SPF vs. DKIM - Os casos e diferenças exatos de uso

Navegue suas respostas
18

Sinto muito pelo título vago. Eu não entendo completamente porque o SPF e o DKIM devem ser usados juntos.

Primeiro: o SPF pode passar onde deveria falhar se o remetente ou o DNS for "falsificado" e falhar onde deveria passar, se alguma configuração avançada de proxies e encaminhadores estiver envolvida.

O DKIM pode passar onde deve falhar, seja por causa de um erro / fraqueza na criptografia (descartamos isso, daí o ponto simplificado), ou porque a consulta DNS é falsificada.

Como o erro de criptografia é descartado, a diferença (a meu ver) é que o DKIM pode ser usado em configurações onde o SPF falharia. Eu não posso apresentar nenhum exemplo em que alguém se beneficiaria usando ambos. Se a configuração permitir o SPF, o DIKM não deverá adicionar nenhuma validação extra.

Alguém pode me dar um exemplo do benefício de usar os dois?

    
por deleted user 42 15.07.2013 / 18:27

3 respostas

13

O SPF tem muito mais classificações do que o Aprovado / Reprovado. Utilizá-los em spam com pontuação heurística torna o processo mais fácil e preciso. Falha por conta de "configurações avançadas" indica que o administrador de mensagens não sabia o que estava fazendo na configuração do registro SPF. Não há configuração que o SPF não consiga explicar corretamente.

A criptografia não funciona em absolutos, nunca. A única criptografia permitida no DKIM geralmente leva recursos significativos para quebrar. A maioria das pessoas considera isso seguro o suficiente. Todos devem avaliar suas próprias situações. Mais uma vez, o DKIM tem mais classificações do que apenas passar / reprovar.

Um exemplo em que se beneficiaria do uso de ambos: envio para duas partes diferentes, onde um verifica o SPF e o outro verifica o DKIM. Outro exemplo, o envio para uma festa com conteúdo que normalmente seria altamente classificado no teste de spam, mas que é compensado pelo DKIM e pelo SPF, permitindo que o email seja entregue.

Não são necessários na maioria dos casos, embora os administradores de email individuais definam suas próprias regras. Ambos ajudam a abordar diferentes facetas do SPAM: SPF sendo quem está transmitindo e-mail e DKIM sendo a integridade do e-mail e autenticidade de origem.

    
por 15.07.2013 / 19:05
12

Isso foi respondido há algum tempo, mas acho que a resposta aceita não tem o motivo pelo qual ambos devem ser usados juntos para serem eficazes.

O SPF verifica o IP do último salto do servidor SMTP em uma lista autorizada. O DKIM valida se o e-mail foi inicialmente enviado por um determinado domínio e garante sua integridade.

As mensagens assinadas DKIM válidas podem ser usadas como spam ou phishing sendo reenviadas sem modificação. O SPF não verifica a integridade da mensagem.

Imagine um cenário em que você recebe um e-mail assinado DKIM válido (do seu banco, um amigo, o que for) e descobre uma boa maneira de explorar esse e-mail sem modificação: você pode reenviá-lo milhares de vezes para diferentes pessoas. Como não há modificação do e-mail, a assinatura DKIM ainda será válida e a mensagem passará como legítima.

De qualquer forma, o SPF verifica a origem (IP real / DNS do servidor SMTP) do email, portanto, o SPF impedirá o encaminhamento do email, pois você não pode reenviar um email válido por meio de um servidor SMTP bem configurado e correio proveniente de outro Os IPs serão rejeitados, evitando efetivamente o reenvio de mensagens DKIM "válidas" como spam.

    
por 01.06.2016 / 12:48
4

Aqui estão algumas razões para você sempre publicar ambos SPF e DKIM.

  1. Alguns ISPs suportam apenas um ou outro e alguns suportam ambos, mas pesam mais um que o outro.

  2. O DKIM protege o email de ser alterado em trânsito, o SPF não.

Eu adicionaria o DMARC à lista também. Qual é a desvantagem de sempre publicar a autenticação completa de email?

    
por 01.09.2016 / 11:05

Tags

O usuário acidentalmente atrapalhou um comando do Robocopy e causou a criação de várias pastas com segurança corrompida Como um no-break trifásico distribui energia?