Сгенерированные через Интернет электронные письма не соответствуют DMARC

Question

Сгенерированные через Интернет электронные письма не соответствуют DMARC

У нас есть сайт объявлений. Покупатели могут связаться с продавцами. Сообщение генерируется непосредственно на сайте (php7) и отправляется пользователю по электронной почте.

Если мы следуем рекомендациям из openspf, у нас есть эти 2 решения:

Решение 1

Return-path: service@my-classified-ads-website.com
Sender: service@my-classified-ads-website.com
From: buyer@hotmail.com
Subject: I am interessted
To: seller@gmail.com

Решение 2

Return-Path: service@my-classified-ads-website.com
From: service@my-classified-ads-website.com
Reply-To: buyer@hotmail.com
Subject: I am interessted
To: seller@gmail.com

Они хорошо работают с SPF, но:

Решение 1 просто отклоняется доменами, имеющими строгую политику DMARC (p=reject), например yahoo.com:

v=DMARC1; p=reject; pct=100; rua=mailto:dmarc_y_rua@yahoo.com;

Решение 2 все менее и менее работает. При ответе многие мобильные телефоны (китайские бренды) и почтовые клиенты не учитывают Reply-To но только From, Также, например, Gmail отображает огромное предупреждающее сообщение, которое пугает пользователей.

Be careful with this message
This email claims to come from my-classified-ads-website.com, but replies will go
to an email address at another domain. Avoid replying to this email
unless you reach out to the sender by other means to ensure that
this email address is legitimate.

Есть ли решение?

(Мы хотели бы избежать решения, такого как craigslist или обязывающего пользователей использовать решение для внутренних сообщений a-la-facebook).

1

email spf dmarc

Источник

Toto 12 сен '18 в 22:55

2 ответа

Другие вопросы по тегам email spf dmarc

Engineer 17 окт '18 в 20:09 2018-10-17 20:09 · Answer 1 · 2018-10-17 20:09

Вы хотите обмануть и взломать системы аутентификации электронной почты, пытаясь отправлять электронные письма от имени других. Возможно, этот хак может работать временно, но в будущем он будет запрещен провайдерами почтовых ящиков, поскольку фишинговые атаки требуют все более строгих политик, которые должны применяться провайдерами почтовых ящиков.

Чтобы избежать таких взломов, я бы предложил решение. Создайте уникальный адрес электронной почты для каждой пары контактов и сделайте его "посредником" для общения между сторонами.

Как это устроено

Все разговоры по электронной почте должны быть сделаны через созданную вами электронную почту. Вы можете установить собственные отображаемые имена (например, John <123@my-classified-ads-website.com) не путать получателей электронной почты с вашими странными уникальными идентификаторами. Так когда A нужно написать B, он на самом деле пишет на вашу электронную почту, а затем вы перешлите Bи наоборот для B в A,

Эта реализация имеет некоторую сложность, но это будет оплачено в будущем.

DMARC Analyzer - Michiel 12 окт '18 в 08:49 2018-10-12 08:49 · Answer 2 · 2018-10-12 08:49

Как указано, вариант 1, безусловно, не рекомендуется. DMARC приведет к отклонению этих писем.

Вариант 2 может работать правильно. Мы рекомендуем вам добавить подпись DKIM к этим письмам, чтобы повысить надежность и создать репутацию домена в вашем домене d=. Это может привести к тому, что Google предотвратит "большое оповещение", если они будут достаточно доверять вашему домену.

Однако.... Ваше желание - отправлять почту от имени ваших клиентов. Поэтому третьим вариантом может быть также убедиться, что ваши клиенты позволяют вам это делать. Это может означать, что они позволят вам просмотреть свою запись SPF, но (желательно) вы также захотите взглянуть на подпись этих писем с помощью специальной (для каждого клиента) подписи DKIM.

Это привело бы к этим заголовкам:

From: buyer@hotmail.com
Subject: I am interessted
To: seller@gmail.com

Помогает ли это вам и дает ли вам решение?

С Уважением,

Михель

DMARC Analyzer