Dkim
是否可以簡單地通過不使用 DKIM 或使用帶有有效 DKIM 的 SMTP 信封來繞過 DMARC 策略 DKIM 要求來處理來自域的信封
我是否可以說 DMARC 沒有辦法說“所有電子郵件都必須簽名”。我的理解是,我可以指定我希望 DKIM 寬鬆或嚴格——我理解的意思是,如果消息恰好已簽名(考慮從 發送的電子郵件
example@b.com):
- 鬆懈:DKIM DNS TXT 記錄屬於子域是可以的 (
example@a.b.com)- 嚴格:DKIM DNS TXT 記錄必須屬於確切的發送域 (
example@b.com)但是,也有一些電子郵件根本沒有 DKIM 簽名,而其他電子郵件可能包含
example@b.com在FROM標頭中但具有來自 like 的 SMTP 信封,example@some-mail-sending-service.com並且確實具有some-mail-sending-service.com對b.com.在上述兩種情況下,我是否可以正確地說它們在某種意義上都是“PASSES”。前一個例子沒有無效的 DKIM,所以沒關係,而後者實際上是一個對齊的 DKIM 通行證,用於信封,所以也被認為是好的?
如果我有這樣的 DMARC 政策:
v=DMARC1;p=reject;rua=mailto:xyz;ruf=mailto:xyz;adkim=s;aspf=s;pct=100;fo=1;sp=reject我是否正確地說,惡意方不會因為與 DKIM 相關的原因而被拒絕,如果他們:
- 根本不使用 DKIM。
- 從使用具有有效簽名的 DKIM 並使用 SMTP 信封的郵件伺服器發送。
在上述兩種情況下,僅 DMARC 的 DKIM 政策不會導致此電子郵件被阻止?
我認為您主要缺少獲得符合 DMARC 的郵件所需的“對齊”。這就是 DMARC 與現有技術的不同之處。
對齊意味著 DMARC 要求您使用與“發件人”域相同的域來設置身份驗證 (SPF/DKIM)。您提到了 SPF 域(信封從)和 DKIM 域之間的對齊,但這並不適用。
因此,如果攻擊者願意,他們將無法獲得通過 DMARC 的郵件:
- 使用 your-company.com 的“發件人”標題
- 使用傳遞的 DKIM 簽名對郵件進行簽名 (d=attacker.com)
- 使用attacker.com 的傳遞信封發件人(/Return-Path)發送
*) 使用對齊模式,您可以指定是否要完全匹配(嚴格)或要允許子域匹配(寬鬆)
這對您有幫助並回答您的問題嗎?
問候,
邁克爾
DMARC 分析儀