înregistrare Logare
Puncte:0
AngryCarrotTop avatar Server

De ce a eșuat acest e-mail primit prin filtrele de spam Office 365 cu un DKIM? Ce politică trebuie să „ajustez”?

drapel my
AngryCarrotTop

Folosim e-mailul Office 365, am primit acest e-mail de spam în această dimineață, așa că am verificat antetul pentru a vedea dacă aș putea face ceva. Iată antetul cu domeniul nostru de chitanțe eliminat

Primit: de la DB6PR01MB3829.eurprd01.prod.exchangelabs.com
 (2603:10a6:6:52::25) de PAXPR01MB9291.eurprd01.prod.exchangelabs.com cu
 HTTPS; Mar, 10 mai 2022 02:17:42 +0000
ARC-Seal: i=2; a=rsa-sha256; s=arcselector9901; d=microsoft.com; cv=pass;
 b=EeGi0lrMprVF98QNcErMivV15SlCGfKOkWEjmPF6RvL4rtMscNmuzA0Do6xVi7W2VL14YtJE0cS2MQzJgsNnh2x2b3fkVMGb+L3mqCyhYvfpphI21XkeOLzjiuJaLexSA1TK6bChcboiF1sP+KI+G/gfGbzfWdzt3mhABec4s/98qZTQGjCe50IuXc0F46ILAEbIXjl1S1pmKLQnKi5j9BFhdwtITVWlIzY7ZiCFng+1mHKigKFDPTyeEiw7ttsm3oviZe1VLP+yy0lvUMPilZ6q7myeBYm9hAb53MWIrYNmX9aevyxV0TpC39uTOK3u9pYH2MZ7fZlm4xX5Ppo/8A==
ARC-Mesaj-Semnătură: i=2; a=rsa-sha256; c=relaxat/relaxat; d=microsoft.com;
 s=arcselector9901;
 h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-AntiSpam-MessageData-ChunkCount:X-MS-Exchange-AntiSpam-MessageData-0:X-MS-Exchange- AntiSpam-MessageData-1;
 bh=YadlNX9F1tdHPU6GBSCru6/kZ/UxDewIfN1iyiWDfYU=;
 b=MfogbEoTECE7pnnCdWfNTaPrbyhjph3ZMKGUlMoJEC9pu//dHDOMF07eiTsT3t5tba1ghfgbe2xZEZqg7azDGULAznA9eTzsjSnhnveCVt1thqLWnQLXh/T3/BOgpwQb8nCjVoq6p3KuBUXrObEWxqu07csivgli0UAiOS4UUVInWOX93PlMWL9APXrNRuOQzRBPrr84cg/XQhKWhxjMjtyoHH/VIvykTkEk/3mtuAdDjWseunvhqbD8K1b4pjrE4zycJNvTuo/+ZuV3YuFAfnEXcnQu/fmshdFMvWaEGAAK4Lex8O1P564OeW2XibLPAzqzy4aREtMWmAz2iKdmGQ==
ARC-Autentificare-Rezultate: i=2; mx.microsoft.com 1; spf=pass (ip-ul expeditorului este
 52.100.172.225) smtp.rcpttodomain=************************
 smtp.mailfrom=columbiacentral.edu; dmarc=niciuna action=niciuna
 header.from=biglifejournal.com; dkim=pass (semnătura a fost verificată)
 header.d=columbiacoedu.onmicrosoft.com; dkim=fail (semnătura nu a fost verificată)
 header.d=ksd1.klaviyomail.com; arc=trecere (0 oda=0 ltdi=1)
Primit: de la AS9PR06CA0338.eurprd06.prod.outlook.com (2603:10a6:20b:466::32)
 de DB6PR01MB3829.eurprd01.prod.exchangelabs.com (2603:10a6:6:52::25) cu
 Server SMTP Microsoft (versiunea=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.5206.24; marți, 10 mai
 2022 02:17:40 +0000
Primit: de la VE1EUR01FT092.eop-EUR01.prod.protection.outlook.com
 (2603:10a6:20b:466:cafe::a6) de AS9PR06CA0338.outlook.office365.com
 (2603:10a6:20b:466::32) cu Microsoft SMTP Server (versiunea=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.5227.20 prin Frontend
 Transport; Mar, 10 mai 2022 02:17:39 +0000
Rezultate autentificare: spf=pass (IP-ul expeditorului este 52.100.172.225)
 smtp.mailfrom=columbiacentral.edu; dkim=pass (semnătura a fost verificată)
 header.d=columbiacoedu.onmicrosoft.com;dmarc=niciuna action=niciuna
 header.from=biglifejournal.com;compauth=softpass reason=202
