Um Ihre Liste der verschiedenen "Von" -Werte zu vervollständigen, würde ich Folgendes hinzufügen:
From
, der vom Client festgelegte und in RFC 5322 (RFC 5322.From
) definierte Header istReply to
, ist auch ein vom Client festgelegter Header, der in RFC 5322 definiert istReturn path
undEnvelope from
beide beziehen sich auf das Argument desMAIL FROM
Befehls während der SMTP-Sitzung (RFC 5321.MailFrom
).
Der Zweck von DMARC besteht darin, die Richtlinie zu übermitteln, die auf Nachrichten angewendet werden soll, bei denen sowohl SPF als auch DKIM fehlschlagen, anstatt sich auf die lokalen Richtlinien zu verlassen. Diese Richtlinie wird durch den Eigentümer des Domänennamens des Absenders ausgedrückt (unter Verwendung des p=
Parameters des DMARC-Datensatzes).
Während der DMARC-Bewertung wird eine Identifier- Überprüfung (siehe RFC 7489, Abschnitt 3.1) durchgeführt, die Folgendes sicherstellt:
- Der Domainname des
RFC 5321.MailFrom
übergebenen SPF stimmt mit der Domain des übereinRFC 5322.From
- Der in der übergebenen DKIM verwendete Domänenname stimmt mit der Domäne der überein
RFC 5322.From
Um Ihr Problem zu beheben, sollten Sie einen DMARC-Eintrag in der victim.org
DNS-Zone veröffentlichen:
_dmarc.victim.org IN TXT "v=DMARC1; p=quarantine; rua=mailto:admin@victim.org"
Dadurch wird sichergestellt, dass eine fehlerhafte Identifier-Ausrichtung, wie in Ihrem Beispiel, zu einem DMARC-Fehler führt und die Nachricht als Spam markiert wird.
Die SPF-Prüfung soll sicherstellen, dass die IP-Adresse des Clients während der SMTP-Sitzung vom Eigentümer von zugelassen wird hacker.net
. In deinem Beispiel soll SPF hier hacker.net
nicht schützen victim.org
:-)
Wenn Sie einen Blick auf die Vogelperspektive haben möchten, habe ich einen Beitrag veröffentlicht, in dem dargestellt ist, wie SPF, DKIM und DMARC zusammenarbeiten, um Spear-Phishing zu verhindern (bis zur Mitte des Beitrags scrollen).