将是中间邮件服务器积累和报告的大量信息，许多提供商会认为这很繁重，所以不要指望雅虎一定会提供你希望的细节。

如果您能够获得取证级别的报告，建议您仅在调查期间启用它们，因为随着时间的推移可能会有大量报告信息，最好使用'rua=mailto:you@mydomain.com;' 请求其余部分的汇总报告时间。

高温高压

【讨论】：