Primit-SPF: trece (protection.outlook.com: domeniul columbiacentral.edu
 desemnează 52.100.172.225 ca expeditor permis)
 receptor=protection.outlook.com; client-ip=52.100.172.225;
 helo=NAM11-DM6-obe.outbound.protection.outlook.com;
Primit: de la NAM11-DM6-obe.outbound.protection.outlook.com (52.100.172.225)
 de VE1EUR01FT092.mail.protection.outlook.com (10.152.3.140) cu Microsoft
 ID server SMTP (versiunea=TLS1_2, cifr=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
 15.20.5227.15 prin Transport Frontend; Mar, 10 mai 2022 02:17:39 +0000
ARC-Seal: i=1; a=rsa-sha256; s=arcselector9901; d=microsoft.com; cv=niciuna;
 b=Q5rpXKAdNS+0d9NAcPdgg6yieRqMW+KRK56NvHARZ4dvDoZFK3ySOALeF/i9hUzI42iCy0O8N39lvyCdQqVsh1ZRKOfp/yVtfpa+crSVPK2TK/DezxAE0TxWMewLdzGDhWUXugtGjgvNArKyHBS84F2rsOpDZRMfs1Yo8BJXZw3qT5bLFu1TkCU1sZvnzO7fNomw6exzWksgwRLCiQyigO26zDT99562VKyMLxSo0jW24mxN948jAg9vtGu5M95gunA+fRSJUu26E6pjhpS3ESkrcETmi074jwsIHPRts8NV9zZTNlnkigxKxqCGnbYgNiDqNRNK8eicLHn3nZht9w==
ARC-Mesaj-Semnătură: i=1; a=rsa-sha256; c=relaxat/relaxat; d=microsoft.com;
 s=arcselector9901;
 h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-AntiSpam-MessageData-ChunkCount:X-MS-Exchange-AntiSpam-MessageData-0:X-MS-Exchange- AntiSpam-MessageData-1;
 bh=YadlNX9F1tdHPU6GBSCru6/kZ/UxDewIfN1iyiWDfYU=;
 b=j+q7sHypXOlRowsbB0TbvBhGeqo6NZcgUYskR6DrTJPVsaNOdxldABCpIYBtnRZpytb8NaleVgX84hn+wqy5as3e1845BoDH2jANfo5D6geIh3Vofc8VE7GykIOjyq93qgxLkfsdd20iU9gsgwMln8yZ0OUvSFR4tBeDXTcSOB0JT0pMq/iF+qiyva6TgwUA5XhHCwnpu0w1IkdHGlAAZpLkRAyiaqgf6dduuwqmz9Blu/wsgeAUSEE+djSXNoiFnWTaF03/lC7iANlqlQLELSw6d/lfNtozYKaZ9l4uHiYe+aoVk9LaowjlQkEWLw/ZAQ7XL6fUizHvmUpLcZYhog==
ARC-Autentificare-Rezultate: i=1; mx.microsoft.com 1; spf=temperror (ip-ul expeditorului
 este 2603:10c6:1:12::22) smtp.rcpttodomain=************************
 smtp.mailfrom=columbiacentral.edu; dmarc=niciuna action=niciuna
 header.from=biglifejournal.com; dkim=fail (semnătura nu a fost verificată)
 header.d=ksd1.klaviyomail.com; arc=niciunul (0)
Semnătura DKIM: v=1; a=rsa-sha256; c=relaxat/relaxat;
 d=columbiacoedu.onmicrosoft.com; s=selector2-columbiacoedu-onmicrosoft-com;
 h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
 bh=YadlNX9F1tdHPU6GBSCru6/kZ/UxDewIfN1iyiWDfYU=;
 b = bt0lbdutxdkcbaykpzbcpv5vtzki2emj1pbgfatd3x6neulcygklzvkyhgkyglqlefnorponvgwr4v1ygOl3jn/x2z6vwpq5+ehxvm9apc/7zrdfefolcnaim2myscqep/1qqcklgjd
Primit: de la MW2PR16CA0035.namprd16.prod.outlook.com (2603:10b6:907::48) de
 BY5PR02MB7044.namprd02.prod.outlook.com (2603:10b6:a03:232::18) cu
 Server SMTP Microsoft (versiunea=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.5227.20; marți, 10 mai
 2022 02:17:37 +0000
Primit: de la MW2NAM12FT006.eop-nam12.prod.protection.outlook.com
 (2603:10b6:907:0:cafe::9c) de MW2PR16CA0035.outlook.office365.com
 (2603:10b6:907::48) cu Microsoft SMTP Server (versiunea=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) ID 15.20.5227.23 prin Frontend
