วันนี้เราได้รับอีเมลปลอม: มันส่งถึงเรา "จากเรา" (สมมติเราเป็นเจ้าของ ฟู.คอม -- โดเมนจริงถูกแก้ไขแล้ว)
สิ่งนี้สร้างความรำคาญเนื่องจากแสดงว่า "จาก foo.com" แต่ผู้ส่งไม่ได้มาจาก "foo.com" อย่างแน่นอน
กล่องจดหมาย "[email protected]" คือ Google Group ที่กำหนดให้ทุกคนสามารถ "เผยแพร่โพสต์" ได้ (เช่น เพื่อให้ผู้คนบนอินเทอร์เน็ตสามารถส่งข้อความได้ เช่นเดียวกับกล่องจดหมายทั่วไป) แต่เฉพาะสมาชิกของ "foo.com" เท่านั้นที่สามารถ ดู "โพสต์" เหล่านั้น (เช่น อีเมลที่ได้รับ)
เราได้กำหนดค่า DMARC (p=reject), DKIM และ SPF
DNS ของเรา:
TXT foo.com "v=spf1 include:_spf.google.com include:helpscoutemail.com ~all"
TXT _dmarc.foo.com "v=DMARC1; p=reject; rua=mailto:[email protected];ruf=mailto:[email protected]; pct=100; aspf=r; adkim=r;"
TXT google._domainkey.foo.com "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0B..."
ส่วนหัวของข้อความ:
ส่งถึง: [email protected]
ได้รับ: ภายในปี 2002:ad4:552d:0:0:0:0:0 ด้วย SMTP id ba13csp6199730qvb;
อา. 12 ธ.ค. 2021 09:14:44 -0800 (PST)
X-ได้รับ: โดย 2002:a05:6102:a46:: ด้วย SMTP id i6mr23802281vss.19.1639329284522;
อา. 12 ธ.ค. 2021 09:14:44 -0800 (PST)
ARC-Seal: i=3; a=rsa-sha256; t=1639329284; cv = ผ่าน;
d=google.com; s=arc-20160816;
b=WReYbvjEI4p+IYx6Y3fT/N5jiaEEA60C4t/3utW/afsQbsrWaMMeWv51lxVOb/HvIx
oLaSaK6Hskbjeo9rUnYYIlZenT9ME4Gf/1tfyVXC+YTRBsBEWHCKr064RzBS9X8LUr2C
Mo++Fm16blzUIgR8wZoq54WwY7ZK6POjEOXWqUqvKsJOk6GyrAgxza2DrKJsOYCFBu2G
wzH+gfyx7HwCSNzcd+u18ByLyzXLs1vPW7/T5ztP5v+02QHLTG2snvrrW8TwWpGtDLt3
zU8oGksIcHluHiQwYS056Prsa7/4rHng9D9QNIP6AjlamZejEAlAZjlbajLt4xM17Ozn
Xt8A==
ARC-Message-Signature: i=3; a=rsa-sha256; c=ผ่อนคลาย/ผ่อนคลาย; d=google.com; s=arc-20160816;
h=list-unsubscribe:list-archive:list-help:list-post:list-id
:mailing-list:precedence:reply-to:to:message-id:subject:date
:mime-version:จาก:content-transfer-encoding:dkim-signature;
bh=4ht9G50SlYlr7BTCuy+KjNotHQlLEXbSKghIYlF3TI=;
b=qHESIMBiX+DsyurBJ3jkT1tBYiQGFfvjr57xoDFsgoF/KhZNtVfb1JjwT/klZN/ภู
NoXTTYULEP9j64ynhf6ug1ACwgUqoFieD3fsMpBhO6PrnwjxxU/E8c8TH2eJNR5/SiQm
9k9/PCH1Vr48EjXGwfBCDV18bkwCyZnYfBGHHoskl3EM0WeTIoA3x8s8EGUc4+TSRXUhq
+tA+2fbTJlofwk5z0Oga5fICZVcPeKPTWSltaXuuUOgpViq9JWbVkWx7+HonhJxzzMw0
o7LcUhOXfQHutnKRs/Xpaa73AwDgT30QtEn0T1JBnl2Vl9RjH9+nhdWxHjQ0QLdEDPB3
Xkdw==
ARC-Authentication-ผลลัพธ์: i=3; mx.google.com;
