이 이메일은 어떻게 SPF 검사를 파괴합니까?

SPF가 설정된 전자 메일을 올바르게 처리하는 것처럼 보이는 메일 서버를 실행하지만 은행에서 보낸 것으로 의도 된 가짜 전자 메일을 받기 시작했습니다. 보낸 사람 주소가 은행으로 설정되었지만 은행에서 유래 한 것은 아닙니다.

이메일의 관련 헤더는 다음과 같습니다.

Delivered-To: me@mydomain.name
Received: from mail.mydomain.org (localhost [127.0.0.1])
    by mail.mydomain.org (Postfix) with ESMTP id AD4BB80D87
    for <user@mydomain.com>; Thu, 13 Oct 2016 20:04:01 +1300 (NZDT)
Received-SPF: none (www.tchile.com: No applicable sender policy available) receiver=mydomain.org; identity=mailfrom; envelope-from="apache@www.tchile.com"; helo=www.tchile.com; client-ip=200.6.122.202
Received: from www.tchile.com (www.tchile.com [200.6.122.202])
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by mail.mydomain.org (Postfix) with ESMTPS id 40F6080B9F
    for <user@mydomain.com>; Thu, 13 Oct 2016 20:03:57 +1300 (NZDT)
Received: from www.tchile.com (localhost.localdomain [127.0.0.1])
    by www.tchile.com (8.13.1/8.13.1) with ESMTP id u9D73sOG017283
    for <user@mydomain.com>; Thu, 13 Oct 2016 04:03:55 -0300
Received: (from apache@localhost)
    by www.tchile.com (8.13.1/8.13.1/Submit) id u9D73smu017280;
    Thu, 13 Oct 2016 04:03:54 -0300
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <201610130703.u9D73smu017280@www.tchile.com>
To: user@mydomain.com
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <noreply@kiwibank.co.nz>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

여기서 중요한 것은 kiwibank.co.nz는 내가 출신 인 합법적이고 평판이 좋은 은행이며 SPF 레코드는 다음과 같습니다.

kiwibank.co.nz.     13594   IN  TXT "v=spf1 include:_spf.jadeworld.com ip4:202.174.115.25 ip4:202.126.81.240 ip4:202.12.250.165 ip4:202.12.254.165 ip4:66.231.88.80 include:spf.smtp2go.com include:spf.protection.outlook.com -all"

따라서, 약간의 독서 후에-Envolope-From은 정확하지만 "From"은 위조 된 것으로 보입니다. "일반"이메일을 중단하지 않고이를 수정 / 완화 할 수있는 방법이 있습니까? Postfix, Spamassassin 및 policyd (postfix-policyd-spf-perl)를 사용합니다. 실제로 우회하기가 쉬운 경우 SPF의 요점은 무엇입니까?

이 경우 서버에 다음과 같이 말했을 것입니다 .

EHLO www.tchile.com
MAIL FROM: apache@www.tchile.com 
RCPT TO: user@mydomain.com
DATA
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <201610130703.u9D73smu017280@www.tchile.com>
To: user@mydomain.com
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <noreply@kiwibank.co.nz>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

The contents of mail...
.

SMTP 대화 (일명 "봉투")는 전자 메일 머리글과 다른 시작 / 끝을 가질 수 있습니다. SPF는 헤더를 확인하지 않지만 항상 최종 사용자에게 실제로 표시되는 헤더입니다! 예, SMTP가 고장 났습니다 . 예, SPF가 고장 났습니다 .

SPF 만 확인하는 대신 DMARC를 확인하는 것이 가장 좋습니다. 기본적으로 DMARC는 SPF를 검사하지만 SMTP 헤더에서 SMTP 헤더와의 헤더 정렬을 검사합니다 (도메인이 일치해야 함-사용자 이름 부분은 무시 함). 보너스로 DKIM 지원을받을 수도 있는데, 이는 SPF에 매우 유용한 부록입니다.

DMARC는 _dmarc.kiwibank.co.nz에 설정된 DNS TXT 레코드에 의존합니다. 그러나 현재는 없습니다. 현재 인터넷 규정 상태에 따라 kiwibank.co.nz의 소유자를 의미합니다. 그러한 스푸핑으로부터 보호받는 것에 전혀 신경 쓰지 않습니다. 그러나 일부 구현에서는 모든 수신 이메일에 대해 DMARC를 시행 할 수 있습니다.

따라서, 약간의 독서 후에-Envolope-From은 정확하지만 "From"은 위조 된 것으로 보입니다. "일반적인"전자 메일을 중단하지 않고이를 수정 / 완화 할 수있는 방법이 있습니까?

From헤더 를 확인하면 메일 링리스트 가 손상 됩니다 .

1. foo @ yourbank는 cat-picture-sharing-list @ bar로 메일을 보냅니다.

2. 메일 링리스트는 메일을 가져옵니다.

   • Envelope-Fromcat-picture-sharing-list-bounce @ bar와 비슷한 것으로 바꾸십시오 .
   • 답장 헤더를 수정하고
   • 모든 수신자 (예 : 귀하)에게 메일을 다시 보내십시오.

이제 귀하의 메일 서버는

Envelope-From: cat-picture-sharing-list-bounce@bar
From: foo@yourBank

바의 메일 서버에서 전송됩니다.

Postfix, Spamassassin 및 policyd (postfix-policyd-spf-perl)를 사용합니다. 실제로 우회하기가 쉬운 경우 SPF의 요점은 무엇입니까?

1. 많은 스패머들은 "올바른"Envelope-From을 보내려고하지 않습니다.
2. NDR이 Envelope-From 주소로 보내 지므로 은행 에서이 스팸 메일에 대한 백스 캐터 를 받지 못합니다 (대부분의 경우) .
3. Envelope-From을 기반으로 한 스코어링이보다 안정적입니다. Envelope-From = ... @ yourbank가 포함 된 모든 메일에 매우 부정적인 스팸 점수를 할당하면 스팸 발송자가이를 악용 할 수 없습니다.