Auteur Topic: Bug in de DMARC test  (gelezen 1360 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Bug in de DMARC test
« Gepost op: 23 januari 2019, 18:03:38 »
Ik kreeg vanavond een mail die duidelijk phishing was. Vorige week kreeg ik ook al een phishing mailtje die toen zo specifiek was, dat het alleen kan zijn dat een Duitse leverancier van ons, onze naam heeft gelekt. Ik was er dus op voorbereidt dat er nu meer rotzooi gaat komen op mijn zakelijke mailadres.

Deze mail kwam zogenaamd van een Duitse Amazon vestiging en was ook geheel in het Duits opgesteld. Het was een standaard mail die je meldt dat er een pakketje onderweg is. De link om de verzenddata te bekijken ging naar een adres in Rusland.

Nu dacht ik dat deze mail wel een duidelijk DMARC fail zou geven, maar als ik in de header kijk, geeft hij zelfs een pass. Dit moet een configuratie bug van Synology zijn of een fout in de DMARC module zelf. Een pass mag alleen als het zichtbare afzend adres een pass op DKIM geeft, of een pass op SPF. (Maar dan getest tegen de zichtbare afzender en niet de enveloppe afzender).

Deze mail had geen DKIM info en het afzend IP "174.133.200.101" staat niet in het SPF record van "amazon.de" en moet dus een fail geven. Jammer dat de DMARC module geen tussenresultaten logt om dit verder te bekijken.

Voor geïnteresseerden de header van de mail en het log van Mail Server.

Citaat van: Mail Header
X-mijndomein-Spam-Status: No
X-mijndomein-Mailscanner-Id: 670518F17.A32E3
Return-Path: <erivero@lasociete.com.ve>
Mime-Version: 1.0
X-mijndomein-Mailscanner-From: erivero@lasociete.com.ve
Authentication-Results: mijndomein.nl; dmarc=pass header.from=amazon.de
X-mijndomein-Mailscanner: Found to be clean
X-mijndomein-Mailscanner-Spamscore: ss
Message-Id: <23568299444930418910.240EF2BBCB20864A@mijndomein.nl>
X-mijndomein-Mailscanner-Spamcheck: geen spam, SpamAssassin (not cached, score=2.206, vereist 4, DKIM_ADSP_ALL 1.10, HEADER_FROM_DIFFERENT_DOMAINS 0.00, HTML_MESSAGE 0.00, LOTS_OF_MONEY 0.00, MIME_HTML_ONLY 1.10, RCVD_IN_MSPIKE_H2 -0.00, SPF_PASS -0.00)
Content-Type: multipart/mixed; boundary="----=_Part_42661_3709841481.4211841460854757072"
Received-Spf: pass (lasociete.com.ve: 174.133.200.101 is authorized to use 'erivero@lasociete.com.ve' in 'mfrom' identity (mechanism 'mx' matched)) receiver=GedeeldeData; identity=mailfrom; envelope-from="erivero@lasociete.com.ve"; helo=mail.1host3.com; client-ip=174.133.200.101
Delivered-To: info@mijndomein.nl
X-Original-To: info@mijndomein.nl
Received: from mail.1host3.com (mail.1host3.com [174.133.200.101]) by mijndomein.nl (Postfix) with ESMTP id 670518F17 for <info@mijndomein.nl>; Wed, 23 Jan 2019 16:45:59 +0100 (CET)
Received: from 176.227.33.128 [176.227.33.128] by mail.1host3.com with SMTP; Wed, 23 Jan 2019 06:14:53 -0400


Citaat van: Mail log
:45:58+01:00 postfix/smtpd[25446]: connect from mail.1host3.com[174.133.200.101]
:45:59+01:00 postfix/policy-spf[28942]: Policy action=PREPEND Received-SPF: pass (lasociete.com.ve: 174.133.200.101 is authorized to use 'erivero@lasociete.com.ve' in 'mfrom' identity (mechanism 'mx' matched)) receiver=GedeeldeData; identity=mailfrom; envelope-from="erivero@lasociete.com.ve"; helo=mail.1host3.com; client-ip=174.133.200.101
:45:59+01:00 postfix/policy-spf[28942]: Policy action=DUNNO
:45:59+01:00 postfix/smtpd[25446]: 670518F17: client=mail.1host3.com[174.133.200.101]
:45:59+01:00 postfix/cleanup[29002]: 670518F17: hold: header Received-SPF: pass (lasociete.com.ve: 174.133.200.101 is authorized to use 'erivero@lasociete.com.ve' in 'mfrom' identity (mechanism 'mx' matched)) receiver=GedeeldeData; identity=mailfrom; envelope-f from mail.1host3.com[174.133.200.101]; from=<erivero@lasociete.com.ve> to=<info@mijndomein.nl> proto=ESMTP helo=<mail.1host3.com>
:45:59+01:00 postfix/cleanup[29002]: 670518F17: message-id=<23568299444930418910.240EF2BBCB20864A@mijndomein.nl>
:46:00+01:00 opendmarc[12246]: implicit authentication service: mijndomein.nl
:46:00+01:00 opendmarc[12246]: 670518F17: amazon.de pass
:46:00+01:00 postfix/smtpd[25446]: disconnect from mail.1host3.com[174.133.200.101] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5

