先日、メールサーバ(Postfix)にOpenDMARCをインストールして運用しています。
送信元のDMARCレコードがp=noneならば不審なメールであってもメールボックスに配送、p=rejectでDMARCがfailならメール拒否と認識しています。
ではp=quarantineなら受信したメールの配送は?
ずっと疑問で調べていたのですがやっと見つけることができました。Postifx hold queueに配送されてずっと残ると。
Set Up OpenDMARC with Postfix on Ubuntu to Block Email Spoofing/Spam
https://www.linuxbabe.com/mail-server/opendmarc-postfix-ubuntu
Note: If a domain’s DMARC policy is set to p=quarantine, then OpenDMARC milter will put the spoofed email into the Postifx hold queue indefinitely. The postmaster can list all messages in the queue with postqueue -p command and use the postsuper command line utility to release messages in hold queue.
※上記サイトから引用致しました。
早々に調べてみました。
- キューの確認
- メールの確認
- hold queueの場所
- DMARCレポートの確認
4通のメールが溜まっていました。
1 2 3 4 5 6 7 8 9 10 11 12 13 |
[root@centos7 ~]# postqueue -p -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- 3C8BA7B264! 13328 Wed Sep 16 18:04:43 account-update@amazon.co.jp xxxxxxxxxx@rootlinks.net BF8C152864! 13337 Thu Sep 17 07:13:49 account-update@amazon.co.jp xxxxxxxxxx@rootlinks.net B9AF36A264! 13226 Thu Sep 17 17:32:18 account-update@amazon.co.jp xxxxxxxxxx@rootlinks.net E978AFF64! 13182 Fri Sep 18 07:35:08 account-update@amazon.co.jp xxxxxxxxxx@rootlinks.net |
いつものAmazonセキュリティ警告で不正利用の形跡が発見されたからパスワード変更しろってやつです。
1 2 3 4 5 6 |
[root@centos7 ~]# postcat -q 3C8BA7B264 (snip) Authentication-Results: centos7.rootlinks.net; dmarc=fail (p=quarantine dis=quarantine) header.from=amazon.co.jp Authentication-Results: centos7.rootlinks.net; spf=fail smtp.mailfrom=account-update@amazon.co.jp Received-SPF: permerror (amazon.co.jp: Included domain 'amazon-spf.xxx.xxxx.ne.jp' has no applicable sender policy) receiver=centos7.rootlinks.net; identity=mailfrom; envelope-from="account-update@amazon.co.jp"; helo=amazonxxe.xxxx; client-ip=23.247.xxx.xxx (snip) |
amazon.co.jpのDMARCレコードは下記でp=quarantineです。
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@bounces.amazon.com; ruf=mailto:dmarc-reports@bounces.amazon.com
1 2 3 4 5 6 |
[root@centos7 ~]# ls -l /var/spool/postfix/hold/ total 64 -rwx------ 1 postfix postfix 14699 Sep 16 18:04 3C8BA7B264 -rwx------ 1 postfix postfix 14400 Sep 17 17:32 B9AF36A264 -rwx------ 1 postfix postfix 14772 Sep 17 07:13 BF8C152864 -rwx------ 1 postfix postfix 14428 Sep 18 07:35 E978AFF64 |