这封邮件让我难住了。在我看来，它来自PayPal <unclaimedproperty@paypal.com>我的收件箱。我碰巧看了原版，上面写着 SPF、DKIM 和 DMARC 都通过了。

如果我没看错，74.112.67.243请连接mail2550.paypal-notification.com并发送邮件。他们使用了一个Return-Path: <blahblah@bounce.paypal.mkt2944.com>.

bounce.paypal.mkt2944.com（目前）的 SPF 记录为v=spf1 a ip4:208.85.50.137 ip4:74.112.67.243 -all. 好吧，他们设置了一个垃圾邮件程序并运行它以便 SPF 通过（邮件服务器paypal-notification.com不见了，现在似乎归 MarkMonitor 所有，所以其他人注意到了这一点）。

但是 DKIM 签名有

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=spop1024; d=paypal.com; h=Date:From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type: X-CSA-Complaints:List-Unsubscribe;

这不是说“我正在使用公共部分在 TXT 记录中的密钥签署所有这些标头spop1024._domainkey.paypal.com”（存在）？

这过去了，令我惊讶的是

Authentication-Results: mx.google.com;
       dkim=pass

我一遍又一遍地查看它是否是近亲拼写错误，或unicode地址等。但它似乎真的是由那个paypal.com密钥签名的......？

在那之后，我仍然不清楚为什么 DMARC 会通过——我认为From:地址必须与Return-Path:?

Delivered-To: <me@gmail.com>
Received: by 2002:a4a:804a:0:0:0:0:0 with SMTP id y10csp7519296oof;
        Mon, 22 Nov 2021 12:45:16 -0800 (PST)
X-Google-Smtp-Source: ABdhPJyxHoL8oksdcw38NnmHlTdPo1UfJoTCZ/wFDToSgMfRPG6WgHlKDtKbSjMXNh5t44nHazym
X-Received: by 2002:a25:4543:: with SMTP id s64mr27510605yba.304.1637613916462;
        Mon, 22 Nov 2021 12:45:16 -0800 (PST)
ARC-Seal: i=1; a=rsa-sha256; t=1637613916; cv=none;
        d=google.com; s=arc-20160816;
        b=OvsnJASmnJT63M3MSQlcKCnmxHpmorUbQJk3lIVXRyjM6CXvrRuJ2J1TDvDEOlt3lu
         EzKQHgL++dswppXvJFLxkPxHq8cwPy4JBpvYmk1y1kqcuAE+tB2UJjjm+g2Fv1akRO9N
         iie60J6CAhOYz+6w/1bnJ7K0AIVdy9OKVTt1KECqGLzrB7/HFtPZ5i/BFObcP9tC53Ok
         ULyOlVLCM+iLNvmS9xFfz1YAzR+TDj5/OKUxdT0N96Ut+sVScBF2heLQvceZPv5nw9j0
         VCQjSS/e38koGlh+14We/6o74OHuGkF+pwgaRwfiW3hZtOx0echGxgMUMKB+E+bpV0JB
         PvhQ==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=list-unsubscribe:mime-version:subject:message-id:to:reply-to:from
         :date:dkim-signature;
        bh=CXo6gpd99q61PdtNQYL0HweNp45DQK9gDadq1QHszOQ=;
        b=AndF29ToqFkXaC88xiijwW2WKaK/3o+FURvx6HVtLghatUDEyVEr4VymEzez9Ijtrf
         Jogh9LH/sqLdrLTBN3oVgNoQlGUrf131M5aK5wrf18hCk54LrIHW1v1BA8Gsl4cO7PZ2
         I+kgLQJY+85mIA1L/NZXKvViNlehHXTjwQCHtnfcdWCuIbrb7OTpDu3SW1kFQ+Wjy6Xt
         Jnm/LXZyT6bexBCXJsISEywM8EwuyD7uz0Rm7O+Pw+AU1pYVt2qArFk2hRHiXeTrB57I
         Yp6n2JM79y420UIVv9o/oPJloQcFdnp45sDxv85tr6DhZpvHlH3v3o3doiy2kC6vaBQU
         aXkQ==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@paypal.com header.s=spop1024 header.b=NSAupQiY;
       spf=pass (google.com: domain of v-edjoiac_ibeieokafk_iekbmfgb_iekbmfgb_a@bounce.paypal.mkt2944.com designates 74.112.67.243 as permitted sender) smtp.mailfrom=v-edjoiac_ibeieokafk_iekbmfgb_iekbmfgb_a@bounce.paypal.mkt2944.com;
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=paypal.com
Return-Path: <v-edjoiac_ibeieokafk_iekbmfgb_iekbmfgb_a@bounce.paypal.mkt2944.com>
Received: from mail2550.paypal-notification.com ([74.112.67.243])
        by mx.google.com with ESMTPS id n184si7359975ybn.210.2021.11.22.12.45.16
        for <me@gmail.com>
        (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
        Mon, 22 Nov 2021 12:45:16 -0800 (PST)
Received-SPF: pass (google.com: domain of v-edjoiac_ibeieokafk_iekbmfgb_iekbmfgb_a@bounce.paypal.mkt2944.com designates 74.112.67.243 as permitted sender) client-ip=74.112.67.243;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@paypal.com header.s=spop1024 header.b=NSAupQiY;
       spf=pass (google.com: domain of v-edjoiac_ibeieokafk_iekbmfgb_iekbmfgb_a@bounce.paypal.mkt2944.com designates 74.112.67.243 as permitted sender) smtp.mailfrom=v-edjoiac_ibeieokafk_iekbmfgb_iekbmfgb_a@bounce.paypal.mkt2944.com;
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=paypal.com
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=spop1024; d=paypal.com; h=Date:From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type: X-CSA-Complaints:List-Unsubscribe; i=unclaimedproperty@paypal.com; bh=CXo6gpd99q61PdtNQYL0HweNp45DQK9gDadq1QHszOQ=; b=NSAupQiYb884cGVqugiXkhz/FlcoddCqXJLcD+gwE2xFNP+27ZRQFCGOL61uEai1EdgqXLS0FKSV
   1ttmHVRu1H/So/7kxAm93NuGJGDe0K5/t9LK3QQF1bTQv7OHjBOi3FhmFvhSs1roN2q4r+8FxhmR
   HBqxI9Sbw63gjSDL7C8=
Received: by mail2550.paypal-notification.com id hjg0lo2r7aoj for <me@gmail.com>; Mon, 22 Nov 2021 20:37:22 +0000 (envelope-from <v-edjoiac_ibeieokafk_iekbmfgb_iekbmfgb_a@bounce.paypal.mkt2944.com>)
Date: Mon, 22 Nov 2021 20:37:22 +0000 (GMT)
From: PayPal <unclaimedproperty@paypal.com>
Reply-To: unclaimedproperty@paypal.com
To: me@gmail.com
Message-ID: <432115452.269147071637613442797.JavaMail.app@rbg41.atlis1>
Subject: Notice of Unclaimed PayPal Funds
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_Part_1300052_1672151020.1637613438245"
x-mid: 70903810
X-CSA-Complaints: csa-complaints@eco.de
x-rpcampaign: sp70903810
x-job: 70903810
x-orgId: 35487
List-Unsubscribe: <http://links.paypal.mkt2944.com/luoo/v1/...>, <mailto:v-edjoiac_ibeieokafk_iekbmfgb_iekbmfgb_a@bounce.paypal.mkt2944.com?subject=Unsubscribe>

