SPF vs. DKIM - Точні випадки використання та відмінності

Вибачте за розпливчасту назву. Я не повністю розумію, чому SPF та DKIM слід використовувати разом.

По-перше: SPF може пройти туди, де він повинен вийти з ладу, якщо відправник або DNS "підроблений", і він може вийти з ладу, де він повинен пройти, якщо задіяні деякі розширені налаштування проксі-серверів та пересилачів.

DKIM може передавати туди, де вона повинна вийти з ладу, або через помилку / слабкість в криптографії (ми виключаємо це, звідси спрощена точка), або через те, що запит DNS підроблений.

Оскільки помилка криптографії виключається, різниця (як я бачу) полягає в тому, що DKIM можна використовувати в установках, де SPF не зможе. Я не можу придумати жодного прикладу, де можна було б отримати користь від обох. Якщо налаштування дозволяє SPF, DIKM не повинен додавати додаткової перевірки.

Чи може хтось надати мені приклад переваги використання обох?

SPF має набагато більше рейтингів, ніж Pass / Fail. Використання цих даних для евристичної оцінки спаму робить процес простішим і точнішим. Невдача через "розширені налаштування" вказує на те, що адміністратор пошти не знав, що він робить під час налаштування запису SPF. Немає налаштувань, які б SPF не міг правильно пояснити.

Криптографія ніколи не працює в абсолюті. Єдина криптовалюта, дозволена в DKIM, зазвичай потребує значних ресурсів, щоб зламати її. Більшість людей вважають це досить безпечним. Кожен повинен оцінювати власні ситуації. Знову ж таки, DKIM має більше рейтингів, ніж просто Pass / Fail.

Один із прикладів, коли можна було б скористатися обома: надсилання до двох різних сторін, де одна перевіряє SPF, а інша перевіряє DKIM. Інший приклад - відправлення стороні зі змістом, який, як правило, високо оцінюється в тесті на спам, але це компенсується як DKIM, так і SPF, що дозволяє доставляти пошту.

Вони в більшості випадків не потрібні, хоча окремі адміністратори пошти встановлюють свої власні правила. Обидва допомагають вирішувати різні аспекти СПАМу: SPF - це те, що передає електронну пошту, а DKIM - це цілісність електронної пошти та справжність походження.

На це відповіли деякий час тому, але я думаю, що у прийнятій відповіді бракує сенсу, чому обидва треба використовувати разом, щоб бути ефективними.

SPF перевіряє IP останнього переходу SMTP-сервера на дозволений список. DKIM підтверджує, що повідомлення спочатку було надіслано певним доменом і гарантує його цілісність.

Дійсні повідомлення, підписані DKIM, можна використовувати як спам чи фішинг, якщо вони не будуть змінені. SPF не перевіряє цілісність повідомлення.

Уявіть сценарій, коли ви отримуєте дійсний електронний лист із підписом DKIM (від свого банку, друга, будь-якого іншого), і ви знаходите хороший спосіб експлуатувати цю пошту без змін: тоді ви можете просто надіслати цю пошту тисячі разів різним людям. Оскільки не буде модифіковано пошту, підпис DKIM все ще буде дійсним, і повідомлення пройде як законне.

У будь-якому випадку, SPF перевіряє походження (справжній IP / DNS SMTP-сервера) пошти, тому SPF запобігає пересиланню пошти, оскільки ви не зможете повторно відправити дійсну пошту через добре налаштований сервер SMTP, а пошта, що надходить з інших IP-адрес, буде відхилено, фактично запобігаючи повторному надсиланню "дійсних" повідомлень DKIM як спам.

Ось кілька причин, які слід завжди публікувати як SPF, так і DKIM.

1. Деякі постачальники поштових скриньок підтримують лише одне або інше, а деякі підтримують і те, і інше, але важать більше.

2. DKIM захищає електронну пошту від зміни транзиту, SPF - ні.

Я також додаю DMARC до списку. Який мінус у тому, щоб завжди публікувати повноцінну електронну пошту?