TL; DR
Saya mendapatkan banyak umpan balik DMARC dari akun / situs web yang tidak saya hubungi dan ingin kejelasan apakah saya harus mengambil tindakan atau apakah laporan umpan balik ini informatif tentang masalah serius?

Saya menjalankan server WHM dan menggunakan SPF dan DKIM (dan _DMARC), semua email dikirim dari server domain yang sama.

Contoh pengaturan DNS untuk _DMARC saya (dan DKIM dan SPF):

mydomain.co.uk     14400 IN TXT "v=spf1 mx a ip4:11.22.33.44 ip4:11.22.33.55 ~all"

default._domainkey 14400 IN TXT "v=DKIM1; k=rsa; p=<code>;

_dmarc             14400 IN TXT "v=DMARC1; p=quarantine; sp=none; 
                                rua=mailto:[email protected]!90m; 
                                ruf=mailto:[email protected]; 
                                rf=afrf; pct=100; ri=86400"

dan sejauh yang saya tahu ini sudah diatur dan berfungsi seperti yang diharapkan.

namun, saya mendapatkan beberapa pesan otomatis dari berbagai domain di seluruh web, yang tidak ada hubungannya dengan domain saya. Saya satu-satunya orang yang menggunakan email dari domain saya, tidak ada orang lain yang mengirim email dari domain saya.

Sebagai contoh, pagi ini saya menerima laporan agregat DMARC dari Comcast yang menyatakan:

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
    <version>1.0</version>
    <report_metadata>
        <org_name>comcast.net</org_name>
        <email>[email protected]</email>
        <report_id>v1-1483425166-mydomain.co.uk</report_id>
        <date_range>
            <begin>1483315200</begin>
            <end>1483401600</end>
        </date_range>
    </report_metadata>
    <policy_published>
        <domain>mydomain.co.uk</domain>
        <adkim>r</adkim>
        <aspf>r</aspf>
        <p>quarantine</p>
        <sp>none</sp>
        <pct>100</pct>
        <fo>0</fo>
    </policy_published>
    <record>
        <row>
            <source_ip>72.167.218.164</source_ip>
            <count>1</count>
            <policy_evaluated>
                <disposition>none</disposition>
                <dkim>fail</dkim>
                <spf>fail</spf>
            </policy_evaluated>
        </row>
        <identifiers>
            <header_from>mydomain.co.uk</header_from>
        </identifiers>
        <auth_results>
            <spf>
                <domain>bounce.secureserver.net</domain>
                <scope>mfrom</scope>
                <result>pass</result>
            </spf>
        </auth_results>
    </record>
</feedback>

Tidak, saya tidak mengenali detail yang ditetapkan di sini selain dari domain saya, alamat IP yang diberikan <source_ip>bukan alamat IP saya dan saya sama sekali tidak mengetahui adanya kontak dengan Comcast.

Pada dasarnya, saya mendapatkan cukup banyak pemberitahuan ini dan saya tidak dapat menemukan umpan balik untuk memberi tahu saya apakah itu hanya informatif dan dapat dilupakan (dalam hal apa gunanya mereka?) Atau jika saya dapat melakukan sesuatu dengan server saya untuk meningkatkan kegagalan yang diberitahukan pemberitahuan kepada saya.

BEGITU:

• Apakah laporan ini sesuatu yang dapat ditindaklanjuti?
• Bagaimana seharusnya laporan DMARC seperti ini ditindaklanjuti di akhir saya?
• Apakah laporan ini merupakan indikator segala bentuk kompromi akun
• bisakah / apakah jumlah laporan ini [berpotensi] mencerminkan buruk pada nama domain saya ke seluruh 'web?

Mungkin perlu dicatat saya menduga jawaban dari dua peluru terakhir untuk keduanya menjadi "Tidak", Tapi saya bukan ahli dalam hal ini.

Saya sudah membaca posting ini serta FAQ DMARC dan topik ini , tetapi tidak ada banyak info. tentang bagaimana kami seharusnya bereaksi terhadap laporan agregat. Saya menyadari bahwa laporan DMARC "gagal" dapat disebabkan oleh program penerusan surat, meskipun saya berharap untuk meniadakan kemungkinan ini dengan SPF saya ~all.

Secara keseluruhan saya pikir saya tidak perlu khawatir tentang laporan ini tetapi saya ingin pendapat kedua karena apa yang saya anggap sebagai keteraturan dan ( saya pikir ) jumlah laporan agregat yang relatif signifikan yang saya terima.

