TL; DR
Ich erhalte viele DMARC-Rückmeldungen von Konten / Websites, mit denen ich keinen Kontakt habe, und möchte Klarheit darüber, ob ich Maßnahmen ergreifen sollte oder ob diese Rückmeldungen über schwerwiegende Probleme informieren.
Ich betreibe einen WHM-Server und verwende SPF und DKIM (und _DMARC). Alle E-Mails werden vom gleichen Domänenserver gesendet.
Ein Beispiel für ein DNS-Setup für mein _DMARC (und DKIM und SPF):
mydomain.co.uk 14400 IN TXT "v=spf1 mx a ip4:11.22.33.44 ip4:11.22.33.55 ~all"
default._domainkey 14400 IN TXT "v=DKIM1; k=rsa; p=<code>;
_dmarc 14400 IN TXT "v=DMARC1; p=quarantine; sp=none;
rua=mailto:me@mydomain.co.uk!90m;
ruf=mailto:me@mydomain.co.uk;
rf=afrf; pct=100; ri=86400"
und soweit ich das beurteilen kann, ist dies eingerichtet und funktioniert wie erwartet.
Ich erhalte jedoch einige automatische Nachrichten von verschiedenen Domains im World Wide Web, die nichts mit meiner Domain zu tun haben. Ich bin die einzige Person, die E-Mails von meiner Domain verwendet. Niemand anderes sendet E-Mails von meiner Domain.
Zum Beispiel habe ich heute Morgen einen DMARC-Gesamtbericht von Comcast erhalten, der besagt:
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<version>1.0</version>
<report_metadata>
<org_name>comcast.net</org_name>
<email>dmarc-admin@alerts.comcast.net</email>
<report_id>v1-1483425166-mydomain.co.uk</report_id>
<date_range>
<begin>1483315200</begin>
<end>1483401600</end>
</date_range>
</report_metadata>
<policy_published>
<domain>mydomain.co.uk</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>quarantine</p>
<sp>none</sp>
<pct>100</pct>
<fo>0</fo>
</policy_published>
<record>
<row>
<source_ip>72.167.218.164</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>mydomain.co.uk</header_from>
</identifiers>
<auth_results>
<spf>
<domain>bounce.secureserver.net</domain>
<scope>mfrom</scope>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
Nein. Abgesehen von meiner Domain erkenne ich keine der hier aufgeführten Details. Die angegebene IP-Adresse <source_ip>
ist nicht meine IP-Adresse, und mir ist überhaupt kein Kontakt mit Comcast bekannt.
Grundsätzlich bekomme ich ziemlich viele dieser Mitteilungen und kann kein Feedback finden, das mir sagt, ob sie nur informativ sind und vergessen werden können (in welchem Fall ist der Sinn von ihnen?) Oder ob ich etwas tun kann mit meinem Server, um die Fehler zu verbessern, über die mich der Hinweis informiert.
DAMIT:
- Können diese Berichte bearbeitet werden?
- Wie sollen DMARC-Berichte wie diese an meinem Ende bearbeitet werden?
- Sind diese Berichte Indikatoren für jede Form von Kontokompromittierung?
- Kann / spiegelt die Anzahl dieser Berichte [möglicherweise] meinen Domainnamen im Rest des Webs schlecht wider?
Es mag erwähnenswert sein, dass ich vermute, dass die Antwort auf die letzten beiden Kugeln "Nein" lautet, aber ich bin kein Experte in diesen Fragen.
Ich habe diesen Beitrag sowie die DMARC-FAQ und dieses Thema bereits gelesen , aber es gibt nicht viele Informationen. darüber, wie wir auf aggregierte Berichte reagieren sollen. Ich bin mir bewusst, dass "fehlgeschlagene" DMARC-Berichte durch Mail-Weiterleitungsprogramme verursacht werden können, obwohl ich hoffe, diese Möglichkeit mit meinem SPF zu negieren ~all
.
Insgesamt denke ich , ich sollte mir keine Sorgen um diese Berichte machen müssen, aber ich hätte gerne eine zweite Meinung, da ich dies als Regelmäßigkeit und ( ich denke ) als relativ bedeutende Anzahl von aggregierten Berichten empfinde, die ich erhalte.
dmarcian.com
, war mir aber nicht sofort sicher, warum dies als solches von Vorteil ist, aber ich denke, es fasst die Feedback-Daten zusammen, die mir die Berichte geben.