 Transport; Mar, 10 mai 2022 02:17:36 +0000
X-MS-Exchange-Authentication-Results: spf=temperror (IP-ul expeditorului este
 2603:10c6:1:12::22) smtp.mailfrom=columbiacentral.edu; dkim=fail (semnătură
 nu a verificat) header.d=ksd1.klaviyomail.com;dmarc=niciuna action=niciuna
 header.from=biglifejournal.com;
SPF primit: TempError (protection.outlook.com: eroare la procesare în timpul
 căutarea columbiacentral.edu: DNS Timeout)
Primit: de la bouttecontour.cloud (195.58.39.136) de
 MW2NAM12FT006.mail.protection.outlook.com (10.13.180.73) cu Microsoft SMTP
 ID server 15.20.5250.8 prin Transport Frontend; Mar, 10 mai 2022 02:17:36
 +0000
Primit: de la SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) de
 ME1PR01MB1235.ausprd01.prod.outlook.com cu HTTPS; Duminica, 8 mai 2022 04:00:40
 +0000
Primit: de la SYXPR01CA0100.ausprd01.prod.outlook.com (2603:10c6:0:2e::33) de
 SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) cu Microsoft
 ID server SMTP (versiunea=TLS1_2, cifr=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
 15.20.5227.18; Duminică, 8 mai 2022 04:00:37 +0000
Primit: de la SY4AUS01FT005.eop-AUS01.prod.protection.outlook.com
 (2603:10c6:0:2e:cafe::e6) de la SYXPR01CA0100.outlook.office365.com
 (2603:10c6:0:2e::33) cu Microsoft SMTP Server (versiunea=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) ID 15.20.5227.18 prin Frontend
 Transport; Duminică, 8 mai 2022 04:00:37 +0000
Autentificare-Rezultate-Original: spf=pass (IP-ul expeditorului este 168.245.125.63)
 smtp.mailfrom=send.ksd1.klaviyomail.com; dkim=pass (semnătura a fost verificată)
 header.d=ksd1.klaviyomail.com;dmarc=niciuna action=niciuna
 header.from=biglifejournal.com;compauth=pass reason=102
Primit-SPF: Treci (protection.outlook.com: domeniu al
 send.ksd1.klaviyomail.com desemnează 168.245.125.63 ca expeditor permis)
 receptor=protection.outlook.com; client-ip=168.245.125.63;
 helo=o1401.shared.klaviyomail.com;
Primit: de la o1401.shared.klaviyomail.com (168.245.125.63) de
 SY4AUS01FT005.mail.protection.outlook.com (10.114.156.159) cu Microsoft
 ID server SMTP (versiunea=TLS1_2, cifr=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
 15.20.5227.15 prin Transport Frontend; Duminică, 8 mai 2022 04:00:36 +0000
Semnătura DKIM: v=1; a=rsa-sha256; c=relaxat/relaxat; d=ksd1.klaviyomail.com;
    h=content-type:from:mime-version:subject:reply-to:list-unsubscribe:to;
    s=m1; bh=ignkFy+p5H/cOKl305fEybl8jB7GJjbHDFUzuCHPfgY=;
    b=Sje97uAIGDZXT68b/atMmmyhc+HymmKzq6VYL9DqX8vLCaPc2D+5ZQ5oNx03m+QsjMqk
    ZgR+dA3mpPMpCDZKEA8KnkBqLfjcEy/yVW5UNh6QgUWDBl+Rw8Hf+zLSBWtAbJj+l4FaXL
    FsqsMZ45T6+SyssDqFLGm2aFlK7TFXoSY=
Primit: de filterdrecv-587b769b88-2bpk5 cu ID SMTP filterdrecv-587b769b88-2bpk5-1-62774062-56
        2022-05-08 04:00:34.371597831 +0000 UTC m=+2700818.931010760
Primit: de la MTk3MDQ3Mzc (necunoscut)
    de geopod-ismtpd-1-5 (SG) cu HTTP
    id Rs3WzlZyRbmab0T598cUNQ
    Duminică, 08 mai 2022 04:00:34.261 +0000 (UTC)