dkim=pass [email protected] header.s=20210112 header.b=pcMriXR7;
arc=pass (i=2 spf=pass spfdomain=icloud.com dkim=pass dkdomain=icloud.com dmarc=pass fromdomain=icloud.com);
spf=pass (google.com: โดเมนของ [email protected] กำหนด 209.85.220.69 เป็นผู้ส่งที่อนุญาต) [email protected];
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=foo.com
เส้นทางกลับ: <[email protected]>
ได้รับ: จาก mail-sor-f69.google.com (mail-sor-f69.google.com. [209.85.220.69])
โดย mx.google.com ที่มีรหัส SMTPS v33sor3392168uad.28.2021.12.12.09.14.44
สำหรับ <[email protected]>
(ความปลอดภัยของ Google Transport);
อา. 12 ธ.ค. 2021 09:14:44 -0800 (PST)
ได้รับ-SPF: ผ่าน (google.com: โดเมนของ [email protected] กำหนด 209.85.220.69 เป็นผู้ส่งที่อนุญาต) client-ip=209.85.220.69;
ผลการพิสูจน์ตัวตน: mx.google.com;
dkim=pass [email protected] header.s=20210112 header.b=pcMriXR7;
arc=pass (i=2 spf=pass spfdomain=icloud.com dkim=pass dkdomain=icloud.com dmarc=pass fromdomain=icloud.com);
spf=pass (google.com: โดเมนของ [email protected] กำหนด 209.85.220.69 เป็นผู้ส่งที่อนุญาต) [email protected];
dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=foo.com
ARC-Seal: i=2; a=rsa-sha256; t=1639329284; cv = ผ่าน;
d=google.com; s=arc-20160816;
b=A2s3aYE1vCQIscDH9RsEl6k0DGqxlZiSGi1iQgz57BP+AWIVt5X9b7nyraOJ8F6DPL
tga5EsK1KrNHLURbQTBSO+pyg862afsmkhS/VFD3sBxSj6hhnc4oCpVJ3rPUWVxSE5IB
z4NH0ujDotd4dBNReOsLfetWC0BeyV6nvHfENuJM+PcpR2vO42O3zWARnvq0wtqZYPd
eBbEJcfX5V6dGi7K9a5I4s+Hrz4V5VNQO8772L+lDQyRdthazJiKgKmB+jX+rztxflIM
r9efmFXPwO8t3LVtqOzPFfQJqQiMJ9en62O4ZUwbdKxdLzx8Iw9BLVVm0SkDFpXIQTod
ลูทูคิว==
ARC-ข้อความ-ลายเซ็น: i=2; a=rsa-sha256; c=ผ่อนคลาย/ผ่อนคลาย; d=google.com; s=arc-20160816;
h=list-unsubscribe:list-archive:list-help:list-post:list-id
:mailing-list:precedence:reply-to:to:message-id:subject:date
:mime-version:จาก:content-transfer-encoding:dkim-signature;
bh=4ht9G50SlYlr7BTCuy+KjNotHQlLEXbSKghIYlF3TI=;
b=fXMcTPuKuu1Ahb/4kHcUPsbwEnwqaLpheL7AOFtyzp7FKfdBOErXZFdf1zCbmSX7S1
Gi3D/zlXgcSAmHFUj1eOeuZwaUp3IWo2pkQiN5aMJ9oLlWaEbC/JLsthY8uh0zUSIuX/
+Wdwjdpy1ZglE49PhkqGrFEr8ND1O/m8ETTHF1M9LhzWwR1c42MM3N17hUFMHcF4x6oz
nq8M+JQy0V+Foz5AKXPRJGedCgpwGGBcRgoMW+xn/UaSgH1TgHiK82cL6Xy3ScisHeLo
วัดb7qdxrMKrpn2H5ZvH0rq2VEvTNrLfrxKqO79a4วูฮานBf9Y/5eUckK2pm4nrHNC
DWhg==
