Почему проверки SPF кажутся бесполезными?

Question

Я установил запись SPF для домена, однако подделка отправителя все еще работает, причина довольно проста:

Похоже, в электронном письме есть 3 различных "от":

• Ответить на
• Обратный путь
• Конверт из

См. Https://stackoverflow.com/questions/1235534/what-is-the-behavior-difference-between-return-path-reply-to-and-from для получения дополнительной информации.

Ваш почтовый клиент отображает reply to как электронную почту отправителя, однако почтовые серверы, кажется, выполняют проверки SPF на предмет return path или envelope from которых для меня нет смысла.

Это означает, что если я отправлю электронное письмо с сообщением, что return path и envelope from hacker.net а reply to это: someone@victim.org который я пытаюсь подделать, он проверит SPF на hacker.net , теперь предположим, То, что это был мой домен, для которого я настроил SPF, он будет передаваться и доставляться в почтовый ящик жертвы в виде почты от someone@victim.org даже если мне не разрешено доставлять электронные письма для victim.org , эффективно обходя проверку SPF.

Есть ли способ это исправить? Кажется, что только DMARC может предотвратить это, но если это правда, какой смысл проверок SPF?

Answer 1

Просто, чтобы завершить ваш список различных значений "От", я бы добавил:

• From , который является заголовком, установленным клиентом и определенным в RFC 5322 (RFC 5322.From)
• Reply to , также является заголовком, установленным клиентом и определенным в RFC 5322
• Return path и Envelope from обоих относятся к аргументу команды MAIL FROM во время сеанса SMTP (RFC 5321.MailFrom)

Цель DMARC - передать политику, применяемую к сообщениям, которые не работают как с SPF, так и с DKIM, вместо того, чтобы полагаться на локальные политики. Эта политика выражается владельцем доменного имени отправителя (с использованием параметра p= записи DMARC).

Во время оценки DMARC проводится проверка выравнивания Идентификатора (см. RFC 7489, раздел 3.1), которая обеспечивает либо:

• доменное имя RFC 5321.MailFrom переданного SPF совпадает с доменом RFC 5322.From
• доменное имя, используемое в переданном DKIM, соответствует домену RFC 5322.From

Поэтому, чтобы решить вашу проблему, вы должны опубликовать запись DMARC в зоне DNS victim.org :

_dmarc.victim.org IN TXT "v=DMARC1; p=quarantine; rua=mailto:admin@victim.org"

Это гарантирует, что неудачное выравнивание идентификатора, как в вашем примере, приведет к сбою DMARC, и сообщение будет помечено как спам.

Смысл проверки SPF заключается в том, чтобы владелец hacker.net разрешил IP-адрес клиента во время сеанса SMTP. В вашем примере SPF здесь для защиты hacker.net не victim.org :-)

Если вы хотите посмотреть с высоты птичьего полета, я опубликовал пост с иллюстрацией того, как SPF, DKIM и DMARC работают вместе для предотвращения фишинг-фишинга (прокрутите до середины поста)