是否可以不使用 DKIM 或使用带有有效 DKIM 的 SMTP 信封作为来自域的信封,从而绕过 DMARC 策略的 DKIM 要求

是否可以不使用 DKIM 或使用带有有效 DKIM 的 SMTP 信封作为来自域的信封,从而绕过 DMARC 策略的 DKIM 要求

我说 DMARC 没有办法规定“所有电子邮件都必须签名”,对吗?我的理解是,我可以指定 DKIM 是宽松的还是严格的 - 我的理解是,如果该消息恰好是经过签名的(考虑从 发送的电子邮件[email protected]):

但是,也有一些电子邮件根本没有 DKIM 签名,而其他电子邮件可能包含[email protected]FROM标题中,但有一个来自 的 SMTP 信封[email protected],并且确实有一个对 有效some-mail-sending-service.com但不对 的DKIM 签名b.com

在上述两种情况下,我说它们在某种意义上都是“通过”是否正确。前一个示例没有无效的 DKIM,因此它只是 OK,而后一个示例实际上是来自的信封的对齐 DKIM 传递,因此也被认为是 OK?

如果我有如下 DMARC 策略:

v=DMARC1;p=reject;rua=mailto:xyz;ruf=mailto:xyz;adkim=s;aspf=s;pct=100;fo=1;sp=reject

我是否可以说,如果恶意方出现以下情况,则不会因与 DKIM 相关的原因而被拒绝:

  1. 根本不使用 DKIM。
  2. 从使用具有有效签名的 DKIM 并使用 SMTP 信封的邮件服务器发送。

在上述两种情况下,仅 DMARC 的 DKIM 策略不会导致该电子邮件被阻止吗?

答案1

我认为您主要忽略了获取符合 DMARC 要求的邮件所需的“对齐”。这就是 DMARC 与现有技术的区别所在。

对齐意味着 DMARC 要求您使用与“发件人”域相同的域来设置身份验证 (SPF/DKIM)。您提到了 SPF 域 (信封发件人) 和 DKIM 域之间的对齐,但这并不适用。

因此攻击者不能如果他们愿意,将收到一封通过 DMARC 的邮件:

  • 使用 your-company.com 的“发件人”标头
  • 使用通过的 DKIM 签名 (d=attacker.com) 对邮件进行签名
  • 使用来自attacker.com的信封(/Return-Path)发送

*) 使用对齐模式,您可以指定是否需要精确匹配(严格)或允许子域匹配(宽松)

这对您有帮助并回答了您的问题吗?

问候,

米歇尔

DMARC 分析器

相关内容