Ao investigar os relatórios do DMARC, percebi que realmente não entendo alguns aspectos do email. Estou tentando ter certeza de que os conceitos relacionados ao SPF e DMARC estão corretos.
Se uma mensagem de e-mail passar por vários nós intermediários...
- Cada conexão entre servidores passa em um envelope com valor "MAIL FROM:" estabelecido durante o handshake SMTP inicial pelo MUA do remetente. O valor de "MAIL FROM:" não muda à medida que a mensagem viaja pela rede. O MTA final pode adicionar um cabeçalho "Return-Path:" baseado em "MAIL FROM:".
- O elemento "<header_from>" nos relatórios DMARC é baseado no cabeçalho "From:" da mensagem, que é definido pelo cliente do remetente.
- O MTA final da cadeia implementa as verificações SPF e DMARC. O SPF verifica o endereço IP de origem do nó conectado a ele. Não é o endereço IP de origem de origem.
- Os nós intermediários não realizam verificação de SPF. Eles retransmitem principalmente o e-mail sem alterar as informações do envelope.
- Dado o ponto três, o registro SPF TXT do meu DNS deve incluir o endereço IP de cada nó intermediário possível que possa se conectar diretamente ao MTA do destinatário.
Portanto, uma vez que os nós intermediários não desempenham nenhum papel no SPF. Se eu pudesse garantir que e-mails falsos fossem injetados no meio da cadeia; antes do nó fazer a conexão com o MTA final. Então o SPF passaria? Também deve ser possível falsificar "MAIL FROM:" e "From:"; então o DMARC também passaria?
O que foi dito acima está correto ou há algum outro ponto que perdi?
Você tem conceitos errados fundamentais sobre como funciona o e-mail. Não existem servidores "intermediários" que operem como agências de correio, mas em uma configuração típica, uma infraestrutura de e-mail (de envio) entrega a mensagem para outra (infraestrutura de recebimento). A verificação do SPF deve acontecer na borda dessas infraestruturas diretamente na conexão; não os
Receivedcabeçalhos anteriores que podem ser falsificados.A assinatura DKIM, por outro lado, permanece válida enquanto o conteúdo assinado não for alterado e, portanto, pode ser verificada o mais próximo do destino final, conforme desejado. O DMARC não autentica a mensagem, mas impõe a autenticação fornecida pelo SPF ou DKIM, exigindo alinhamento com o nome do host usado no
Fromcabeçalho.Os cenários de encaminhamento e lista de discussão são um pouco mais complicados. Como um SPF configurado corretamente não passaria após o encaminhamento, a infraestrutura de encaminhamento deveria reescrever o remetente do envelope. A verificação SPF por si só será aprovada, mas o alinhamento SPF+DMARC será quebrado. Conseqüentemente, o encaminhamento depende inteiramente de DKIM+DMARC, e as listas de discussão devem evitar modificar o conteúdo da mensagem ou reescrever o
Fromcabeçalho e assinar novamente a mensagem com sua própria chave DKIM.