根據 DMARC 報告,這是如何通過 DKIM 的?
我最近為我的一個域添加了 DMARC 記錄。讓我們稱之為
mydomain.com
:v=DMARC1;p=none;rua=mailto:dmarc_reports@mydomain.com;ruf=mailto:dmarc_reports@mydomain.com;fo=1"
這兩天一直在收到舉報,但是有一些記錄我不太明白。例如:
<record> <row> <source_ip>217.72.192.73</source_ip> <count>1</count> <policy_evaluated> <disposition>none</disposition> <dkim>pass</dkim> <spf>fail</spf> </policy_evaluated> </row> <identifiers> <header_from>mydomain.com</header_from> </identifiers> <auth_results> <dkim> <domain>mydomain.com</domain> <result>pass</result> <selector>2014</selector> </dkim> <spf> <domain>srs2.kundenserver.de</domain> <result>pass</result> </spf> </auth_results> </record>
我的 SPF 記錄不包括
217.72.192.73
orsrs2.kundenserver.de
並且我以前從未聽說過或使用過此伺服器來發送電子郵件,因此可以假設這是有人試圖欺騙來自mydomain.com
. 將 SPF 報告為已通過但未對齊也是可以理解的。但是,我想知道的是這是如何通過 DKIM 的?我的域的 DNS 中有以下條目:
2014._domainkey.mydomain.com. IN TXT ( "v=DKIM1; k=rsa; t=s; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEArbY9HBzct5lz6" "43Wv4pnudx+Ei6/YKifIr+AIUi5mpNGOYu6P81ooIJozVlY8flLSseurs8CFDuvs1j7FznUyrfVuYE/g" "6uD17VSaZwqfciW9wBdN25ruM0wRX+9tC7p8IDBUo1hJhrk5ngiwJpz/jpcXmfTjQdbE1M+yMrujUFNC" "vMqS2YAaAqVYPe4TMgpRum23oZm9PX0iqgkShiUXzNLzTM8NIaWXrHPnBaeKoNChbPZlHPCyvLqbJbRJ" "L+bj3P7B+9Pey04xbi2SalqH1XNLKU20Nd4wZAQAVHFvUoyj2XAzaOQnRSLavDCUYgBpt/Y9u9oAU+mb" "Cg2SLWzrQIDAQAB" )
從報告中我們可以看到,匹配的選擇器是
2014
,它來自這個 DNS 條目。由於這封電子郵件可能沒有由我的伺服器的私鑰簽名,所以這不應該是
fail
? 這是否意味著也許有人已經獲得了我的私鑰的訪問權限?奇怪的是,我的 SPF 記錄中未列出的伺服器發送的電子郵件有 5 條記錄,所有這些都將 DKIM 列為“通過”。我沒有任何 DKIM 失敗報告。
當您看到DKIM=pass但SPF=fail(IP 不在 SPF 記錄涵蓋的範圍內)時,這可能表明您的郵件已被您在 XML 報告中看到的 IP 的伺服器自動轉發。
在您的特定情況下,您的一個電子郵件收件人在 1 和 1 主機上擁有郵箱(kundenserver.de 域屬於他們),並且該郵箱已主動轉發到其他地址。
如果您查看“ org_name ”標籤(聚合報告饋送器)中的值,您將知道誰是電子郵件的最終收件人。您可能會看到一些可能的值:“google.com”、“Yahoo! Inc.”、“AMAZON-SES”、“comcast.net”、“emailsrvr.com”、“FastMail Pty Ltd”、“Mail.茹”…
所以,無需擔心。此外,如果您懷疑您的私鑰洩露,您可以隨時為郵件簽名重新生成 DKIM 密鑰並更新 DNS 中的 DKIM 公鑰。
為了讓生活更輕鬆,我建議部署DMARC.org網站上列出的 DMARC 報告處理和分析解決方案之一:
當您為您的域部署 DMARC 時,您將全面了解用於從您的域發送電子郵件的所有電子郵件來源,包括 SPF、DKIM 和 DMARC 身份驗證狀態。
我可能會建議您嘗試EasyDMARC,因為從 2018 年初開始使用它。