Frage SPF vs. DKIM - Die genauen Anwendungsfälle und Unterschiede


Es tut mir leid für den vagen Titel. Ich verstehe nicht ganz, warum SPF und DKIM zusammen verwendet werden sollten.

Erstens: SPF kann passieren, wo es scheitern sollte, wenn der Absender oder DNS "gefälscht" ist und es kann fehlschlagen, wo es passieren sollte, wenn einige erweiterte Einstellungen von Proxies und Forwarders beteiligt sind.

DKIM kann an einen Fehlerort übergeben werden, entweder aufgrund eines Fehlers / einer Schwachstelle in der Kryptographie (wir schließen dies aus, daher der vereinfachte Punkt), oder weil die DNS-Abfrage gefälscht ist.

Da der Kryptographiefehler ausgeschlossen ist, besteht der Unterschied (wie ich es sehe) darin, dass DKIM in Einrichtungen verwendet werden kann, in denen SPF fehlschlagen würde. Ich kann mir keine Beispiele ausdenken, bei denen man davon profitieren würde. Wenn das Setup SPF zulässt, sollte DIKM keine zusätzliche Validierung hinzufügen.

Kann mir jemand ein Beispiel für den Nutzen beider Anwendungen geben?


18
2017-07-15 16:27


Ursprung




Antworten:


SPF hat viel mehr Platzierungen als Pass / Fail. Wenn Sie diese in heuristisch bewerteten Spam-Nachrichten verwenden, wird der Prozess einfacher und genauer. Das Scheitern aufgrund von "Advanced Setups" zeigt an, dass der Mail-Administrator nicht wusste, was er beim Einrichten des SPF-Datensatzes getan hat. Es gibt keine Einrichtung, die SPF nicht korrekt berücksichtigen kann.

Kryptographie funktioniert absolut nicht absolut. Das einzige Krypto, das in DKIM erlaubt ist, benötigt normalerweise erhebliche Ressourcen, um zu brechen. Die meisten Menschen halten das für sicher genug. Jeder sollte seine eigenen Situationen bewerten. Auch hier hat DKIM mehr Rankings als nur Pass / Fail.

Ein Beispiel, bei dem man davon profitieren würde, beides zu verwenden: Senden an zwei verschiedene Parteien, wo man SPF überprüft und das andere DKIM überprüft. Ein anderes Beispiel ist das Senden an eine Partei mit Inhalten, die normalerweise einen hohen Rang im Spam-Test erreichen würden, die jedoch sowohl von DKIM als auch von SPF ausgeglichen werden und die Zustellung der Mail ermöglichen.

In den meisten Fällen ist beides nicht erforderlich, obwohl einzelne Mail-Administratoren ihre eigenen Regeln festlegen. Beide helfen dabei, verschiedene Facetten von SPAM anzusprechen: SPF ist, wer E-Mail weiterleitet, und DKIM ist die Integrität von E-Mail und Authentizität der Herkunft.


13
2017-07-15 17:05



Ok, ich folge deinen Punkten (vor allem, dass manche nur eines der beiden benutzen - wie habe ich das nicht gesehen!). SPF und DKIM könnten also verschiedene Einstellungen und Ranglisten haben, aber insgesamt sind sie für die gleiche Münze. Zu Ihrem letzten Punkt: Eine E-Mail von einem autorisierten Relay (SPF) sollte genauso gut einer gültigen DKIM-Signatur vertraut sein. Schließlich hat der Eigentümer der Domain beides genehmigt. Ich habe meine Mail nur mit SPF getestet, und obwohl meine Universität und Google Mail es akzeptieren, sieht es Hotmail als Spam an - vielleicht, weil sie auf DIKM angewiesen sind. Danke für deinen Kommentar Chris! - deleted user 42
Hotmail verwendet SenderID (sozusagen SPF 2.0), DKIM, SenderScore, PBLs und ihre eigene Filtertechnologie. Sie sind ein wenig verschwiegen über die genaue Formel. - Chris S


Dies wurde vor einiger Zeit beantwortet, aber ich denke, die akzeptierte Antwort fehlt der Punkt warum beide Muss zusammen verwendet werden, um effektiv zu sein.

SPF überprüft die IP des letzten SMTP-Server-Hops gegen eine autorisierte Liste. DKIM validiert die Mail, die ursprünglich von einer bestimmten Domain gesendet wurde, und garantiert deren Integrität.

Gültige DKIM-signierte Nachrichten können als Spam oder Phishing verwendet werden, indem sie ohne Änderungen erneut gesendet werden. SPF überprüft die Nachrichtenintegrität nicht.

Stellen Sie sich ein Szenario vor, in dem Sie eine gültige, von DKIM signierte E-Mail erhalten (von Ihrer Bank, einem Freund, was auch immer), und Sie finden eine gute Möglichkeit, diese E-Mail ohne Änderungen zu nutzen: dann können Sie diese E-Mail einfach tausende Male an verschiedene Personen senden. Da es keine Änderung der Mail gibt, ist die DKIM-Signatur weiterhin gültig und die Nachricht wird als legitim übergeben.

Wie auch immer, SPF überprüft den Ursprung (echte IP / DNS des SMTP-Servers) der Mail, so dass SPF die Weiterleitung der Mail verhindert, da Sie eine gültige Mail nicht über einen gut konfigurierten SMTP-Server senden können und Mail von anderen IPs kommt abgelehnt, wodurch das erneute Senden von "gültigen" DKIM-Nachrichten als Spam effektiv verhindert wird.


11
2018-06-01 10:48



Würden Sie bitte einige Beispiele dafür geben, wie die Post ohne Modifikation genutzt werden kann? - user3413723
Jede E-Mail beginnt mit dem generischen "Sehr geehrter Kunde", "Sehr geehrter Nutzer" oder "Sehr geehrter <erster Teil Ihrer E-Mail-Adresse vor dem @ -Zeichen">. Aus diesem Grund ist es wichtig, dass legitime E-Mails für Sie immer mindestens einen Teil Ihrer persönlichen Informationen enthalten, wie einen Teil Ihrer Post / Postleitzahl oder Ihren vollständigen Namen. (Das macht sie authentischer und nicht wiederverwendbar.) - Adambean


Hier sind einige Gründe, die Sie immer veröffentlichen sollten beide SPF und DKIM.

  1. Einige ISPs unterstützen nur das eine oder das andere und einige unterstützen beide, aber eine mehr als die andere.

  2. DKIM schützt E-Mails vor Änderungen auf der Durchreise, SPF dagegen nicht.

Ich würde auch DMARC zu der Liste hinzufügen. Was ist der Nachteil, immer die vollständige E-Mail-Authentifizierung zu veröffentlichen?


4
2017-09-01 09:05



"Was ist der Nachteil, immer volle E-Mail-Authentifizierung veröffentlichen?", Mühe! Ich schätze, Devops ist schon ein PITA, was ein weiterer Stein in der Wand ist, oder 3, wie es der Fall sein mag. - Gordon Wrigley