Hotmail 不会标记或删除启用了 SPF 的域中的电子邮件地址中的网络钓鱼邮件

tag-icon tag-icon outlook spf dmarc
Hotmail 不会标记或删除启用了 SPF 的域中的电子邮件地址中的网络钓鱼邮件

我们的新闻通讯发件人的电子邮件地址被用于网络钓鱼目的。我们的域名上确实有有效的 SPF 记录(以 -all 结尾)和 dmarc(经 mxtoolbox.com 确认:所有检查均正常)。但是,一些 hotmail.com 和 yahoo 订阅者收到了坏消息。

已传递的消息头示例(将 my domain 替换为 mydomain.com):

Received: from AM0EUR02FT053.eop-EUR02.prod.protection.outlook.com
 (2603:10a6:203:a3:cafe::24) by AM5PR0602CA0015.outlook.office365.com
 (2603:10a6:203:a3::25) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.6411.17 via Frontend
 Transport; Thu, 18 May 2023 20:00:29 +0000

Authentication-Results: spf=fail (sender IP is 74.220.218.251)
 smtp.mailfrom=mydomain.com; dkim=none (message not signed)
 header.d=none;dmarc=fail action=quarantine
 header.from=mydomain.com;compauth=fail reason=000

Received-SPF: Fail (protection.outlook.com: domain of mydomain.com does not
 designate 74.220.218.251 as permitted sender)
 receiver=protection.outlook.com; client-ip=74.220.218.251;
 helo=outbound-ss-2173.bluehost.com;

Received: from outbound-ss-2173.bluehost.com (74.220.218.251) by
 AM0EUR02FT053.mail.protection.outlook.com (10.13.55.226) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
 15.20.6411.14 via Frontend Transport; Thu, 18 May 2023 20:00:28 +0000
X-IncomingTopHeaderMarker:
 OriginalChecksum:DA2D70975B34AF56A4C6BB7C8F702F23F79F3DC78ECCEAF1A0837B45D961804C;UpperCasedChecksum:C8456286D1E9561E0C8180B32877B9F796154342C827979774F79B83E92CE58D;SizeAsReceived:2147;Count:30

Received: from cmgw14.mail.unifiedlayer.com (67-20-127-198.unifiedlayer.com [67.20.127.198])
      by soproxy8.mail.unifiedlayer.com (Postfix) with ESMTP id C2B028048C4A
      for <[email protected]>; Thu, 18 May 2023 20:00:27 +0000 (UTC)

[...]
X-SID-Result: FAIL
X-Microsoft-Antispam: BCL:4;

X-Microsoft-Antispam-Mailbox-Delivery:      abwl:0;wl:1;pcwl:1;kl:0;dwl:0;dkl:0;rwl:0;ucf:0;jmr:0;ex:0;psp:1;auth:0;dest:I;OFR:TrustedSenderList;ENG:(5062000305)(90000117)(90012020)(91020020)(90015022)(91040095)(9050020)(9100338)(2008001134)(4810010)(4910033)(8820095)(9610025)(9525003)(10145022)(9439006)(9310011)(9220031);

[...]

所有 SPF/dmarc/等测试均失败,但邮件仍被投递到收件箱中。为什么 Hotmail 会放行?

谢谢,

答案1

新闻通讯通常会要求收件人将新闻通讯电子邮件地址添加到地址簿或安全发件人列表中。这种做法实际上会给垃圾邮件过滤策略带来漏洞(对于许多大型邮箱服务提供商而言),因为安全列表中的地址通常会被发送到收件箱中,从而推翻电子邮件身份验证结果。

在来自 Hotmail 的示例电子邮件中,尽管其中的垃圾邮件过滤没有得到很好的记录,但我们可以从标签的命名中看出发生了什么:

  • abwl:0- 地址簿白名单 = 错误
  • wl:1- 白名单 = True
  • pcwl:1- 个人联系人 (?) 白名单 = True
  • dwl:0- 域名白名单 = 错误
  • auth:0- 已验证 = 错误
  • dest:I- 目的地 = 收件箱(相dest:J对于目的地 = 垃圾邮件)
  • OFR:TrustedSenderList- 覆盖原因 = 可信发件人列表中的地址

上述某些标签的解释可能有误,但我希望我们能够就为什么这些电子邮件有时会出现在收件箱文件夹中的原因达成一致,而您可能希望这些电子邮件被归为垃圾邮件或隔离邮件:用户将地址(或域)添加到地址簿或安全发件人。

相关内容