Ceea ce iese în evidență pentru mine este eșecul DKIM:

 52.100.172.225) smtp.rcpttodomain=************************
 smtp.mailfrom=columbiacentral.edu; dmarc=niciuna action=niciuna
 header.from=biglifejournal.com; dkim=pass (semnătura a fost verificată)
 header.d=columbiacoedu.onmicrosoft.com; dkim=fail (semnătura nu a fost verificată)
 header.d=ksd1.klaviyomail.com; arc=trecere (0 oda=0 ltdi=1)

Ce politică de 365 ar trebui să modific pentru a înăspri aceste erori DKIM?

EDIT: Am aruncat asta printr-un analizor de antet și există două erori DKIM acolo:

dkim:ksd1.klaviyomail.com:m1  

Înregistrare publică Dkim:
k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6L9gyFVAyoilbWhRbDZp+S8sFyNK4ACBgovgHxfbrutEet95U/CaL0mUnhv4VmkbIK7vUM2lsZl5rqLMQf5FGapvT3lWYQOgWBtl2USeDDr5Y+LzaHA1XZ+5NVf+l6sAFRaKeabsIKidXfxkdDALgIOIdmF3WV+VI4TvMRo90hQIDAQAB

Semnătura Dkim (acesta este un eșec):
v=1; a=rsa-sha256; c=relaxat/relaxat; d=ksd1.klaviyomail.com;
 h=content-type:from:mime-version:subject:reply-to:list-unsubscribe:to;
 s=m1; bh=ignkFy+p5H/cOKl305fEybl8jB7GJjbHDFUzuCHPfgY=;
 b=Sje97uAIGDZXT68b/atMmmyhc+HymmKzq6VYL9DqX8vLCaPc2D+5ZQ5oNx03m+QsjMqk
 ZgR+dA3mpPMpCDZKEA8KnkBqLfjcEy/yVW5UNh6QgUWDBl+Rw8Hf+zLSBWtAbJj+l4FaXL
 FsqsMZ45T6+SyssDqFLGm2aFlK7TFXoSY=

și

dkim:columbiacoedu.onmicrosoft.com:selector2-columbiacoedu-onmicrosoft-com  

Înregistrare publică Dkim:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOvOdOm9Ug9778qHNSHRfls8jR3NWGijSKHOo/T2z4WdACJHA3IDPMVB2q4cWnHt+KwAnWiRYWeSeBWkzqWBIiWgdn8kMh08+iMy86hfqKb7mzbWgXigdEdtzzD9RGy09FRKsy5sIPJMMavbPhzvJaS/KNmWEMEb09JXkMyNCnRQIDAQAB;

Semnătura Dkim (și acesta este un eșec):
v=1; a=rsa-sha256; c=relaxat/relaxat;
 d=columbiacoedu.onmicrosoft.com; s=selector2-columbiacoedu-onmicrosoft-com;
 h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
 bh=YadlNX9F1tdHPU6GBSCru6/kZ/UxDewIfN1iyiWDfYU=;
 b = bt0lbdutxdkcbaykpzbcpv5vtzki2emj1pbgfatd3x6neulcygklzvkyhgkyglqlefnorponvgwr4v1ygOl3jn/x2z6vwpq5+ehxvm9apc/7zrdfefolcnaim2myscqep/1qqcklgjd
259
0 + 0
Puncte:0
avatar Server
drapel us
Gill Weeks

Se pare că este posibil să aveți niște anteturi primite falsificate:

Primit: de la bouttecontour.cloud (195.58.39.136) arată ca o injecție autentică la O365 la marți, 10 mai 2022 02:17:36 +0000

Dar anteturile primite de mai jos au o deconectare de timp și par să arate procesarea internă O365 ÎNAINTE de injecție.

