我收到了一封来自一家公司的电子邮件,看起来不错。Gmail 认为没问题。我检查了域和各种 DMARC、DKIM 和 SPF 标头:它们都处于“PASS”状态。发件人的 IP 似乎也在 SPF 记录声明的范围内。
但是,在通过电话联系该公司(出于顾忌)后,他们声称他们不是发送电子邮件的人。以下是检查的摘录(通过混淆真实公司):
...
ARC-Message-Signature: i=2; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
...
ARC-Authentication-Results: i=2; mx.google.com;
dkim=pass header.i=@<company_domain> header.s=selector1 header.b=idsPd4vx;
arc=pass (i=1 spf=pass spfdomain=<company_domain> dkim=pass dkdomain=<company_domain> dmarc=pass fromdomain=<company_domain>);
spf=pass (google.com: domain of <company_mail_address> designates <ipv6> as permitted sender) smtp.mailfrom=<company_mail_address>;
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=<company_domain>
...
Received-SPF: pass (google.com: domain of <company_mail_address> designates <ipv6> as permitted sender) client-ip=<ipv6_same_as_above>;
Authentication-Results: mx.google.com;
dkim=pass ...
arc=pass ...
spf=pass ...
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=<company_domain>
...
authentication-results: dkim=none (message not signed) header.d=none;dmarc=none action=none header.from=<company_domain>;
...
x-ms-exchange-senderadcheck: 1
x-ms-exchange-antispam-relay: 0
x-microsoft-antispam: BCL:0;
...
现在,我的问题是:上述所有检查都处于“PASS”状态,是否意味着该电子邮件实际上是从公司的邮件服务器发送的?这是否意味着他们的邮件服务器认为发件人客户端是有效的?
如果没有完整的标头,这是不可能分析的。造成这种情况的原因可能有很多。可以做出一些有根据的猜测。
由于消息已通过 DKIM 验证,因此来源可能是真实的 - 假设经过编辑的域不是相似的域。由于这是一封钓鱼邮件,最有可能的情况是该公司的某人是同一钓鱼活动的受害者,因此邮箱被劫持以发送更多钓鱼邮件。这是一种有效的方法,因为该消息似乎来自您甚至可能认识的可信来源。
通过 SPF 但未通过 DKIM 可能与过于允许 SPF 策略有关。因此,DMARC+DKIM 始终强于 DMARC+SPF,并且 DMARC 仅需要其中之一进行对齐。(要仅使用 DMARC+DKIM 强制执行 DKIM,用于信封发件人的域应与邮件标头不同,从而导致 SPF 在没有 DMARC 对齐的情况下通过)。
最后,犯罪分子可以做非犯罪分子可以做的所有事情。他们可以购买域名,设置包含 SPF、DKIM 和 DMARC 的邮件基础设施,建立一个看起来值得信赖和专业的网站等。我们无法评估匿名公司的可靠性。另一方面,即使公司和域名被泄露,这也不会成为我们的负担。