ARC-Authentication-ผลลัพธ์: i=2; mx.google.com;
dkim=pass [email protected] header.s=1a1hai header.b=Jw3cDWAa;
spf=pass (google.com: โดเมนของ [email protected] กำหนด 17.58.63.180 เป็นผู้ส่งที่อนุญาต) [email protected];
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=icloud.com
DKIM-ลายเซ็น: v=1; a=rsa-sha256; c=ผ่อนคลาย/ผ่อนคลาย;
d=foo-com.20210112.gappssmtp.com; s=20210112;
h=content-transfer-encoding:from:mime-version:date:subject:message-id
:to:x-original-sender:x-original-authentication-results:reply-to
:precedence:mailing-list:list-id:list-post:list-help:list-archive
:list-unsubscribe;
bh=4ht9G50SlYlr7BTCuy+KjNotHQlLEXbSKghIYlF3TI=;
b=pcMriXR70y9+xfVEs+8AoajJ0xymE3UTgGyG2NmKWWjdf05SzeYGX8w1GX3rVZ1hG+
QGcKfhU2Ra9bmXS2sAz2g8iDtWvnoTj+TDFnMs9OWFWSLRLr/wqDqSKnQGrCUr2Y/k/f
Q9j7R5eV2nwkYa1XIRAAJaanwMw/y5uDSv04a7bf4itRHQWv3sBD0YaK7KW9X3/UhUOc
5sKMmmK44qVb3NMkOQdureAtqPhUthfkVfQJElPAAUh1LtMy7lyS1g1KqGcUzm1D2ทาง
wI6UkGWu9smajIb7O2SPVCCOPPCurlGWKD9eC6xdz9Av1qZZlMIyn+eNJDSik9JnG7/w
อาฟิว==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=ผ่อนคลาย/ผ่อนคลาย;
d=1e100.net; s=20210112;
h=x-gm-message-state:content-transfer-encoding:from:mime-version:date
:subject:message-id:to:x-ต้นฉบับ-ผู้ส่ง
:x-original-authentication-results:reply-to:precedence:mailing-list
:list-id:x-spam-checked-in-group:list-post:list-help:list-archive
:list-unsubscribe;
bh=4ht9G50SlYlr7BTCuy+KjNotHQlLEXbSKghIYlF3TI=;
b=AwA9C6EysiLXrTEGUbzx+5vqODMTskz7zHz2xe1quctysAvVhk58jn1xx322hfhh1
yqXDXN/aE2MZwMrS++nikbt7lAJZfoNdpV8rKMgc0lb98yXjnd4n3tidH68eVp0cTVE2
IYeKviGklV95rwOCQXuooqAKzN9/UJwGtH3C/NYZQnZQrGcFuIe5L5f5taRW/lby9IBN
5u+rTEBn1UaNjDAVX13MbSpN6hjMGNmr1GaFiFSmnBeMBIH0pOzT3+UIR16Sza5unglm
vkGD5OxPZGdH+fujwjjqrwjvmZSA1k9AhEvujR8B4FpgxGCreExueBMJcmWatPeSpmBO
fjEA==
สถานะข้อความ X-Gm: AOAM531eWx5fz9pqU8qZS4uNtUeKxraKEAR9y1v6gcqUG3XiMb0qBByI FhppMXUtlC8OQUQYY5dXRcAfUe4+
X-Google-Smtp-ที่มา: ABdhPJxynnRydm4JBkMLyoGgqV5RwhkwWcH4Z4w/ljLx6E0GPOqp9cSaCwpFSv4oC456afPUA5CYQA==
X-ได้รับ: โดย 2002:ab0:c10:: ด้วย SMTP id a16mr37954454uak.51.1639329284212;
อา. 12 ธ.ค. 2021 09:14:44 -0800 (PST)
เอ็กซ์บีนเธรี: [email protected]
ได้รับ: โดย 2002:a05:6102:2454:: ด้วย SMTP id g20ls4382592vss.4.gmail; อา. 12 ธ.ค. 2021 09:14:43 -0800 (PST)
X-ได้รับ: โดย 2002:a05:6102:508c:: ด้วย SMTP id bl12mr23055020vsb.73.1639329283746;
