Eu executo um servidor de correio que parece lidar corretamente com e-mails com SPF definido - no entanto, comecei a receber e-mails falsos que supostamente são de um banco - com o endereço De definido como o banco - mas que definitivamente não se originam do banco.
Os cabeçalhos relevantes do e-mail são os seguintes:
Delivered-To: [email protected]
Received: from mail.mydomain.org (localhost [127.0.0.1])
by mail.mydomain.org (Postfix) with ESMTP id AD4BB80D87
for <[email protected]>; Thu, 13 Oct 2016 20:04:01 +1300 (NZDT)
Received-SPF: none (www.tchile.com: No applicable sender policy available) receiver=mydomain.org; identity=mailfrom; envelope-from="[email protected]"; helo=www.tchile.com; client-ip=200.6.122.202
Received: from www.tchile.com (www.tchile.com [200.6.122.202])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by mail.mydomain.org (Postfix) with ESMTPS id 40F6080B9F
for <[email protected]>; Thu, 13 Oct 2016 20:03:57 +1300 (NZDT)
Received: from www.tchile.com (localhost.localdomain [127.0.0.1])
by www.tchile.com (8.13.1/8.13.1) with ESMTP id u9D73sOG017283
for <[email protected]>; Thu, 13 Oct 2016 04:03:55 -0300
Received: (from apache@localhost)
by www.tchile.com (8.13.1/8.13.1/Submit) id u9D73smu017280;
Thu, 13 Oct 2016 04:03:54 -0300
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <[email protected]>
To: [email protected]
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <[email protected]>
Reply-To:
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP
O principal aqui é que kiwibank.co.nz é um banco legítimo e respeitável de onde eu sou e tem um registro SPF que diz:
kiwibank.co.nz. 13594 IN TXT "v=spf1 include:_spf.jadeworld.com ip4:202.174.115.25 ip4:202.126.81.240 ip4:202.12.250.165 ip4:202.12.254.165 ip4:66.231.88.80 include:spf.smtp2go.com include:spf.protection.outlook.com -all"
Então, depois de algumas leituras - parece que o Envolope-From está correto, mas o "From" foi falsificado. Existe alguma maneira de corrigir/mitigar isso sem quebrar o e-mail "geral"? Observo que uso Postfix, Spamassassin e policyd (postfix-policyd-spf-perl) - e se é realmente tão fácil de ignorar, qual é o objetivo do SPF?
Nesse caso, eles provavelmente disseram ao seu servidor algo assim:
A conversa SMTP (também conhecida como "o envelope") pode ter De/Para diferentes dos cabeçalhos de e-mail. O SPF não verifica o cabeçalho, mas é sempre o cabeçalho que é realmente exibido para o usuário final! Sim, o SMTP está quebrado. Sim, o SPF está quebrado.
Você será melhor atendido verificando o DMARC em vez de apenas verificar o SPF. Por padrão, o DMARC verifica o SPF, mas também verifica o alinhamento do cabeçalho From com o SMTP MAIL FROM (os domínios precisam corresponder - ele ignora a parte do nome do usuário). Como bônus, você também pode obter suporte DKIM, que é um adendo muito útil ao SPF.
O DMARC dependeria do registro DNS TXT definido em _dmarc.kiwibank.co.nz. mas atualmente não há nenhum. De acordo com o estado atual dos regulamentos da Internet, isso significa o proprietário do kiwibank.co.nz. não se importa em estar protegido contra tais falsificações. Mas você pode, em algumas implementações, impor o DMARC para todos os e-mails recebidos.
Verificar o
Fromcabeçalho quebrará as listas de discussão:foo@yourbank envia um e-mail para cat-picture-sharing-list@bar.
A lista de discussão receberá a correspondência,
Envelope-Frompor algo semelhante a cat-picture-sharing-list-bounce@bar,Agora seu servidor de e-mail recebe um e-mail com
enviados dos servidores de correio do bar.