我错过了什么明显的东西吗？

更新

它似乎确实通过了 DKIM。

$ opendkim-testmsg < Notice\ of\ Unclaimed\ PayPal\ Funds.eml
$ echo $?
0

更新 2

几乎肯定是/通过Acoustic的妥协，这显然曾经被称为“silverpop”

我们是 10 年的 Acoustic Campaign 资深人士 - 过去十年中营销自动化工具的原始 beta 测试人员和日常用户，因为它被称为 Silverpop，然后是 IBM Watson Campaign Automation。

DKIM 密钥 --spop1024._domainkey.paypal.com来自谷歌搜索，指的是“silverpop 1024”（这里是 Wikimedia 摆脱它https://phabricator.wikimedia.org/T214525）。这是一个合法的密钥，但是旧的。经典的“这是一个较旧的代码，先生，但它检查了”与一个被遗忘的主机的攻击，也许？

74.112.67.243归“acoustic.co”所有。它发送消息并签名。不知道该mail2550.paypal-notification.com位来自哪里，它现在归 MarkMonitor 所有。

此外，该List-Unsubscribe: <http://links.paypal.mkt2944.com/luoo/v1/...>链接似乎是合法的。 http://links.paypal.mkt2944.com仍然有一些带有 silverpop 品牌的登录页面。这向我表明该服务实际上“构建”了这封邮件，而不是说一个简单的开放中继情况。

如下所述，这不包括任何明显的网络钓鱼登录链接。这个想法必须是您合法登录您的帐户，并且找不到您的“无人认领的资金”并使用您的“客户ID”拨打电子邮件底部的电话号码。

这个 PayPal 账户实际上已经关闭，但是当我住在那里时，它是在加利福尼亚注册的（这个事实，并且它进入了我的收件箱，这让我仔细观察了它）。“将此消息发送到加利福尼亚的旧帐户”似乎是这种声学营销邮件所做的事情，所以也许这是相关的。

卑鄙...我想知道他们从中获得了多少点击...