SPF vs. DKIM - I casi d'uso esatti e le differenze


20

Mi dispiace per il titolo vago. Non capisco bene perché SPF e DKIM debbano essere usati insieme.

Primo: SPF può passare dove dovrebbe fallire se il mittente o il DNS è "falsificato" e può fallire dove dovrebbe passare se sono coinvolte alcune impostazioni avanzate di proxy e server d'inoltro.

DKIM può passare dove dovrebbe fallire, a causa di un errore / debolezza nella crittografia (escludiamo questo, quindi il punto semplificato), o perché la query DNS è falsificata.

Poiché l'errore di crittografia è escluso, la differenza (come la vedo io) è che DKIM può essere utilizzato in configurazioni in cui SPF fallirebbe. Non riesco a trovare alcun esempio in cui uno trarrebbe beneficio dall'uso di entrambi. Se l'installazione consente SPF, DIKM non dovrebbe aggiungere alcuna convalida aggiuntiva.

Qualcuno può darmi un esempio del vantaggio di utilizzare entrambi?

Risposte:


15

SPF ha molte più classifiche di Pass / Fail. L'uso di questi nel punteggio euristico dello spam rende il processo più semplice e accurato. Fallire a causa di "impostazioni avanzate" indica che l'amministratore della posta non sapeva cosa stava facendo durante l'impostazione del record SPF. Non esiste un'impostazione che SPF non sia in grado di rappresentare correttamente.

La crittografia non funziona mai in assoluto. L'unica crittografia consentita in DKIM di solito richiede risorse significative per essere interrotta. Molte persone lo considerano abbastanza sicuro. Tutti dovrebbero valutare le proprie situazioni. Ancora una volta, DKIM ha più classifiche rispetto al solo Pass / Fail.

Un esempio in cui si trarrebbe vantaggio dall'uso di entrambi: invio a due parti diverse in cui una verifica SPF e l'altra verifica DKIM. Un altro esempio, l'invio a una parte con contenuti che normalmente sarebbero altamente classificati nei test antispam, ma che sono compensati sia da DKIM che da SPF, consentendo la consegna della posta.

Né sono richiesti nella maggior parte dei casi, anche se i singoli amministratori di posta impostano le proprie regole. Entrambi aiutano ad affrontare diverse sfaccettature di SPAM: SPF è chi inoltra la posta elettronica e DKIM è l'integrità della posta elettronica e l'autenticità dell'origine.


Ok, seguo i tuoi punti (specialmente che alcuni potrebbero semplicemente usare solo uno dei due - come non l'ho visto!). Quindi SPF e DKIM potrebbero avere impostazioni e classifiche diverse, ma nel complesso devono affrontare la stessa medaglia. All'ultimo punto: una posta proveniente da un relay autorizzato (SPF) dovrebbe essere considerata attendibile tanto quanto una firma DKIM valida. Dopo tutto, il proprietario del dominio ha approvato entrambi. Ho appena testato la mia posta con solo SPF, e mentre la mia università e gmail cucinano per accettarlo, hotmail lo considera come spam - forse perché si basano su DIKM. Grazie per il tuo commento Chris!
utente eliminato 42

Hotmail utilizza SenderID (SPF 2.0 per così dire), DKIM, SenderScore, PBL e la propria tecnologia di filtraggio. Sono un po 'segreti sulla formula esatta.
Chris S,

18

Questa è stata risposta qualche tempo fa, ma penso che la risposta accettata manchi del motivo per cui entrambi devono essere usati insieme per essere efficaci.

SPF verifica l'IP dell'ultimo hop del server SMTP rispetto a un elenco autorizzato. DKIM convalida che la posta inizialmente è stata inviata da un determinato dominio e ne garantisce l'integrità.

I messaggi firmati DKIM validi possono essere utilizzati come spam o phishing rinviati senza alcuna modifica. SPF non controlla l'integrità del messaggio.

Immagina uno scenario in cui ricevi un'e-mail firmata DKIM valida (dalla tua banca, un amico, qualunque cosa) e trovi un buon modo per sfruttare questa posta senza modifiche: puoi semplicemente inviare nuovamente questa posta migliaia di volte a persone diverse. Poiché non vi è alcuna modifica della posta, la firma DKIM sarà comunque valida e il messaggio passerà come legittimo.

In ogni caso, SPF controlla l'origine (IP / DNS reale del server SMTP) della posta, quindi SPF impedirà l'inoltro della posta poiché non è possibile inviare nuovamente una posta valida attraverso un server SMTP ben configurato, e la posta proveniente da altri IP sarà rifiutato, impedendo efficacemente il reinvio di messaggi DKIM "validi" come spam.


Vorresti fornire alcuni esempi di come la posta può essere sfruttata senza modifiche?
user3413723

Qualsiasi e-mail che inizia con un generico "Gentile cliente", "Gentile utente" o "Gentile <prima parte del tuo indirizzo e-mail prima del segno @">. Ecco perché è importante che le e-mail legittime per te contengano sempre almeno 1 parte delle tue informazioni personali, come parte del tuo codice postale / postale o il tuo nome completo. (Ciò li rende più autentici e non riutilizzabili.)
Adambean,

Ma se i campi di intestazione sono stati firmati, compresi i destinatari, sicuramente questo rimuove la possibilità di un attacco di replay contro i nuovi destinatari? cioè Aggiunta di firme h=from:to;( da essere tenuto in RFC 6376 , ad essere opzionale) dovrebbe consentire solo per gli attacchi di riproduzione sullo stesso destinatario. Il che è negativo, ma non così grave come quello che questa risposta suggerisce.
Richard Dunn,

4

Ecco alcuni motivi per cui dovresti sempre pubblicare sia SPF che DKIM.

  1. Alcuni provider di cassette postali supportano solo l'uno o l'altro e alcuni supportano entrambi ma pesano uno in più rispetto all'altro.

  2. DKIM protegge le e-mail dall'alterazione durante il trasporto, SPF no.

Aggiungerei anche DMARC all'elenco. Qual è lo svantaggio di pubblicare sempre l'autenticazione elettronica completa?


1
"Qual è il rovescio della medaglia di pubblicare sempre l'autenticazione elettronica completa?", Sforzo! Immagino che Devops sia già un PITA qual è un altro mattone nel muro, o 3 a seconda del caso.
Gordon Wrigley,

Cosa c'entra l'ISP con qualcosa? Intendi il provider di posta?
William,

Sì, intendevo provider di cassette postali. La gente riceveva spesso il servizio di posta elettronica dall'ISP, quindi ho preso l'abitudine di dire l'ISP.
Neil Anuskiewicz,

Grazie per averlo sottolineato, poiché ora lo cambio al provider di cassette postali.
Neil Anuskiewicz,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.