In che modo questa email sovverte i controlli SPF?

Gestisco un server di posta che sembra gestire correttamente le e-mail con il set SPF - tuttavia ho iniziato a ricevere e-mail false che pretendono di provenire da una banca - con l'indirizzo Da impostato come banca - ma che sicuramente non provengono dalla banca.

Le intestazioni pertinenti dell'email sono le seguenti:

Delivered-To: me@mydomain.name
Received: from mail.mydomain.org (localhost [127.0.0.1])
    by mail.mydomain.org (Postfix) with ESMTP id AD4BB80D87
    for <user@mydomain.com>; Thu, 13 Oct 2016 20:04:01 +1300 (NZDT)
Received-SPF: none (www.tchile.com: No applicable sender policy available) receiver=mydomain.org; identity=mailfrom; envelope-from="apache@www.tchile.com"; helo=www.tchile.com; client-ip=200.6.122.202
Received: from www.tchile.com (www.tchile.com [200.6.122.202])
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by mail.mydomain.org (Postfix) with ESMTPS id 40F6080B9F
    for <user@mydomain.com>; Thu, 13 Oct 2016 20:03:57 +1300 (NZDT)
Received: from www.tchile.com (localhost.localdomain [127.0.0.1])
    by www.tchile.com (8.13.1/8.13.1) with ESMTP id u9D73sOG017283
    for <user@mydomain.com>; Thu, 13 Oct 2016 04:03:55 -0300
Received: (from apache@localhost)
    by www.tchile.com (8.13.1/8.13.1/Submit) id u9D73smu017280;
    Thu, 13 Oct 2016 04:03:54 -0300
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <201610130703.u9D73smu017280@www.tchile.com>
To: user@mydomain.com
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <noreply@kiwibank.co.nz>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

La cosa chiave qui è che kiwibank.co.nz è una banca legittima e rispettabile da dove vengo, e ha un record SPF che recita:

kiwibank.co.nz.     13594   IN  TXT "v=spf1 include:_spf.jadeworld.com ip4:202.174.115.25 ip4:202.126.81.240 ip4:202.12.250.165 ip4:202.12.254.165 ip4:66.231.88.80 include:spf.smtp2go.com include:spf.protection.outlook.com -all"

Quindi, dopo alcune letture, sembra che Envolope-From sia corretto, ma "From" è stato simulato. Esiste un modo per correggere / mitigare questo problema senza interrompere la posta "generale"? Noto che uso Postfix, Spamassassin e Polydyd (Postfix-Polydyd-spf-perl) - e se è davvero così facile da bypassare, qual è il punto di SPF?

In questo caso probabilmente hanno detto al tuo server qualcosa del genere:

EHLO www.tchile.com
MAIL FROM: apache@www.tchile.com 
RCPT TO: user@mydomain.com
DATA
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <201610130703.u9D73smu017280@www.tchile.com>
To: user@mydomain.com
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <noreply@kiwibank.co.nz>
Reply-To: 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP

The contents of mail...
.

La conversazione SMTP (nota anche come "la busta") può avere da / a intestazioni diverse rispetto alle intestazioni e-mail. SPF non controlla l'intestazione, tuttavia è sempre l'intestazione che viene effettivamente mostrata all'utente finale! Sì, SMTP è così rotto. Sì, SPF è così rotto.

Sarai servito meglio controllando DMARC invece di controllare solo SPF. DMARC controlla per impostazione predefinita SPF ma controlla anche l'allineamento dell'intestazione From con SMTP MAIL FROM (i domini devono corrispondere - ignora la parte del nome utente). Come bonus potresti anche ottenere il supporto DKIM, che è un addendum molto utile a SPF.

Il DMARC dipende dal record DNS TXT impostato su _dmarc.kiwibank.co.nz. ma attualmente non ce n'è. Secondo lo stato attuale delle normative Internet, ciò significa che il proprietario di kiwibank.co.nz. non gliene frega niente di essere protetto da simili parodia. Ma in alcune implementazioni potresti applicare DMARC per tutte le email in arrivo.

Quindi, dopo alcune letture, sembra che Envolope-From sia corretto, ma "From" è stato simulato. Esiste un modo per correggere / mitigare questo problema senza interrompere la posta "generale"?

Verifica l' Fromintestazione si romperà mailing list:

1. foo @ yourbank invia una mail a cat-picture-sharing-list @ bar.

2. La mailing list prenderà la posta,

   • sostituisci Envelope-Fromcon qualcosa di simile a cat-picture-sharing-list-bounce @ bar,
   • eventualmente modificare l'intestazione Reply-To e
   • rinvia la posta a tutti i destinatari (ad es. tu).

Ora il tuo server di posta riceve una mail con

Envelope-From: cat-picture-sharing-list-bounce@bar
From: foo@yourBank

inviato dai server di posta della barra.

Noto che uso Postfix, Spamassassin e Polydyd (Postfix-Polydyd-spf-perl) - e se è davvero così facile da bypassare, qual è il punto di SPF?

1. Molti spammer non si preoccupano di inviare una busta "corretta".
2. La tua banca non riceverà (la maggior parte) del backscatter per questa posta spam, poiché i rapporti di mancato recapito vengono (o: dovrebbero essere) inviati all'indirizzo Envelope-From.
3. Il punteggio basato su Envelope-From diventa più affidabile. Se tu (o qualche fornitore di punteggio di cui ti fidi) assegni a tutte le mail con Envelope-From = ... @ yourbank un punteggio spam altamente negativo, gli spammer non possono abusarne.