Recebi um e-mail de uma empresa que parecia bem. O Gmail considerou tudo bem. Verifiquei o domínio e os vários cabeçalhos DMARC, DKIM e SPF: estão todos no status "PASS". O IP do remetente também parece estar dentro da faixa declarada pelo registro SPF.
Mas, após contactarem a empresa por telefone (por escrúpulo), afirmam que NÃO foram eles que enviaram o email. Aqui está um extrato dos cheques (ofuscando a empresa real):
...
ARC-Message-Signature: i=2; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
...
ARC-Authentication-Results: i=2; mx.google.com;
dkim=pass header.i=@<company_domain> header.s=selector1 header.b=idsPd4vx;
arc=pass (i=1 spf=pass spfdomain=<company_domain> dkim=pass dkdomain=<company_domain> dmarc=pass fromdomain=<company_domain>);
spf=pass (google.com: domain of <company_mail_address> designates <ipv6> as permitted sender) smtp.mailfrom=<company_mail_address>;
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=<company_domain>
...
Received-SPF: pass (google.com: domain of <company_mail_address> designates <ipv6> as permitted sender) client-ip=<ipv6_same_as_above>;
Authentication-Results: mx.google.com;
dkim=pass ...
arc=pass ...
spf=pass ...
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=<company_domain>
...
authentication-results: dkim=none (message not signed) header.d=none;dmarc=none action=none header.from=<company_domain>;
...
x-ms-exchange-senderadcheck: 1
x-ms-exchange-antispam-relay: 0
x-microsoft-antispam: BCL:0;
...
Agora, minha pergunta é: todas as verificações acima no estado "PASS" significam que o email foi realmente enviado do servidor de email de uma empresa? Isso significa que o servidor de e-mail considerou o cliente remetente válido?
Isto é impossível de analisar sem os cabeçalhos completos. Pode haver muitas razões para isso. Algumas suposições fundamentadas podem ser feitas.
Como a mensagem passou na validação DKIM, a fonte provavelmente é autêntica – presumindo que o domínio editado não seja um domínio semelhante. Como se trata de uma mensagem de phishing, o cenário mais provável é que alguém da empresa tenha sido vítima da mesma campanha de phishing e, como resultado, a caixa de correio tenha sido invadida para enviar mais e-mails de phishing. Este é um método eficaz porque a mensagem parece vir de uma fonte confiável que você talvez conheça pessoalmente.
Uma aprovação do SPF sem aprovação do DKIM pode estar relacionada a uma política de SPF muito permitida. Portanto, DMARC+DKIM é sempre mais forte que DMARC+SPF, e DMARC requer que apenas um deles esteja alinhado. (Para impor o DKIM apenas com DMARC+DKIM, o domínio usado para o remetente do envelope deve ser diferente do cabeçalho do email, fazendo com que o SPF seja aprovado sem o alinhamento do DMARC).
E, finalmente, os criminosos podem fazer todas as mesmas coisas que os não-criminosos podem. Eles podem comprar um domínio, configurar uma infraestrutura de correio com todos os SPF, DKIM e DMARC, construir um site que pareça confiável e profissional, etc. Não podemos avaliar a confiabilidade de uma empresa anônima. Por outro lado, não seria um fardo nosso, mesmo que a empresa e o domínio fossem revelados.