我说 DMARC 没有办法规定“所有电子邮件都必须签名”,对吗?我的理解是,我可以指定 DKIM 是宽松的还是严格的 - 我的理解是,如果该消息恰好是经过签名的(考虑从 发送的电子邮件[email protected]):
- Lax:DKIM DNS TXT 记录可以属于子域 (
[email protected]) - 严格:DKIM DNS TXT 记录必须属于确切的发送域(
[email protected])
但是,也有一些电子邮件根本没有 DKIM 签名,而其他电子邮件可能包含[email protected]在FROM标题中,但有一个来自 的 SMTP 信封[email protected],并且确实有一个对 有效some-mail-sending-service.com但不对 的DKIM 签名b.com。
在上述两种情况下,我说它们在某种意义上都是“通过”是否正确。前一个示例没有无效的 DKIM,因此它只是 OK,而后一个示例实际上是来自的信封的对齐 DKIM 传递,因此也被认为是 OK?
如果我有如下 DMARC 策略:
v=DMARC1;p=reject;rua=mailto:xyz;ruf=mailto:xyz;adkim=s;aspf=s;pct=100;fo=1;sp=reject
我是否可以说,如果恶意方出现以下情况,则不会因与 DKIM 相关的原因而被拒绝:
- 根本不使用 DKIM。
- 从使用具有有效签名的 DKIM 并使用 SMTP 信封的邮件服务器发送。
在上述两种情况下,仅 DMARC 的 DKIM 策略不会导致该电子邮件被阻止吗?
答案1
我认为您主要忽略了获取符合 DMARC 要求的邮件所需的“对齐”。这就是 DMARC 与现有技术的区别所在。
对齐意味着 DMARC 要求您使用与“发件人”域相同的域来设置身份验证 (SPF/DKIM)。您提到了 SPF 域 (信封发件人) 和 DKIM 域之间的对齐,但这并不适用。
因此攻击者不能如果他们愿意,将收到一封通过 DMARC 的邮件:
- 使用 your-company.com 的“发件人”标头
- 使用通过的 DKIM 签名 (d=attacker.com) 对邮件进行签名
- 使用来自attacker.com的信封(/Return-Path)发送
*) 使用对齐模式,您可以指定是否需要精确匹配(严格)或允许子域匹配(宽松)
这对您有帮助并回答了您的问题吗?
问候,
米歇尔
DMARC 分析器