SPF vs. DKIM - dokładne przypadki użycia i różnice

Przepraszam za niejasny tytuł. Nie do końca rozumiem, dlaczego SPF i DKIM powinny być używane razem.

Po pierwsze: SPF może przejść tam, gdzie powinien zawieść, jeśli nadawca lub DNS jest „sfałszowany” i może zawieść tam, gdzie powinien przejść, jeśli zaangażowane są pewne zaawansowane ustawienia serwerów proxy i usług przesyłania dalej.

DKIM może przejść tam, gdzie powinien zawieść, albo z powodu błędu / słabości w kryptografii (wykluczamy to, stąd uproszczony punkt), albo z powodu sfałszowania zapytania DNS.

Ponieważ błąd kryptografii jest wykluczony, różnica (jak widzę) polega na tym, że DKIM może być używany w konfiguracjach, w których SPF zawodzi. Nie mogę wymyślić żadnych przykładów, w których można skorzystać z obu. Jeśli konfiguracja pozwala na SPF, to DIKM nie powinien dodawać żadnej dodatkowej weryfikacji.

Czy ktoś może mi podać przykład korzyści z korzystania z obu?

SPF ma o wiele więcej rankingów niż pozytywny / negatywny. Wykorzystanie ich w heurystycznie punktowanym spamie sprawia, że ​​proces jest łatwiejszy i dokładniejszy. Niepowodzenie z powodu „zaawansowanych ustawień” oznacza, że ​​administrator poczty nie wiedział, co robił, konfigurując rekord SPF. Nie ma konfiguracji, której SPF nie może poprawnie uwzględnić.

Kryptografia nigdy nie działa w absolutach. Jedyne szyfrowanie dozwolone w DKIM zwykle wymaga znacznych zasobów do złamania. Większość ludzi uważa to za wystarczająco bezpieczne. Każdy powinien ocenić swoją sytuację. Ponownie, DKIM ma więcej rankingów niż tylko Pass / Fail.

Jeden przykład, w którym można skorzystać z obu: wysłanie do dwóch różnych stron, z których jedna sprawdza SPF, a druga sprawdza DKIM. Kolejny przykład, wysyłanie do strony z treściami, które normalnie zajmowałyby wysoką pozycję w teście spamowym, ale są równoważone zarówno przez DKIM, jak i SPF, umożliwiając dostarczenie poczty.

W większości przypadków nie są one wymagane, chociaż indywidualni administratorzy poczty ustalają własne reguły. Oba pomagają rozwiązać różne aspekty spamu: SPF, który przekazuje pocztę e-mail, a DKIM to integralność wiadomości e-mail i autentyczność pochodzenia.

Odpowiedź została udzielona jakiś czas temu, ale myślę, że w przyjętej odpowiedzi nie ma sensu, dlaczego oba muszą być używane razem, aby były skuteczne.

SPF sprawdza adres IP ostatniego skoku serwera SMTP względem listy autoryzowanych. DKIM sprawdza, czy poczta została początkowo wysłana przez daną domenę, i gwarantuje jej integralność.

Prawidłowe podpisane wiadomości DKIM mogą być używane jako spam lub phishing poprzez ponowne wysłanie bez modyfikacji. SPF nie sprawdza integralności wiadomości.

Wyobraź sobie scenariusz, w którym otrzymujesz prawidłową wiadomość e-mail z podpisem DKIM (od banku, znajomego itp.) I znajdujesz dobry sposób na wykorzystanie tej poczty bez modyfikacji: wtedy możesz po prostu wysłać tę wiadomość tysiące razy do różnych osób. Ponieważ poczta nie jest modyfikowana, podpis DKIM nadal będzie ważny, a wiadomość przejdzie jako zgodna z prawem.

W każdym razie SPF sprawdza pochodzenie (rzeczywisty adres IP / DNS serwera SMTP) poczty, więc SPF uniemożliwi przekazywanie poczty, ponieważ nie można ponownie wysłać prawidłowej poczty przez dobrze skonfigurowany serwer SMTP, a poczta pochodząca z innych adresów IP będzie odrzucone, skutecznie zapobiegając ponownemu wysyłaniu „prawidłowych” wiadomości DKIM jako spamu.

Oto kilka powodów, dla których powinieneś zawsze publikować zarówno SPF, jak i DKIM.

1. Niektórzy dostawcy skrzynek pocztowych obsługują tylko jednego lub drugiego, a niektórzy obsługują oba, ale ważą jeden więcej niż drugi.

2. DKIM chroni wiadomości e-mail przed zmianą podczas przesyłania, SPF tego nie robi.

Dodałbym również DMARC do listy. Jaką wadą jest zawsze publikowanie pełnego uwierzytelniania przez e-mail?