Décryptage messages "support domain"

Support Debian
#1

Bonjour à tous

Depuis le paramétrage de DKIM je reçois des messages « support domain » de Yahoo ou gmail de la forme

<feedback>
<report_metadata>
<org_name>Yahoo</org_name>
<email>dmarchelp@yahooinc.com</email>
<report_id>1657242407.711219</report_id>
<date_range>
<begin>1657152000</begin>
<end>1657238399</end>
</date_range>
</report_metadata>
<policy_published>
<domain>webologix.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>reject</p>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>94.23.227.123</source_ip>
<count>2</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>webologix.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>webologix.com</domain>
<selector>mail</selector>
<result>pass</result>
</dkim>
<spf>
<domain>webologix.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>

Y-a-t-il un mode d’emploi quelque part pour décrypter ces messages ?

#2

Bonjour,

Je les reçois aussi et j’ai compris par moi-même.
La section report_metadata te donne des informations sur l’organisation qui t’a fait ce rapport et ce qu’il concerne. Là, il semble que ça vienne de Yahoo et que ce soit pour la période allant du jeudi 7 juillet 2022 à 2:00:00 au vendredi 8 juillet 2022 à 1:59:59 (CEST).
La section suivante, policy_published, précise ce qui a été retourné dans l’enregistrement DMARC.
Ensuite, nous avons une section record qui contient un rapport qui précise que le serveur de Yahoo a reçu une connexion de la part de l’adresse IP 94.23.227.123 à deux reprises. Après analyse, il s’avère que cette adresse IP a le droit, d’après SPF, d’émettre un e-mail et que la signature de l’e-mail correspond à l’enregistrement DKIM déclaré. Après, il y a des détails sur l’acceptation du SPF et du DKIM, la connexion a été signée par la machine mail du domaine webologix.com.

En gros, le serveur t’en envoyé un e-mail te précisant qu’il a reçu deux connexions concernant ton domaine de la part d’une adresse IP et qu’il n’a eu aucune raison valable de rejeter ce qui a été transféré.
Si tu veux plus de lisibilité, tu peux ouvrir le fichier XML avec un navigateur, la structure est quand même beaucoup plus lisible et on peut plus facilement comprendre ce que ça veut dire.

#3

Et l’adresse dmarchelp@yahooinc.com ?
Connais pas…

Et pour cesser de recevoir ces infos ?

#4

Ça doit être l’adresse du service qui s’occupe de ça chez Yahoo!.

Il faut modifier ton enregistrement DMARC.
Voici la valeur de ton DMARC :

v=DMARC1; p=reject; rua=mailto:inf@webologix.com; ruf=mailto:inf@webologix.com; fo=1; adkim=r; aspf=r; pct=100; rf=afrf; ri=600

Tu précises que tu veux recevoir un rapport agrégé toutes les 600 secondes. Tu peux en recevoir moins souvent en augmentant la valeur de ri, mais je n’ai pas encore cherché si on pouvait désactiver cette fonctionnalité.

#5

En laissant vide ou supprimant le ruf ou rua ?

#6

D’après ce que j’ai compris, ce sont des paramètres obligatoires, mais tu peux toujours tenter…

#7

Une option pour ne recevoir que les cas d’usurpatiion ?

#8

A fouiller dans les bonnes pratiques de DMARC :wink: