Score:8

SPF ให้ประโยชน์ร่วมกับ DKIM+DMARC หรือไม่

ธง nl

ฉันมีโดเมนที่ฉันส่งอีเมลจาก Mailchimp และ Google ฉันได้ตั้งค่า DKIM สำหรับทั้งคู่และเพิ่มบันทึก DMARC ด้วย (สำหรับการทดสอบ atm) ฉันรวบรวมรายงานเกี่ยวกับความล้มเหลวของ DMARC และรายงานเหล่านี้ส่วนใหญ่เป็นรายงานเกี่ยวกับความล้มเหลวของ SPF

ตามความเข้าใจของฉัน SPF คือรายการที่อนุญาตของ IP/โฮสต์ที่สามารถส่งอีเมลได้ และ DKIM เป็นคีย์ที่ผู้ส่งต้องใช้เพื่อลงชื่อในอีเมล สำหรับฉันแล้ว ดูเหมือนว่า DKIM จะดีกว่าสำหรับการป้องกันการปลอมแปลง

ทุกที่ที่ฉันค้นหา ฉันเห็นเพียงว่า SPF จำเป็นสำหรับการป้องกันอีเมล แต่ในกรณีของฉันฉันไม่เห็นเหตุผล เนื่องจากมีการตั้งค่า DKIM แล้ว มีเพียง Mailchimp และ Google เท่านั้นที่สามารถส่งอีเมลได้ และ DMARC จะทำให้ผู้รับปฏิเสธอีเมลจากที่อื่น การจำกัดที่อยู่ IP ดูเหมือนจะไม่เพิ่มอะไรให้กับส่วนผสมนี้

ตกลงไหมที่จะปิดใช้งาน SPF ด้วย +all ในกรณีนี้ ถ้าฉันทำอย่างนั้นจะเกิดอะไรขึ้นถ้าฉันได้รับการปกป้องน้อยลง

us flag
ดู https://serverfault.com/q/1024324
cn flag
ไม่ใช่คำตอบโดยตรง แต่จากประสบการณ์ของฉัน จดหมายของคุณมีแนวโน้มที่จะไปอยู่ในกล่องจดหมายขยะหากไม่มีระเบียน SPF เลย เมื่อเทียบกับระเบียนที่ตรงกับ IP อย่างถูกต้อง ฉันไม่เคยลอง `+all` เลย ฉันไม่ได้พูดถึงการป้องกันการปลอมแปลงที่นี่ ฉันกำลังพูดถึงการรับอีเมลที่ถูกต้องของคุณเข้าสู่กล่องจดหมายของผู้คน
Score:11
ธง ng

SPF, DKIM และ DMARC ทำงานร่วมกันเพื่อเพิ่มความไว้วางใจให้กับโดเมนของคุณและส่งอีเมลของคุณไปยังกล่องจดหมาย แต่สิ่งสำคัญที่ต้องจำไว้คือระบบอีเมลของผู้รับมีอิสระในการจัดการอีเมลของคุณในแบบที่พวกเขาต้องการ ดังนั้นจึงไม่รับประกันว่าจะมีการใช้งานกลไกเหล่านี้อย่างใดอย่างหนึ่งหรือหลายอย่างอย่างถูกต้อง

สิ่งที่ใหญ่ที่สุดเกี่ยวกับ SPF และ DKIM เพียงอย่างเดียวคือไม่มีอะไรรับประกันได้ว่า จาก ส่วนหัวได้รับการรับรองความถูกต้อง นี่คือที่อยู่อีเมลที่ผู้รับของคุณเห็นในไคลเอ็นต์อีเมลของตน ดังนั้นจึงไม่มีผลในการพิจารณาว่าสิ่งที่ผู้ใช้ปลายทางเห็นนั้นเป็นของจริงหรือไม่

