SPF so với DKIM - Các trường hợp sử dụng chính xác và khác biệt

20

Tôi xin lỗi vì tiêu đề mơ hồ. Tôi hoàn toàn không hiểu tại sao nên sử dụng SPF và DKIM cùng nhau.

Đầu tiên: SPF có thể vượt qua nơi nó sẽ thất bại nếu người gửi hoặc DNS bị "giả mạo" và nó có thể thất bại ở nơi nó sẽ vượt qua nếu có một số thiết lập nâng cao của proxy và giao nhận.

DKIM có thể vượt qua nơi nó sẽ thất bại, do lỗi / điểm yếu trong mật mã (chúng tôi loại trừ điều này, do đó điểm đơn giản hóa) hoặc do truy vấn DNS bị giả mạo.

Vì lỗi mã hóa được loại trừ, sự khác biệt (như tôi thấy) là DKIM có thể được sử dụng trong các thiết lập nơi SPF sẽ thất bại. Tôi không thể đưa ra bất kỳ ví dụ nào mà người ta sẽ có lợi khi sử dụng cả hai. Nếu thiết lập cho phép SPF, thì DIKM không nên thêm bất kỳ xác nhận bổ sung nào.

Bất cứ ai có thể cho tôi một ví dụ về lợi ích của việc sử dụng cả hai?

email  spf  dkim 
người dùng đã xóa 42
nguồn

Câu trả lời:

15

SPF có nhiều thứ hạng hơn so với Pass / Fail. Sử dụng những thứ này trong thư rác chấm điểm heuristur làm cho quá trình dễ dàng và chính xác hơn. Thất bại trong tài khoản "thiết lập nâng cao" cho thấy người quản trị thư không biết mình đang làm gì khi thiết lập bản ghi SPF. Không có thiết lập nào mà SPF không thể giải thích chính xác.

Mật mã học không hoạt động trong tuyệt đối, bao giờ hết. Tiền điện tử duy nhất được phép trong DKIM thường lấy tài nguyên quan trọng để phá vỡ. Hầu hết mọi người coi điều này đủ an toàn. Mọi người nên đánh giá tình huống của mình. Một lần nữa, DKIM có nhiều thứ hạng hơn là chỉ Pass / Fail.

Một ví dụ trong đó một người sẽ được hưởng lợi từ việc sử dụng cả hai: gửi cho hai bên khác nhau trong đó một bên kiểm tra SPF và bên kia kiểm tra DKIM. Một ví dụ khác, gửi đến một bên có nội dung thường xếp hạng cao trong kiểm tra thư rác, nhưng được bù lại bằng cả DKIM và SPF, cho phép thư được gửi.

Không được yêu cầu trong hầu hết các trường hợp, mặc dù các quản trị viên thư cá nhân đặt quy tắc riêng của họ. Cả hai đều giúp giải quyết các khía cạnh khác nhau của SPAM: SPF là người đang chuyển tiếp e-mail và DKIM là tính toàn vẹn của e-mail và tính xác thực của nguồn gốc.

Chris S
nguồn
Ok, tôi làm theo quan điểm của bạn (đặc biệt là một số có thể chỉ sử dụng một trong hai - làm thế nào tôi không thấy điều đó!). Vì vậy, SPF và DKIM có thể có các cài đặt và thứ hạng khác nhau, nhưng nhìn chung, chúng phải đối mặt với cùng một đồng tiền. Đến điểm cuối cùng của bạn: Một thư từ một chuyển tiếp được ủy quyền (SPF) nên được tin cậy giống như một chữ ký DKIM hợp lệ .. Sau tất cả, chủ sở hữu của tên miền đã chấp thuận cả hai. Tôi chỉ kiểm tra thư của mình với chỉ SPF, và trong khi các trường đại học và gmail của tôi chấp nhận nó, hotmail coi đó là thư rác - có thể vì họ dựa vào DIKM. Cảm ơn bình luận của bạn Chris!
đã xóa người dùng 42
Hotmail sử dụng Tên người dùng (SPF 2.0 có thể nói), DKIM, Tên người gửi, PBL và công nghệ lọc của riêng họ. Họ có một chút bí mật về công thức chính xác.
Chris S
18

Điều này đã được trả lời một thời gian trước đây, nhưng tôi nghĩ rằng câu trả lời được chấp nhận thiếu quan điểm tại sao cả hai phải được sử dụng cùng nhau để có hiệu quả.

