Я установил DKIM, SPF и DMRAC на сервере убунуту месяц назад. Казалось, все работало нормально, пока я не получил любопытный отчет DMARC. Серверу ружей удалось отправить электронное письмо, которое прошло проверку DKIM на Google.
Как это может произойти? Является ли это вероятной повторной «атакой» с использованием неизмененного сообщения?
<record>
<row>
<source_ip>RougeIP</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>host.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>host.com</domain>
<result>pass</result>
</dkim>
<dkim>
<domain>host.com</domain>
<result>pass</result>
</dkim>
<spf>
<domain>host.com</domain>
<result>fail</result>
</spf>
</auth_results>
</record>
Оказывается, что DKIM уязвим для атак с повторением пакетов, как зарегистрировано здесь:
http://www.zdnet.com/article/dkim-useless-or-just-disappointing/
SPF перестал работать, как предназначено, и сообщение было отмечено правильно.