สำหรับ SPF จะตรวจสอบเฉพาะโดเมนที่ระบุใน เส้นทางกลับ ส่วนหัว (หรือที่เรียกว่า Envelope From) ในข้อความ SMTP นี่ไม่ใช่ที่อยู่ที่ผู้ใช้ปลายทางเห็น

สำหรับ DKIM จะสนใจเฉพาะโดเมนที่ระบุใน ง= พารามิเตอร์ใน dkim-ลายเซ็น หัวข้อ. อีกครั้ง ผู้ใช้ปลายทางไม่เห็นสิ่งนี้

DMARC แก้ไขสิ่งนี้ DMARC กำหนดให้ "จัดตำแหน่ง" ให้ถูกต้องบน SPF อย่างใดอย่างหนึ่ง หรือ ดีเคไอเอ็ม.

  • เพื่อให้ SPF อยู่ใน "การจัดตำแหน่ง" โดเมนใน จาก ส่วนหัวต้องตรงกับโดเมนใน เส้นทางกลับ หัวข้อ. สิ่งนี้แทบจะเป็นไปไม่ได้เมื่อส่งอีเมลผ่านผู้ให้บริการอีเมลจำนวนมากของบุคคลที่สาม เนื่องจาก เส้นทางกลับ เป็นที่ที่ผู้ให้บริการติดตามการตีกลับและการร้องเรียน และมักเป็นที่อยู่อีเมลที่จัดการโดยบุคคลที่สาม นี่คือสาเหตุที่คุณเห็นความล้มเหลวของ SPF ในรายงาน DMARC
  • สำหรับ DKIM โดเมนที่ระบุในไฟล์ ง= สนามใน dkim-ลายเซ็น ส่วนหัวต้องตรงกับโดเมนใน จาก หัวข้อ. สิ่งนี้สามารถทำได้โดยตรวจสอบให้แน่ใจว่าผู้ส่งบุคคลที่สาม (เช่น Mailchimp) ได้รับการกำหนดค่าอย่างถูกต้องสำหรับการเซ็นชื่อ DKIM และคุณได้เพิ่มระเบียน DNS ที่เหมาะสมลงในโดเมนของคุณแล้ว

การตรวจสอบ "การจัดตำแหน่ง" นี้ช่วยให้แน่ใจว่าสิ่งที่ผู้ใช้ปลายทางเห็นในไคลเอ็นต์อีเมลของตนได้รับการรับรองความถูกต้องโดย SPF หรือ DKIM หากระเบียน SPF หรือระเบียน DKIM ที่ผ่านไปนั้นสอดคล้องกับ จาก ส่วนหัว (สิ่งที่ผู้ใช้ปลายทางเห็น) ข้อความผ่าน DMARC มิฉะนั้น DMARC จะล้มเหลว

โปรดทราบว่าโปรโตคอลเหล่านี้ตรวจสอบเฉพาะส่วน "ชื่อโดเมน" ของที่อยู่อีเมลเท่านั้น ส่วนหลังจาก @ เข้าสู่ระบบ. ไม่มีการตรวจสอบความถูกต้องของส่วนชื่อผู้ใช้ ส่วนก่อนการ @ เข้าสู่ระบบ.

คุณจะเห็นว่าทั้ง SPF และ DKIM จำเป็นสำหรับ DMARC เพื่อให้ทำงานได้อย่างสมบูรณ์ จำเป็นทั้ง 3 ประการสำหรับการรับส่งจดหมายที่เหมาะสม และไม่ใช่ว่าระบบอีเมลของผู้รับทุกระบบจะใช้มาตรฐานเดียวกันหรือถูกต้อง

ความยุ่งยากอย่างมากสำหรับผู้ดูแลระบบคือผู้ส่งจำนวนมากยังไม่ได้กำหนดค่ามาตรฐานทั้งสามนี้อย่างถูกต้องเมื่อส่งอีเมล และน่าเศร้าที่ไม่ค่อยมีการอธิบายหลักการพื้นฐานข้างต้นอย่างถูกต้องในทุกที่