:46:01+01:00 MailScanner[24900]: New Batch: Scanning 1 messages, 31256 bytes
:46:02+01:00 MailScanner[24900]: Virus and Content Scanning: Starting
:46:02+01:00 MailScanner[24900]: <A> tag found in message 670518F17.A32E3 from erivero@lasociete.com.ve
:46:02+01:00 MailScanner[24900]: HTML Img tag found in message 670518F17.A32E3 from erivero@lasociete.com.ve
:46:02+01:00 MailScanner[24900]: Spam Checks: Starting
:46:05+01:00 MailScanner[24900]: Content Checks: Detected and have disarmed web bug tags in HTML message in 670518F17.A32E3 from erivero@lasociete.com.ve
:46:05+01:00 MailScanner[24900]: Requeue: 670518F17.A32E3 to 300B295D8
:46:05+01:00 postfix/qmgr[6767]: 300B295D8: from=<erivero@lasociete.com.ve>, size=30359, nrcpt=1 (queue active)
:46:05+01:00 MailScanner[24900]: Uninfected: Delivered 1 messages
:46:05+01:00 MailScanner[24900]: Deleted 1 messages from processing-database

Er is dus wel een correcte SPF pass, maar dat is op de enveloppe afzender "lasociete.com.ve". Niet op de amazon.de afzender. En de dmarc regel claimt ook duidelijk dat hij op amanon.de gecontroleerd heeft.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Bug in de DMARC test
« Reactie #1 Gepost op: 24 januari 2019, 18:12:05 »
Ik ben nog eens door de config file heen gelopen en vond daar een optie om een SPF test door de dmarc module te forceren. Dit voor het geval hij toch naar het spf result van de enveloppe kijkt. Hoewel me dat sterk lijkt omdat dit juist een van de essenties van DMARC is aar juist niet naar te kijken.

Ik heb beide settngs nu op true gezet.
##  SPFIgnoreResults { true | false }
## default "false"
##
##  Causes the filter to ignore any SPF results in the header of the
##  message.  This is useful if you want the filter to perfrom SPF checks
##  itself, or because you don't trust the arriving header.
#
# SPFIgnoreResults false

##  SPFSelfValidate { true | false }
## default false
##
##  Enable internal spf checking with --with-spf
##  To use libspf2 instead:  --with-spf --with-spf2-include=path --with-spf2-lib=path
##
##  Causes the filter to perform a fallback SPF check itself when
##  it can find no SPF results in the message header.  If SPFIgnoreResults
##  is also set, it never looks for SPF results in headers and
##  always performs the SPF check itself when this is set.
#
# SPFSelfValidate false

Hierbij kwam ik nog een klein bugje van Synology tegen toen ik de dmarc module wilde herstarten met:

/volume1/@appstore/MailServer/etc/scripts/opendmarc.sh restart
Dit geeft een fout en de module start niet. Een losse 'stop' gevolgd door een 'start' werkt wel. Ook de pauze in het script bij 'restart' van 1 seconde op 5 seconden verhogen werkt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Toch vreemd met de SMART test

Gestart door Robert KoopmanBoard NAS hardware vragen

Reacties: 10
Gelezen: 3891
Laatste bericht 01 september 2018, 16:06:17
door Briolet
Test UPS en NAS verloopt niet altijd goed (reboot)

Gestart door GJBoard NAS hardware vragen

Reacties: 3
Gelezen: 662
Laatste bericht 29 juni 2020, 05:51:22
door Sylvester
S.M.A.R.T. Test en gebruikte functies

Gestart door Tom2012Board Synology DSM algemeen

Reacties: 10
Gelezen: 1324
Laatste bericht 14 februari 2020, 14:59:22
door Tom2012
OpenVPN (SPK) op DS106j - test nodig

Gestart door AnonymousBoard Overige 3rd party packages

Reacties: 5
Gelezen: 8666
Laatste bericht 29 januari 2009, 12:10:13
door wizjos
Computer!Totaal 2-Bay NAS test - April 2012

Gestart door Robert KoopmanBoard Synology Awards & Reviews (NL)

Reacties: 6
Gelezen: 12015
Laatste bericht 21 maart 2012, 15:38:40
door spikehome