อา. 12 ธ.ค. 2021 09:14:43 -0800 (PST)
ARC-Seal: i=1; a=rsa-sha256; t=1639329283; cv=ไม่มี;
d=google.com; s=arc-20160816;
b=0ToKjpZRQyjPknycN2z3IfIE1Iv7fkhCJbCVUn129k6GVlQVRq7t1xSCqEXMUpWfbb
vdYNomuAczbfJOR/0o4gBaiPYM4l2L8A8BgUcx2LW26PPeMg1OKO6xexmcO0Qu79Vp+4
23N3Alz3gRrG44HSkGQ13CwkukROblWgUMZ72U4nO30y0w38NZk4y1aPTPhV+TuFDWsY
RLSYc3eLKdExhzkmnEgtyDKI/kHLZ++mgu4aFbK6SB4b8uB6v4onz7ONR+/BTGVwcnIs
pOC6Xv6GwfBXu839bAhi94H83xV7QD5NFWuh0gMm445CzVz09zeesh89Qxcm/U/fKKI0
6jbw==
ARC-Message-Signature: i=1; a=rsa-sha256; c=ผ่อนคลาย/ผ่อนคลาย; d=google.com; s=arc-20160816;
h=to:message-id:subject:date:mime-version:from
: การถ่ายโอนเนื้อหาการเข้ารหัส: dkim-ลายเซ็น;
bh=4ht9G50SlYlr7BTCuy+KjNotHQlLEXbSKghIYlF3TI=;
b=VMzdwjpJVsJyaKxFawsaBAj83gW8hSdi5iOxGMCrQaQ39h5lkhZAM/cc4rtc3RbAt3
ZmpKTQ0Pdgb+MgpaIOT6X5szReSt7ZVMNsjsKOe2tkfhaC94azGx4H1MdopSdDnPqZoB
wvlUU3H16eWofWXcgKNj236adKuN0x3rzeTAKCCjNjwNfOOg5H5Y//pTOtqHc+A3XQjP
HsGhTohABGTAy68aVCBeHeh/2R5Nry+KuI7ipqkcwO6uPpnue4mMP7B6JtGjDOaiDJXs
7wZ/G3p4fuJPCSeQWuPD6YzK+0dg3cw5GpNQHLib70Q6g41Ws70727llGEc0Ef89B+o/
z8BQ==
ARC-Authentication-ผลลัพธ์: i=1; mx.google.com;
dkim=pass [email protected] header.s=1a1hai header.b=Jw3cDWAa;
spf=pass (google.com: โดเมนของ [email protected] กำหนด 17.58.63.180 เป็นผู้ส่งที่อนุญาต) [email protected];
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=icloud.com
ได้รับ: จาก st43p00im-zteg10073501.me.com (st43p00im-zteg10073501.me.com. [17.58.63.180])
โดย mx.google.com ที่มีรหัส ESMTPS x11si6141232vss.670.2021.12.12.09.14.43
สำหรับ <[email protected]>
(เวอร์ชั่น=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 บิต=256/256);
อา. 12 ธ.ค. 2021 09:14:43 -0800 (PST)
ได้รับ-SPF: ผ่าน (google.com: โดเมนของ [email protected] กำหนด 17.58.63.180 เป็นผู้ส่งที่อนุญาต) client-ip=17.58.63.180;
ได้รับ: จาก smtpclient.apple (49.sub-174-209-97.myvzw.com [174.209.97.49]) โดย st43p00im-zteg10073501.me.com (Postfix) ด้วย ESMTPSA id 49D5FAE07BE สำหรับ <[email protected]>; อา. 12 ธ.ค. 2021 17:14:42 +0000 (UTC)
ประเภทเนื้อหา: ข้อความ/ธรรมดา; charset = เรา-ascii
การเข้ารหัสการถ่ายโอนเนื้อหา: 7 บิต
จาก: "'ผู้ส่งสแปม' ผ่าน Hello" <[email protected]>
Mime-เวอร์ชัน: 1.0 (1.0)
วันที่: อา. 12 ธ.ค. 2564 12:14:40 -0500 น
เรื่อง: ช่วยในสิ่งที่ฉันมี!