Apakah laporan ini sesuatu yang dapat ditindaklanjuti?

Ya, tetapi sebagian besar informasi mudah-mudahan akan mengkonfirmasi semua tidak masalah dengan konfigurasi Anda.

Bagaimana seharusnya laporan DMARC seperti ini ditindaklanjuti di akhir saya?

Biasanya laporan ini akan diproses oleh sistem otomatis yang mengubah data ini menjadi laporan cantik dengan grafik, statistik, dan masalah yang membutuhkan perhatian. Jika Anda belum pernah melihat sistem jenis ini maka mungkin Anda harus memeriksa dmarcian.com yang menyediakan layanan dasar gratis yang akan membantu Anda memulai dan memahami apa yang bisa dan tidak bisa Anda lakukan atau lihat. Agar ini berfungsi, Anda harus menggunakan alamat email yang mereka berikan kepada Anda dalam catatan DMARC Anda.

Apakah laporan ini merupakan indikator segala bentuk kompromi akun?

Tidak, itu hanya laporan dari semua aktivitas dari server berkemampuan DMARC yang telah memproses pesan yang mengaku berasal dari nama domain Anda, pada dasarnya memberi tahu Anda bahwa mereka mendapat pesan, dari mana asalnya, apa yang mereka lakukan dengan itu dan mengapa.

Bisakah / apakah jumlah laporan ini [berpotensi] mencerminkan buruk pada nama domain saya ke seluruh web?

Tidak, laporan ini hanya dikirim ke alamat email yang disediakan dalam catatan DMARC dan tidak dipublikasikan ke web. Satu-satunya potensi nyata untuk dampak negatif adalah jika Anda salah mengatur SPF dan / atau DKIM dan pada akhirnya mendapatkan banyak pesan yang ditolak / diblokir, tetapi paling tidak dengan DMARC Anda akan mengetahuinya.

Sebagai balasan untuk contoh Anda: Banyak kegagalan DMARC dapat ditelusuri kembali ke penerusan dan milis, misalnya dengan Google Groups for Business. Namun dalam laporan itu menunjukkan kepada kami bahwa email itu dikirim dari host, bagian dari secureserver.net. SPF diperiksa pada jalur balik bounce.secureserver.netdan dilewati.

Kemungkinan besar ini adalah pesan pentalan dari layanan SMTP anti-SPAM atau masuk Anda, yang dikirim kembali ke pengirim email asli, yang mencoba mengirimi Anda email. Bouncing akan dikirim atas nama Anda dengan jalur pengembalian yang diubah. SecureServer.net adalah bagian dari GoDaddy, apakah Anda hosting dengan GoDaddy atau afiliasi?

Sebagai balasan untuk pernyataan Anda:

Saya menyadari bahwa laporan DMARC "gagal" dapat disebabkan oleh program penerusan surat, meskipun saya berharap untuk meniadakan kemungkinan ini dengan SPF saya ~all.

DMARC hanya akan mengevaluasi untuk Lulus jika SPF atau DKIM memeriksa hasil lulus, sejalan dengan Fromdomain alamat Anda . Jadi saya tidak yakin apa yang Anda maksud dengan itu ~allmeniadakan masalah.

Forwarder biasanya menulis ulang return-pathke alamat bouncing mereka sendiri, sehingga gagal menyelaraskan dengan domain asal. Th ARC protokol masih dalam rancangan, tetapi harus meniadakan ini masalah forwarding untuk SPF keselarasan dengan DMARC untuk forwarders dipercaya. Selain itu, tanda tangan DKIM paling sering tetap digunakan, kecuali jika bidang yang ditandatangani diubah oleh penerusan. Jadi DMARC masih bisa lewat berdasarkan DKIM.

Satu hal terakhir:

Dalam kebijakan DMARC Anda, Anda menerbitkan sp=nonekebijakan untuk semua subdomain, yang jika tidak akan mewarisi p=quarantinekebijakan tersebut. Ini menghasilkan siapa pun yang menipu domain Anda dapat dengan mudah memilih subdomain apa saja untuk digunakan, misalnya app.mydomain.co.uk. Mungkin ini adalah pengaturan yang diinginkan, tetapi saya hanya ingin menunjukkannya.

Anda dapat menguraikan dan menampilkan laporan DMARC melalui alat ini:

• https://github.com/techsneeze/dmarcts-report-parser
• https://github.com/techsneeze/dmarcts-report-viewer

Juga lihat https://dmarc.org/resources/deployment-tools/ , bagian "Laporkan Parsing dan Tampilan".