Oferă SPF beneficii împreună cu DKIM+DMARC?

Am un domeniu din care trimit e-mailuri prin Mailchimp și Google. Am configurat DKIM pentru ambele și am adăugat și o înregistrare DMARC (pentru testarea ATM). Colectez rapoarte pentru eșecurile DMARC și majoritatea covârșitoare a acestor rapoarte sunt pentru eșecurile SPF.

După înțelegerea mea, SPF este o listă permisă de IP-uri/gazde care pot trimite e-mailuri, iar DKIM este o cheie pe care expeditorul trebuie să o folosească pentru a semna e-mailurile. Pentru mine, se pare că DKIM este mai bun pentru protecția împotriva falsificării.

Oriunde caut, văd doar că SPF este esențial pentru protecția e-mailului, dar nu văd de ce în cazul meu. Deoarece DKIM este configurat, numai Mailchimp și Google pot trimite e-mailuri, iar DMARC va face ca destinatarul să respingă e-mailurile de oriunde altundeva. Restricționarea adreselor IP nu pare să adauge nimic la acest mix.

Este OK să dezactivați SPF cu +all în acest caz? Care este scenariul în care sunt mai puțin protejat dacă fac asta?

SPF, DKIM și DMARC lucrează împreună pentru a crește încrederea în domeniul dvs. și livrarea e-mailurilor dvs. în căsuțele de e-mail. Dar, lucrul important de reținut este că sistemul de e-mail al destinatarului este liber să vă gestioneze e-mailurile în orice mod dorește. Deci, nu este garantat că unul sau mai multe dintre aceste mecanisme sunt implementate corect.

Cel mai mare lucru numai despre SPF și DKIM este că nu face nimic pentru a asigura că din antetul este autentificat. Aceasta este adresa de e-mail pe care o vede destinatarul dvs. în clientul său de e-mail. Deci, ele nu sunt eficiente pentru a determina dacă ceea ce vede utilizatorul final este autentic.

Pentru SPF, verifică doar domeniul specificat în calea de intoarcere antet (aka Plic de la) în mesajul SMTP. Aceasta nu este o adresă pe care o vede utilizatorul final.

Pentru DKIM, îi pasă doar de domeniul specificat în d= parametrul în dkim-semnătură antet. Din nou, utilizatorul final nu vede acest lucru.

DMARC remediază acest lucru. DMARC necesită ca „alinierea” să fie corectă pe oricare dintre SPF sau DKIM.

• Pentru ca SPF să fie „aliniat” domeniul în din antetul trebuie să se potrivească cu domeniul din calea de intoarcere antet. Acest lucru este rareori posibil atunci când trimiteți e-mailuri prin furnizori terți de e-mail în vrac, deoarece calea de intoarcere este locul unde se ridică și se fac plângeri că furnizorul urmărește și este adesea o adresă de e-mail gestionată de o terță parte. Acesta este motivul pentru care vedeți erori SPF în rapoartele dvs. DMARC.
• Pentru DKIM, domeniul specificat în d= câmp în dkim-semnătură antetul trebuie să se potrivească cu domeniul din din antet. Acest lucru poate fi realizat asigurându-vă că expeditorul terță parte (adică Mailchimp) este configurat corespunzător pentru semnarea DKIM și că ați adăugat înregistrările DNS corespunzătoare în domeniul dvs.

Această verificare de „aliniere” asigură că ceea ce vede utilizatorul final în clientul său de e-mail este autentificat fie de SPF, fie de DKIM. Dacă o înregistrare SPF sau o înregistrare DKIM care trece este în concordanță cu din antet (ceea ce vede utilizatorul final), mesajul trece DMARC. În caz contrar, eșuează DMARC.

Rețineți că aceste protocoale examinează doar porțiunea „nume de domeniu” a adresei de e-mail. Porțiunea de după @ semn. Niciuna dintre acestea nu verifică validitatea porțiunii de nume de utilizator. Porțiunea dinaintea @ semn.

Deci, puteți vedea că atât SPF, cât și DKIM sunt necesare pentru ca DMARC să fie pe deplin funcțional. Toate cele 3 sunt necesare pentru un flux corect de corespondență. Și, nu toate sistemele de e-mail destinatare implementează standardele în același mod sau corect.

O mare frustrare pentru administratorii de sisteme este că o mulțime de expeditori încă nu au configurat corect aceste 3 standarde atunci când trimit e-mail-uri. Și, din păcate, rareori principiile de bază de mai sus sunt explicate corect nicăieri.

Da, deoarece nu toate serverele verifică DKIM/DMARC din păcate la recepție, dar verificarea SPF este mai integrată/implementată în prezent.

Un exemplu este serverul On-Prem Exchange. Înregistrarea SPF poate fi verificată cu setul de reguli AntiSpam, cu rolul Edge Transport în versiunea ulterioară, dar DKIM/DMARC are nevoie de o integrare terță parte pentru a o activa.

Eliminarea înregistrării dvs. SPF într-o astfel de stare vă poate face să vă deschideți e-mailurilor falsificate către organizațiile care se află într-un astfel de scenariu.

Deși numai serverele autorizate pot semna cu DKIM, nu există nimic în standardul DKIM care să informeze un server de primire că mesajele de pe domeniul dvs. TREBUIE să fie semnate cu DKIM. Din perspectiva standardelor de corespondență, un server de primire nu poate discerne serverele de trimitere autorizate de serverele de trimitere neautorizate.

Eventuala problemă care va apărea este pentru primirea de servere care nu folosesc teste DMARC domeniul dvs. va avea o probabilitate mare de a fi inclus pe lista neagră, deoarece spammerii descoperă că este banal să falsificați.