รหัสข้อความ: <[email protected]>
ถึง: [email protected]
X-Mailer: จดหมาย iPhone (19B74)
X-Proofpoint-Virus-Version: vendor=fsecure engine=1.1.170-22c6f66c430a71ce266a39bfe25bc2903e8d5c8f:6.0.425,18.0.790,17.11.62.513.0000000 คำนิยาม=2021-12-12,201-201-201-2021-2021-2021 12_06,2021-12-02_01 ลายเซ็น=0
X-Proofpoint-Spam-Details: rule=notspam policy=default score=0 phishscore=0 mlxscore=0 malwarescore=0 clxscore=1011 spamscore=0 adultscore=0 bulkscore=0 สงสัยscore=0 mlxlogscore=485 classifier=spam adjustment=0 เหตุผล = mlx scancount = 1 เครื่องยนต์ = 8.12.0-2009150000 คำจำกัดความ = main-2112120106
X-ผู้ส่งต้นฉบับ: [email protected]
X-Original-Authentication-Results: mx.google.com;
dkim=pass [email protected] header.s=1a1hai header.b=Jw3cDWAa;
spf=pass (google.com: โดเมนของ [email protected] กำหนด 17.58.63.180 เป็นผู้ส่งที่อนุญาต) [email protected];
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE) header.from=icloud.com
X-ต้นฉบับ-จาก: ผู้ส่งอีเมลขยะ <[email protected]>
ตอบกลับถึง: ผู้ส่งอีเมลขยะ <[email protected]>
ลำดับความสำคัญ: รายการ
รายชื่อผู้รับจดหมาย: รายชื่อ [email protected]; ติดต่อ [email protected]
รหัสรายการ: <hello.foo.com>
X-Spam-Checked-In-Group: [email protected]
X-Google-Group-Id: 138202709934
รายการโพสต์: <https://groups.google.com/a/foo.com/group/hello/post>, <mailto:[email protected]>
รายการความช่วยเหลือ: <https://support.google.com/a/foo.com/bin/topic.py?topic=25838>, <mailto:[email protected]>
รายชื่อที่เก็บถาวร: <https://groups.google.com/a/foo.com/group/hello/>
รายการยกเลิกการสมัคร: <mailto:[email protected]>, <https://groups.google.com/a/foo.com/group/hello/subscribe>
ส่งจากไอโฟนของฉัน
ทำไมอีเมลนี้ถึงได้รับอนุญาตให้ผ่าน?
เป็นไปได้ไหมที่ icloud.com (เซิร์ฟเวอร์ SMTP ของผู้ส่ง) ไม่ใช้ DMARC จึงยอมรับอีเมล จากนั้นส่งต่อไปยัง gmail และ gmail จะถือว่า icloud.com ตรวจสอบ DMARC ครั้งแรกแล้ว จึงไม่รบกวน (ขออภัยพื้นที่นี้ฉันเป็นมิตรกับสิ่งแวดล้อมมาก)
ฉันจะไม่อ้างว่าเป็นผู้เชี่ยวชาญในเรื่องนี้ แต่ หน้า IETF สำหรับ X-ต้นฉบับ-จาก ส่วนหัวดูเหมือนจะบอกเป็นนัยว่านี่เป็นพฤติกรรมที่คาดไว้เมื่อส่งอีเมลไปยังรายชื่อผู้รับจดหมายของ Google Apps
ปัจจุบัน Google Apps ใช้ "นามแฝง" เป็น Google Groups (สิ่งนี้เกิดขึ้นมาหลายปีแล้ว ก่อนหน้านี้มีนามแฝงและกลุ่มแยกกัน) ด้วยเหตุนี้ ที่อยู่ [email protected] ที่เปลี่ยนเส้นทางไปยังผู้ใช้ภายในหรือเครื่องมือ CRM ภายนอก (salesforce) จะได้รับข้อความที่กลุ่มเขียนใหม่ ข้อความเหล่านี้จะไม่ผ่าน DKIM เนื่องจากการเขียนใหม่ ดังนั้นหากมาจากโดเมน DMARC p=REJECT/QUARANTINE เช่น yahoo.com ส่วนหัวจากจะถูกเขียนใหม่เป็นชื่อกลุ่ม ([email protected]) และ x-ต้นฉบับ-จาก จะเป็นผู้ส่งดั้งเดิม
ตรวจสอบแล้วหรือยัง หน้า Google DMARC เพื่อดูว่าขั้นตอนการแก้ไขปัญหาช่วยคุณได้หรือไม่
เนื่องจากผู้ส่งสแปมกำลังส่งจากที่อยู่ iCloud คุณสามารถอัปเดตนโยบายเพื่อบล็อกตามนั้น X-ต้นฉบับ-จาก หัวข้อ?
แก้ไข: อ่านคำถามอีกครั้ง I อย่าคิดว่ามันเป็น ถูกปลอมแปลง - ฉันคิดว่าการเขียนที่อยู่ "จาก" ซ้ำของ Google Apps เป็นพฤติกรรมที่มีจุดประสงค์/เป็นค่าเริ่มต้น คุณได้ทดสอบการส่งอีเมลไปยังกล่องจดหมายจากที่อยู่อีเมลที่ไม่ใช่โดเมน (เช่น บัญชี hotmail ที่ใช้แล้วทิ้งหรือที่คล้ายกัน) หรือไม่ คุณได้รับพฤติกรรมเดียวกันหรือไม่?
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
