Назад |
Перейти на главную страницу
Насколько важно согласование SPF с DMARC?
При настройке политики DMARC для организации важно ли согласование SPF?
Я понял, что:
- Большинство поставщиков услуг электронной почты поддерживают DKIM для личного домена.
- Не все поставщики услуг электронной почты поддерживают SPF для личного домена. Обычно они будут передавать записи SPF для своего собственного домена, но это не будет соответствовать адресу отправителя.
- С SPF легко столкнуться с ограничениями поиска DNS. С DKIM дело обстоит иначе.
- Некоторые «переадресованные электронные письма», например, через списки рассылки, часто имеют сбойный SPF, но все еще проходят DKIM. Другие полностью переписывают поле От, чтобы избежать проблем с DMARC.
Учитывая вышесказанное, есть ли вообще веская причина для выравнивания SPF? Или всегда достаточно согласования DKIM + политики DMARC?
Примечание. Я не предлагаю вообще не иметь политики SPF для личного домена. Просто использование домена внешнего поставщика услуг для Return-Path вместо личного домена и, следовательно, без согласования SPF.
Итак, в этом случае у нас будет:
From: someone@my-domain.net
Return-Path: something@service-provider.net (not aligned)
DKIM-Signature: d=my-domain.net (aligned)
Received from: IP belonging to service-provider.net, passing SPF for service-provider.net.
Верно, что для DMARC достаточно выравнивания DKIM или SPF, и что DKIM более надежен, поскольку лучше переносит пересылку. Однако важно понимать, что, несмотря на совместную работу и зависимость друг от друга, все три по существу защищают разные части подлинности электронного письма:
- SPF защищает ваш домен, используемый в качестве отправитель конверта
- DKIM защищает содержимое (подписанные заголовки и тело) от несанкционированного доступа
- DMARC (с помощью SPF, DKIM или обоих) защищает ваш домен в
From
заголовок.
SPF по-прежнему полезен:
- Если у вас нет ограничивающей политики SPF, ваш домен может быть использован как отправитель конверта. Довольно часто в одном спамерском сообщении используются разные слабые места из разных доменов: домены, не защищенные SPF, используются для спуфинга почты с доменов, защищенных только SPF.
- Согласование SPF + DMARC может быть полезно для служб, еще не поддерживающих DKIM, которые по-прежнему необходимы для отправки электронной почты из вашего домена.
- Если у вас есть SPF и вы уже используете выравнивание DKIM + DMARC, есть нет причин намеренно использовать невыровненные домены как отправитель конверта, если нет ограничений со стороны третьих лиц. Хотя это не так часто, но иногда DKIM также дает сбой, если содержимое изменяется, например из-за неправильной конфигурации. Дополнительное согласование SPF + DMARC может помочь такому сообщению выжить.
Кроме того, не каждый принимающий MTA обрабатывает политики DMARC, как описано в спецификации DMARC (нестандартные, информационные RFC 7489). Много, включая Microsoft, не уважают p=reject
как предполагалось (согласно Раздел 10.3) т.е. отказ на этапе подключения или молча отбрасывая почты, но используя результаты как часть более сложной системы оценки спама. В таких случаях наличие обоих мировоззрений может повысить репутацию вашего сообщения в их глазах.