SPF kiểm tra IP của máy chủ SMTP cuối cùng nhảy vào danh sách được ủy quyền. DKIM xác nhận thư ban đầu được gửi bởi một tên miền nhất định và bảo đảm tính toàn vẹn của thư.

Tin nhắn có chữ ký DKIM hợp lệ có thể được sử dụng như thư rác hoặc lừa đảo bằng cách gửi lại mà không sửa đổi. SPF không kiểm tra tính toàn vẹn của tin nhắn.

Hãy tưởng tượng một kịch bản nơi bạn nhận được email có chữ ký DKIM hợp lệ (từ ngân hàng, bạn bè, bất cứ điều gì) và bạn tìm thấy một cách tốt để khai thác thư này mà không cần sửa đổi: sau đó bạn có thể gửi lại thư này hàng ngàn lần cho những người khác nhau. Vì không có sửa đổi của thư, chữ ký DKIM sẽ vẫn hợp lệ và thư sẽ được chuyển thành hợp pháp.

Dù sao, SPF kiểm tra nguồn gốc (IP / DNS thực của máy chủ SMTP) của thư, vì vậy SPF sẽ ngăn chuyển tiếp thư vì bạn không thể gửi lại thư hợp lệ qua máy chủ SMTP được định cấu hình tốt và thư đến từ các IP khác sẽ được bị từ chối, ngăn chặn hiệu quả việc gửi lại tin nhắn DKIM "hợp lệ" là thư rác.

Pedro
nguồn
Bạn có thể vui lòng cho một số ví dụ về cách thư có thể được khai thác mà không cần sửa đổi?
dùng3413723
Bất kỳ email nào bắt đầu bằng một "khách hàng thân mến" chung chung, "Người dùng thân mến" hoặc "Kính gửi <phần đầu tiên của địa chỉ email của bạn trước dấu @">. Đây là lý do tại sao điều quan trọng là các email hợp pháp cho bạn luôn chứa ít nhất 1 mẩu thông tin cá nhân của bạn, như một phần của mã bưu điện / mã zip hoặc tên đầy đủ của bạn. (Điều đó làm cho chúng xác thực hơn và không thể tái sử dụng.)
Adambean
Nhưng nếu các trường tiêu đề đã được ký, bao gồm cả người nhận, thì chắc chắn điều này sẽ loại bỏ khả năng tấn công lại vào người nhận mới? tức là thêm chữ ký h=from:to;( từ được yêu cầu trong RFC 6376 , đến là không bắt buộc) chỉ nên cho phép cho cuộc tấn công replay trên cùng người nhận. Điều này là xấu, nhưng không tệ như những gì câu trả lời này đang gợi ý.
Richard Dunn
4

Dưới đây là một số lý do bạn nên luôn xuất bản cả SPF và DKIM.

  1. Một số nhà cung cấp hộp thư chỉ hỗ trợ cái này hoặc cái kia và một số nhà cung cấp hỗ trợ cả hai nhưng trọng lượng nhiều hơn cái kia.

  2. DKIM bảo vệ email khỏi bị thay đổi trong quá cảnh, SPF thì không.

Tôi cũng sẽ thêm DMARC vào danh sách. Nhược điểm của việc luôn luôn xuất bản đầy đủ email auth là gì?

Neil Anuskiewicz
nguồn
1
"Nhược điểm của việc luôn xuất bản đầy đủ email auth là gì?", Nỗ lực! Tôi đoán Devops đã là một Pita, một viên gạch khác trên tường, hoặc 3 như trường hợp có thể.
Gordon Wrigley
ISP phải làm gì với bất cứ điều gì? Bạn có nghĩa là nhà cung cấp thư?
William
Vâng, tôi có nghĩa là nhà cung cấp hộp thư. Mọi người thường sử dụng dịch vụ email từ ISP nên tôi có thói quen nói ISP.
Neil Anuskiewicz
Cảm ơn bạn đã chỉ ra rằng bây giờ tôi đã thay đổi nó thành nhà cung cấp hộp thư.
Neil Anuskiewicz
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.