钓鱼电子邮件,但 SPF、DKIM 和 DMARC 处于“通过”状态

钓鱼电子邮件,但 SPF、DKIM 和 DMARC 处于“通过”状态

我收到了一封来自某家公司的电子邮件,看起来没什么问题。Gmail 认为它没问题。我检查了域名和各种 DMARC、DKIM 和 SPF 标头:它们都处于“通过”状态。发件人的 IP 似乎也在 SPF 记录声明的范围内。
但是,在通过电话联系该公司后(出于顾忌),他们表示他们不是发送该电子邮件的人。以下是检查的摘录(通过混淆真实的公司):

...
ARC-Message-Signature: i=2; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
...
ARC-Authentication-Results: i=2; mx.google.com;
       dkim=pass header.i=@<company_domain> header.s=selector1 header.b=idsPd4vx;
       arc=pass (i=1 spf=pass spfdomain=<company_domain> dkim=pass dkdomain=<company_domain> dmarc=pass fromdomain=<company_domain>);
       spf=pass (google.com: domain of <company_mail_address> designates <ipv6> as permitted sender) smtp.mailfrom=<company_mail_address>;
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=<company_domain>
...
Received-SPF: pass (google.com: domain of <company_mail_address> designates <ipv6> as permitted sender) client-ip=<ipv6_same_as_above>;
Authentication-Results: mx.google.com;
       dkim=pass ...
       arc=pass ...
       spf=pass ...
       dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=<company_domain>
...
authentication-results: dkim=none (message not signed) header.d=none;dmarc=none action=none header.from=<company_domain>;
...
x-ms-exchange-senderadcheck: 1
x-ms-exchange-antispam-relay: 0
x-microsoft-antispam: BCL:0;
...

现在,我的问题是:上述所有检查都处于“通过”状态,是否意味着电子邮件确实是从公司的邮件服务器发送的?这是否意味着他们的邮件服务器将发件人客户端视为有效客户端?

答案1

如果没有完整的标头,就无法进行分析。这可能有很多原因。可以进行一些有根据的猜测。

由于该邮件已通过 DKIM 验证,因此来源很可能是真实的——假设编辑后的域不是相似的域。由于这是一封网络钓鱼邮件,最有可能的情况是公司中的某个人是同一网络钓鱼活动的受害者,因此邮箱被劫持以发送更多网络钓鱼邮件。这是一种有效的方法,因为该邮件似乎来自您甚至可能亲自认识的可信来源。

通过 SPF 而未通过 DKIM 可能与过于允许 SPF 策略有关。因此,DMARC+DKIM 始终比 DMARC+SPF 更强大,并且 DMARC 只需要其中之一进行对齐。(要仅使用 DMARC+DKIM 强制执行 DKIM,用于信封发件人的域应与邮件标头不同,从而导致 SPF 在没有 DMARC 对齐的情况下通过)。

最后,犯罪分子可以做非犯罪分子能做的所有事情。他们可以购买域名,设置包含所有 SPF、DKIM 和 DMARC 的邮件基础设施,建立看起来值得信赖和专业的网站等。我们无法评估匿名公司的可靠性。另一方面,即使公司和域名被揭露,这也不会成为我们的负担。

相关内容