Primit: de la SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) de ME1PR01MB1235.ausprd01.prod.outlook.com cu HTTPS; Duminica, 8 mai 2022 04:00:40 +0000

Primit: de la SYXPR01CA0100.ausprd01.prod.outlook.com (2603:10c6:0:2e::33) de SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) cu Microsoft ID server SMTP (versiunea=TLS1_2, cifr=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) 15.20.5227.18; Duminică, 8 mai 2022 04:00:37 +0000

Primit: de la SY4AUS01FT005.eop-AUS01.prod.protection.outlook.com (2603:10c6:0:2e:cafe::e6) de la SYXPR01CA0100.outlook.office365.com (2603:10c6:0:2e::33) cu Microsoft SMTP Server (versiunea=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) ID 15.20.5227.18 prin Frontend Transport; Duminică, 8 mai 2022 04:00:37 +0000

Comparați-le cu anteturile dintr-un exemplu pe care îl investigăm și:

Primit: de la breckcraigint.pro (195.58.39.137) de DM6NAM12FT048.mail.protection.outlook.com (10.13.178.173) cu Microsoft SMTP Server id 15.20.5250.8 prin Frontend Transport; Luni, 9 mai 2022 02:00:01 +0000

Din nou, liniile de antet de mai jos par să arate procesarea O365 - care se potrivește exact cu exemplul dvs.

Primit: de la SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) de ME1PR01MB1235.ausprd01.prod.outlook.com cu HTTPS; Duminica, 8 mai 2022 04:00:40 +0000

Primit: de la SYXPR01CA0100.ausprd01.prod.outlook.com (2603:10c6:0:2e::33) de SYAPR01MB2960.ausprd01.prod.outlook.com (2603:10c6:1:12::22) cu Microsoft ID server SMTP (versiunea=TLS1_2, cifr=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) 15.20.5227.18; Duminică, 8 mai 2022 04:00:37 +0000

Primit: de la SY4AUS01FT005.eop-AUS01.prod.protection.outlook.com (2603:10c6:0:2e:cafe::e6) de la SYXPR01CA0100.outlook.office365.com (2603:10c6:0:2e::33) cu Microsoft SMTP Server (versiunea=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) ID 15.20.5227.18 prin Frontend Transport; Duminică, 8 mai 2022 04:00:37 +0000

0 + 0
Puncte:0
AngryCarrotTop avatar Server
drapel my
AngryCarrotTop

OK, așa că după mai multe săpături am -EDIT: după comentarii, POSSIBIL- am propriul meu răspuns. Nu am avut o regulă Exchange Online pentru Authentication-Results care setează SCL pentru dkim=fail

Pentru alții care caută:

  • Accesați Exchange Online Admin
  • Flux de e-mail -> Reguli
  • Adăugați o regulă nouă și alegeți mai multe opțiuni (sau nu veți vedea opțiunile de antet)
  • Adăugați un test pentru antetul „Authentication-Results” cu „dkim=fail”
  • Acțiune ca setați SCL la 6

Am adăugat o a doua regulă care a făcut la fel ca mai sus, dar cu antetul „X-MS-Exchange-Authentication-Results”

Referinţă https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/support-for-validation-of-dkim-signed-messages?view=o365-worldwide

Administratorii pot crea reguli de flux de e-mail Exchange (cunoscute și ca reguli de transport) pe baza rezultatelor validării DKIM. Aceste reguli de flux de e-mail vor permite administratorilor să filtreze sau să direcționeze mesajele după cum este necesar.

0 + 0
Gerrit avatar
drapel cn
Gerrit
Blocarea la eșecul DKIM nu este cu adevărat standard DMARC. Unele servere originare pentru domeniul dvs. de e-mail pot depinde de setările SPF în loc de DKIM pentru a livra corespondența. Deci, puțină atenție, acest lucru poate bloca mai mult decât doriți de fapt.
1
Răspunde
AngryCarrotTop avatar
drapel my
AngryCarrotTop
ai idei despre o solutie alternativa? Nu am acceptat încă acest răspuns ca răspuns. M-am uitat doar la filtrarea dkim=fail pe baza articolului Microsoft legat.
0
Răspunde
Gerrit avatar
drapel cn
Gerrit
Dacă mă gândesc bine, nu ar strica să filtrezi pe dkim=fail în Authentication-Results, deoarece nu ar fi nevoie de o semnătură dkim pentru ca orice e-mail să vină. Dar majoritatea spammerilor folosesc de fapt semnături DKIM valide. În acest caz, arată ca un mesaj redirecționat de două ori cu o manipulare ciudată a antetului care se desfășoară într-unul dintre expeditori.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.