Score:4
ธง cn

ใช่ เนื่องจากไม่ใช่ทุกเซิร์ฟเวอร์ที่ตรวจสอบ DKIM/DMARC อย่างน่าเศร้าที่แผนกต้อนรับ แต่การตรวจสอบ SPF ได้รับการผสานรวม/ปรับใช้มากขึ้นในปัจจุบัน

ตัวอย่างคือเซิร์ฟเวอร์ของ On-Prem Exchange สามารถตรวจสอบระเบียน SPF ได้ด้วยชุดกฎ AntiSpam ด้วย Edge Transport Role ในเวอร์ชันที่ใหม่กว่า แต่ DKIM/DMARC จำเป็นต้องมีการผสานรวมของบุคคลที่สามเพื่อเปิดใช้งาน

การลบบันทึก SPF ของคุณในสถานะดังกล่าวอาจทำให้คุณเปิดอีเมลปลอมให้กับองค์กรที่อยู่ในสถานการณ์ดังกล่าวได้

nl flag
ขอบคุณ ฉันไม่รู้ว่า DKIM ไม่รองรับในระดับสากล!
Score:2
ธง cn

แม้ว่าเซิร์ฟเวอร์ที่ได้รับอนุญาตเท่านั้นที่สามารถลงชื่อด้วย DKIM ได้ แต่ไม่มีสิ่งใดในมาตรฐาน DKIM ที่สามารถแจ้งเซิร์ฟเวอร์ที่รับข้อความว่าข้อความจากโดเมนของคุณต้องลงชื่อด้วย DKIM จากมุมมองของมาตรฐานเมล เซิร์ฟเวอร์ที่รับไม่สามารถแยกแยะเซิร์ฟเวอร์ที่ส่งที่ได้รับอนุญาตจากเซิร์ฟเวอร์ที่ส่งที่ไม่ได้รับอนุญาต

ปัญหาสุดท้ายที่จะเกิดขึ้นคือการรับเซิร์ฟเวอร์ที่ไม่ได้ใช้การทดสอบ DMARC โดเมนของคุณจะมีโอกาสสูงที่จะถูกขึ้นบัญชีดำเนื่องจากผู้ส่งสแปมพบว่าการปลอมแปลงเป็นเรื่องเล็กน้อย

Ben Voigt avatar
pl flag
จะดีไหมถ้าระเบียน SPF ใน DNS สามารถตั้งค่าเป็น "+dkim -all" ได้ หรือ "+host +dkim -all" (เพื่อให้โฮสต์จำนวนหนึ่งส่งข้อความที่ไม่ได้ลงชื่อและต้องการ DKIM อย่างอื่น)
Hagen von Eitzen avatar
cn flag
@BenVoigt แน่นอนว่ามีคนพยายามใช้ "-dkim"
Ben Voigt avatar
pl flag
@HagenvonEitzen: และควรเป็นเช่นนั้น หากรู้ว่าเซิร์ฟเวอร์อีเมลของตนไม่ได้เพิ่มลายเซ็น DKIM ลงในอีเมลขาออก แสดงว่ามีการปลอมแปลงข้อความใดๆ โดยปกติแล้ว "+dkim" ควรหมายความว่า "ข้อความที่มี DKIM ที่ถูกต้องซึ่งสอดคล้องกับที่อยู่อีเมลของผู้ส่ง" ในขณะที่ "-dkim" ควรหมายความว่า "ข้อความที่อ้างว่ามี DKIM ไม่ว่าจะถูกต้องหรือไม่ ไม่ว่าจะสอดคล้องหรือไม่ ควรล้มเหลว" จากนั้นอาจเป็นประโยชน์ที่จะมี "+dkim -dkim +ip -all" เพื่อปฏิเสธ DKIM ที่ไม่ถูกต้อง/ไม่ได้จัดแนว แม้ว่าจะมีการส่งต่อผ่านเซิร์ฟเวอร์ที่อนุญาตพิเศษก็ตาม

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา