DMARC meldet, dass ein kleiner Teil unserer E-Mails von Google, Microsoft und einigen anderen Anbietern stammt.
DMARC meldet außerdem, dass ein großer Teil dieser E-Mails sowohl SPF als auch DKIM nicht besteht und daher auch DMARC nicht besteht.
Wir nutzen diese Anbieter nicht zum Versenden von E-Mails, daher vermuten wir, dass diese Statistiken weitergeleitete E-Mails und Fälschungen widerspiegeln.
Offensichtlich würde SPF bei weitergeleiteten und gefälschten E-Mails fehlschlagen, aber ist es möglich, dass einige legitime DKIM-Header während der Übertragung beschädigt werden?
Frage,
Ist es sinnvoll, die SPF-Hosts von Google und Microsoft in unseren SPF-Eintrag aufzunehmen, um die DMARC-Prüfung dieser weitergeleiteten E-Mails zu erleichtern, auch wenn wir sie nicht zum Senden von E-Mails verwenden?
Ich zögere, dies zu tun, da es dem Geist von SPF widerspricht und Spoofern helfen würde.
Oder können wir ziemlich sicher sein, dass es sich bei diesen fehlgeschlagenen DMARCs um Fälschungen handelt und in den meisten Weiterleitungsfällen die DKIM-Header intakt weitergegeben werden?
Antwort1
Absolut nicht. Es hört sich so an, als ob SPF/DKIM/DMARC bei Ihnen genau wie vorgesehen funktionieren.
Ihr SPF-Eintrag sollte nur Hosts enthalten, die Sie tatsächlich zum Senden von Ihrer Domäne verwenden.
Bei diesen Berichten, die zeigen, dass E-Mails von Microsoft und Google stammen, handelt es sich mit ziemlicher Sicherheit um Spam-Nachrichten, die diese Dienste verwenden. Das Letzte, was Sie also wollen, ist, dass Dritte Spam-Nachrichten „von“ Ihrer Domain erhalten. Führen Sie Suchläufe in Ihrem SPF-Eintrag durch und akzeptieren Sie diese Nachrichten dann, weil Ihre DNS-Einträge ihnen sagen, dass diese legitim sein müssen.
Das einzige andere Szenario, das mir einfällt, ist, wenn jemand in Ihrer Organisation (oder jemand, der für sie arbeitet) ohne Ihr Wissen einen Microsoft-/Google-Dienst verwendet und E-Mails über einen dieser Dienste sendet. In diesem Fall werden sie vorerst nicht zugestellt, bis Sie die IT über Ihre Vorgehensweise informieren, damit Sie den entsprechenden Datensatz hinzufügen können. Aber ich würde niemals SPF-Datensätze basierend auf DMARC-Berichten hinzufügen, sondern nur, wenn ich WEISS, dass legitime E-Mails wirklich von dort kommen.
Beachten Sie auch, dass weitergeleitete E-Mails dieses Szenario nicht verursachen würden, da die Weiterleitung so nicht funktioniert, es sei denn, ein Benutzer war dumm genug, seine E-Mail von Ihrer Domain beispielsweise an sein Google-Konto weiterleiten zu lassen UND dann das Google-Konto so einzurichten, dass E-Mails auch an andere Orte weitergeleitet werden. Eine solche Weiterleitung wird jedoch nicht empfohlen, und meiner Meinung nach ist es ein Problem für die Person, die die Weiterleitungen falsch eingerichtet hat, wenn diese E-Mails den beabsichtigten Empfänger nicht erreichen, und nicht für Sie und Ihre gesamte Organisation.
Antwort2
Halten Sie Ihren SPF-Eintrag so einfach wie möglich – überladen Sie ihn nicht mit zu vielen autorisierten Absenderquellen. Das Laden Ihres SPF-Eintrags mit mehreren Hosts kann zu Fehlern führen, die dazu führen, dass E-Mail-Empfänger Ihre Nachrichten ignorieren. Dies kann sich auf Ihre Absenderreputation und Zustellbarkeitsraten auswirken.