SPF vs. DKIM - Точні випадки використання та відмінності


20

Вибачте за розпливчасту назву. Я не повністю розумію, чому SPF та DKIM слід використовувати разом.

По-перше: SPF може пройти туди, де він повинен вийти з ладу, якщо відправник або DNS "підроблений", і він може вийти з ладу, де він повинен пройти, якщо задіяні деякі розширені налаштування проксі-серверів та пересилачів.

DKIM може передавати туди, де вона повинна вийти з ладу, або через помилку / слабкість в криптографії (ми виключаємо це, звідси спрощена точка), або через те, що запит DNS підроблений.

Оскільки помилка криптографії виключається, різниця (як я бачу) полягає в тому, що DKIM можна використовувати в установках, де SPF не зможе. Я не можу придумати жодного прикладу, де можна було б отримати користь від обох. Якщо налаштування дозволяє SPF, DIKM не повинен додавати додаткової перевірки.

Чи може хтось надати мені приклад переваги використання обох?

Відповіді:


15

SPF має набагато більше рейтингів, ніж Pass / Fail. Використання цих даних для евристичної оцінки спаму робить процес простішим і точнішим. Невдача через "розширені налаштування" вказує на те, що адміністратор пошти не знав, що він робить під час налаштування запису SPF. Немає налаштувань, які б SPF не міг правильно пояснити.

Криптографія ніколи не працює в абсолюті. Єдина криптовалюта, дозволена в DKIM, зазвичай потребує значних ресурсів, щоб зламати її. Більшість людей вважають це досить безпечним. Кожен повинен оцінювати власні ситуації. Знову ж таки, DKIM має більше рейтингів, ніж просто Pass / Fail.

Один із прикладів, коли можна було б скористатися обома: надсилання до двох різних сторін, де одна перевіряє SPF, а інша перевіряє DKIM. Інший приклад - відправлення стороні зі змістом, який, як правило, високо оцінюється в тесті на спам, але це компенсується як DKIM, так і SPF, що дозволяє доставляти пошту.

Вони в більшості випадків не потрібні, хоча окремі адміністратори пошти встановлюють свої власні правила. Обидва допомагають вирішувати різні аспекти СПАМу: SPF - це те, що передає електронну пошту, а DKIM - це цілісність електронної пошти та справжність походження.


Гаразд, я дотримуюся ваших моментів (особливо, що деякі можуть просто використовувати лише одне з двох - як я цього не бачив!). Таким чином, SPF та DKIM можуть мати різні налаштування та рейтинги, але в цілому вони мають бути обличчям до однієї монети. До останнього моменту: Пошті від авторизованого ретранслятора (SPF) слід довіряти стільки ж дійсному підпису DKIM. Зрештою, власник домену схвалив обидва. Я просто перевіряв свою пошту лише з SPF, і, хоча мій університет і gmail шви приймають її, hotmail вважає це спамом - можливо, тому, що вони покладаються на DIKM. Дякую за Ваш коментар, Кріс!
видалено користувача 42

Hotmail використовує SenderID (SPF 2.0, так би мовити), DKIM, SenderScore, PBL та власну технологію фільтрації. Вони трохи приховують точну формулу.
Chris S

18

На це відповіли деякий час тому, але я думаю, що у прийнятій відповіді бракує сенсу, чому обидва треба використовувати разом, щоб бути ефективними.

SPF перевіряє IP останнього переходу SMTP-сервера на дозволений список. DKIM підтверджує, що повідомлення спочатку було надіслано певним доменом і гарантує його цілісність.

Дійсні повідомлення, підписані DKIM, можна використовувати як спам чи фішинг, якщо вони не будуть змінені. SPF не перевіряє цілісність повідомлення.

Уявіть сценарій, коли ви отримуєте дійсний електронний лист із підписом DKIM (від свого банку, друга, будь-якого іншого), і ви знаходите хороший спосіб експлуатувати цю пошту без змін: тоді ви можете просто надіслати цю пошту тисячі разів різним людям. Оскільки не буде модифіковано пошту, підпис DKIM все ще буде дійсним, і повідомлення пройде як законне.

У будь-якому випадку, SPF перевіряє походження (справжній IP / DNS SMTP-сервера) пошти, тому SPF запобігає пересиланню пошти, оскільки ви не зможете повторно відправити дійсну пошту через добре налаштований сервер SMTP, а пошта, що надходить з інших IP-адрес, буде відхилено, фактично запобігаючи повторному надсиланню "дійсних" повідомлень DKIM як спам.


Наведіть, будь-ласка, кілька прикладів того, як можна використовувати пошту без змін?
користувач3413723

Будь-який електронний лист, який починається із загальних "Шановний клієнт", "Шановний користувач" або "Шановний <перша частина вашої електронної адреси перед знаком @". Ось чому важливо, щоб законні електронні листи завжди містили принаймні 1 частину вашої особистої інформації, наприклад частину вашого поштового або поштового індексу або повне ім’я. (Це робить їх більш автентичними та
неодноразовими

Але якщо поля заголовка були підписані, включаючи одержувачів, то, безумовно, це знімає можливість повторної атаки проти нових одержувачів? тобто додавання підписів h=from:to;( від того, що потрібно в RFC 6376 , до необов'язкового) повинно дозволяти лише повторно атакувати одного і того ж одержувача. Що погано, але не так погано, як те, що пропонує ця відповідь.
Річард Данн

4

Ось кілька причин, які слід завжди публікувати як SPF, так і DKIM.

  1. Деякі постачальники поштових скриньок підтримують лише одне або інше, а деякі підтримують і те, і інше, але важать більше.

  2. DKIM захищає електронну пошту від зміни транзиту, SPF - ні.

Я також додаю DMARC до списку. Який мінус у тому, щоб завжди публікувати повноцінну електронну пошту?


1
"Який мінус у тому, щоб завжди публікувати повноцінну електронну пошту?", Зусилля! Я думаю, що Devops - це вже ПІТА, що є ще однією цеглою в стіні, або 3, залежно від випадку.
Гордон Вріглі

Що стосується провайдера? Ви маєте на увазі постачальника пошти?
Вільям

Так, я мав на увазі провайдера поштових скриньок. Люди часто отримували послуги електронної пошти від провайдерів, тому я звик говорити про провайдера.
Ніл Анушкевич

Дякую за те, що я вказав, що зараз я змінив його на постачальника поштових скриньок.
Ніл Анушкевич
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.