Bir SPF "sabit başarısızlığına" rağmen e-posta neden normal olarak dağıtılıyor?

9

Sahte e-posta bir SPF ile işaretlenmiş olsa bile neden sahte e-posta büyük e-posta sağlayıcılarına (gmail.com, outlook.com) teslim ediliyor anlamaya çalışıyorum hardfail. E-posta da PermErroraynı SPF kaydı için Microsoft Exchange'e teslim edilir .

Bozuk bir SPF kaydını tanımlayan SOME_DOMAIN.com alan adını kullanarak e-posta gönderiyorum. E-posta, SOME_DOMAIN.com'un SPF kaydında açıkça listelenmeyen kendi IP adresimden aktarılıyor. SOME_DOMAIN.com için SPF kaydı aşağıdaki üç özelliğe sahiptir, ilk ikisi SPF RFC-4408'in ihlalidir:

  1. Nedeniyle, tüm SPF kaydını çözmek için 10'dan fazla DNS sorgusu gerektirir include:.
  2. SPF kayıtlarından birinde sözdizimi hatası, python-spf bir ayrıştırma hatası atar.
  3. SPF kaydı hem kuralları içerir ~allve -allher ikisi söyleyerek tüm adreslerin kümesi gerektiği, softfailvehardfail

Admin@SOME_DOMAIN.com adresini taklit eden bir outlook.com adresine gönderilen e-posta, iletilen e-postanın SMTP başlığında aşağıdaki hatayı içerir. Bu e-posta normal olarak kullanıcının gelen kutusuna teslim edildi :

Received-SPF: PermError (: domain of SOME_DOMAIN.com used an invalid SPF mechanism)

Gmail, e-postayı kullanıcının gelen kutusuna da gönderir, ancak farklı bir SPF hatası atar:

spf=hardfail (google.com: domain of admin@SOME_DOMAIN.COM does not designate x.x.x.x as permitted sender) smtp.mail=admin@SOME_DOMAIN.COM

Peki burada neler oluyor? SPF'ye rağmen neden e-posta dağıtılıyor hardfail? Bozuk bir SPF kaydına sahip olmak, diğer SMTP sunucularının SPF'yi tamamen yok saydığı anlamına mı geliyor? Yoksa burada özlediğim bir şey var mı?

email  exchange  smtp  spf 
Kale
kaynak

Yanıtlar:

16

SPF, MTA'ları alan birçok site tarafından o kadar kötü yapılandırılmıştır ki, genellikle hardfailyalnızca öneri olarak sayılır ve yalnızca spam algılama puanlarına çarpar. Sonunda, SPF arızalarının nasıl ele alınacağı MTA'nın yöneticisine bağlıdır.

Flup
kaynak
2
Kabul. Kesin bir başarısızlık, e-postanın otomatik olarak reddedileceği anlamına gelmez. Alıcı sunucunun SPF'yi işlemek için nasıl yapılandırıldığına bağlıdır.
joeqwerty
Office 365'in (ve Outlook.com'un da aynı platformda) varsayılan olarak SPF doğrulamasının devre dışı olduğunu belirtmek gerekir. Bunu EOP ayarlarından etkinleştirebilirsiniz.
Thomas
6

SPF hata koşulları, istenen ilke hakkında hiçbir şey göstermez. Bu nedenle, mesajı kabul edip etmeme konusunda hiçbir rehberlik sağlamazlar. Amaçlanan politikanın olması mümkündür +all. Bu durumda postayı kabul etmek normaldir. Görünüşe göre Google, bu alan adlarıyla standarda uyma konusunda yetersiz kalıyor.

SPF ilke reddi ( -all) bile gönderen adresleri doğrulanırken güvenilir değildir. Bu tür postaları reddetmenin uygunsuz olacağı birkaç durum vardır:

  • Sözleşmeli posta gönderenler tarafından gönderilen postalar (Bu kişilere politikayı ihlal etmesi için ödeme yapılır.);
  • Web formlarından ve benzeri otomatik sistemlerden gönderilen postalar;
  • Posta listeleri veya diğer yönlendirme mekanizmaları tarafından iletilen postalar; ve
  • Sadece SPF kayıtlarının basit yanlış yapılandırılması (yaygın değil, ancak yeterince nadir değil).

Ben zor başarısız erteleyebilir oldukça küçük bir sunucu çalıştırın. Bu, yasal hataları beyaz listelememi sağlar. Gönderen, postanın teslim edilmediğini fark ederse, yapılandırmasını düzeltebilir. Bazı durumlarda ilgili kişiyle bağlantı kurmaya çalışacağım postmaster, ancak birçok alanın postmasteradresi yok.

Daha güçlü bir politika uygulamak isteyen kullanıcılar henüz standart olmayan DMARC'yi kullanabilirler. Postaların yine de teslim edilmesi muhtemeldir, ancak bu politikada belirtildiği şekilde karantinaya alınabilir veya reddedilebilir. İlkeyi geçemeyen postalar, normal gelen kutusu yerine spam klasörüne teslim edilebilir.

SPF sabit başarısızlıkları, gönderen sunucunun kimliğini doğrulamak için güvenilir görünmektedir. Bir süre önce biraz araştırma yaptım ve HELO ismindeki yumuşak başarısızlıkların bile gelen mesajları başarısız veya ertelemek için makul bir neden olduğunu buldum.

Birçok posta sunucusunun SPF kaydı yoktur. Posta sunucusunda bir SPF kaydı yoksa, bir SPF kaydı için üst etki alanını kontrol ederim. Bu standart değildir, ancak etkilidir. E-posta yöneticilerini, sunucuların IP'si için PTR kaydında listelendiği gibi bir SPF kaydının olmasını sağlamaya teşvik ediyorum. Sunucunuz kendisini PTR kaydı tarafından döndürülen adla tanımlamalıdır. Ters DNS doğrulaması için karşılık gelen bir A kaydınız olduğunu doğrulayın.

BillThor
kaynak
Outlook.com daha yumuşaktır. DMARC'ı duymadım, bu ilginç.
Kale
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.