一个月前,我在 ubunutu 服务器上设置了 DKIM、SPF 和 DMRAC。一切似乎都运行良好,直到我收到一份好奇的 DMARC 报告。一个胭脂服务器设法发送了一封通过谷歌 DKIM 验证的电子邮件。
这怎么可能发生?这可能是使用未更改消息的重播“攻击”吗?
<record>
<row>
<source_ip>RougeIP</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>host.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>host.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>host.com</domain>
<result>pass</result>
</dkim>
<spf>
<domain>host.com</domain>
<result>fail</result>
</spf>
</auth_results>
</record>
事实证明 DKIM 容易受到重放攻击,如此处所述:
http://www.zdnet.com/article/dkim-useless-or-just-disappointing/
SPF 按预期失败,邮件已正确标记。