Warum scheinen SPF-Prüfungen nutzlos zu sein?

497
Petr

Ich habe einen SPF-Datensatz für eine Domäne festgelegt, obwohl der Absender trotzdem funktioniert, ist der Grund recht einfach:

Es scheint, dass es 3 verschiedene "von" E-Mails gibt:

  • Antwort an
  • Der Weg zurück
  • Umschlag von

Weitere Informationen finden Sie unter https://stackoverflow.com/questions/1235534/was-is-der-verhaltensunterschieds-zwischen-rückkehrpfad/einfach/von-und-von

Ihr reply toE- Mail-Client wird als E-Mail- Adresse des Absenders angezeigt, jedoch scheinen E-Mail-Server SPF-Prüfungen durchzuführen return pathoder envelope fromwas für mich keinen Sinn macht.

Es bedeutet, dass, wenn ich eine E-Mail senden, die sagen werden return pathund envelope fromsind hacker.netund reply toist, someone@victim.orgdie ich zu fälschen bin versucht, wird es für die SPF - Überprüfung von hacker.netnun an, dass es meine Domäne war, die ich SPF konfiguriert, wäre es passieren und erhalten geliefert an das Postfach des Opfers als E-Mail ab, someone@victim.orgauch wenn ich keine E-Mails versenden darf, wodurch victim.orgdie SPF-Prüfung effektiv umgangen wird.

Gibt es eine Möglichkeit, das Problem zu beheben? Es scheint, dass dies nur DMARCin der Lage ist, dies zu verhindern, aber wenn dies wahr ist, was ist der Sinn von SPF-Prüfungen?

1

1 Antwort auf die Frage

1
anthony don

Um Ihre Liste der verschiedenen "Von" -Werte zu vervollständigen, würde ich Folgendes hinzufügen:

  • From, der vom Client festgelegte und in RFC 5322 ( RFC 5322.From) definierte Header ist
  • Reply to, ist auch ein vom Client festgelegter Header, der in RFC 5322 definiert ist
  • Return pathund Envelope frombeide beziehen sich auf das Argument des MAIL FROMBefehls während der SMTP-Sitzung ( RFC 5321.MailFrom).

Der Zweck von DMARC besteht darin, die Richtlinie zu übermitteln, die auf Nachrichten angewendet werden soll, bei denen sowohl SPF als auch DKIM fehlschlagen, anstatt sich auf die lokalen Richtlinien zu verlassen. Diese Richtlinie wird durch den Eigentümer des Domänennamens des Absenders ausgedrückt (unter Verwendung des p=Parameters des DMARC-Datensatzes).

Während der DMARC-Bewertung wird eine Identifier- Überprüfung (siehe RFC 7489, Abschnitt 3.1) durchgeführt, die Folgendes sicherstellt:

  • Der Domainname des RFC 5321.MailFromübergebenen SPF stimmt mit der Domain des übereinRFC 5322.From
  • Der in der übergebenen DKIM verwendete Domänenname stimmt mit der Domäne der überein RFC 5322.From

Um Ihr Problem zu beheben, sollten Sie einen DMARC-Eintrag in der victim.orgDNS-Zone veröffentlichen:

_dmarc.victim.org IN TXT "v=DMARC1; p=quarantine; rua=mailto:admin@victim.org"

Dadurch wird sichergestellt, dass eine fehlerhafte Identifier-Ausrichtung, wie in Ihrem Beispiel, zu einem DMARC-Fehler führt und die Nachricht als Spam markiert wird.

Die SPF-Prüfung soll sicherstellen, dass die IP-Adresse des Clients während der SMTP-Sitzung vom Eigentümer von zugelassen wird hacker.net. In deinem Beispiel soll SPF hier hacker.netnicht schützen victim.org:-)

Wenn Sie einen Blick auf die Vogelperspektive haben möchten, habe ich einen Beitrag veröffentlicht, in dem dargestellt ist, wie SPF, DKIM und DMARC zusammenarbeiten, um Spear-Phishing zu verhindern (bis zur Mitte des Beitrags scrollen).

Verwandte Probleme