Простите за расплывчатое название. Я не совсем понимаю, почему SPF и DKIM должны использоваться вместе.
Во-первых: SPF может пройти там, где он должен завершиться неудачей, если отправитель или DNS «подделан», и он может не пройти там, где он должен пройти, если задействованы некоторые дополнительные настройки прокси и пересылки.
DKIM может пройти там, где он должен выйти из строя, либо из-за ошибки / слабости в криптографии (мы исключаем это, следовательно, упрощенный пункт), либо из-за подделки DNS-запроса.
Поскольку ошибка криптографии исключена, разница (как я вижу) в том, что DKIM можно использовать в настройках, где SPF не работает. Я не могу привести ни одного примера, где было бы полезно использовать оба. Если настройка разрешает SPF, DIKM не должен добавлять дополнительную проверку.
Может ли кто-нибудь привести мне пример преимущества использования обоих?
Некоторое время назад на этот вопрос был дан ответ, но я думаю, что в принятом ответе нет объяснения, почему оба должен использоваться вместе, чтобы быть эффективными.
SPF проверяет IP-адрес последнего перехода к серверу SMTP по авторизованному списку. DKIM проверяет, что почта изначально была отправлена данным доменом, и гарантирует ее целостность.
Действительные подписанные DKIM сообщения могут использоваться как спам или фишинг, будучи повторно отправленными без изменений. SPF не проверяет целостность сообщения.
Представьте себе сценарий, в котором вы получаете действительное электронное письмо с подписью DKIM (от вашего банка, друга и т. Д.) И находите хороший способ использовать эту почту без изменений: тогда вы можете просто повторно отправить это письмо тысячи раз разным людям. Поскольку нет изменений в почте, подпись DKIM будет по-прежнему действительна, и сообщение будет принято как законное.
В любом случае, SPF проверяет источник (реальный IP / DNS SMTP-сервера) почты, поэтому SPF предотвратит пересылку почты, поскольку вы не можете повторно отправить действительную почту через хорошо настроенный SMTP-сервер, а почта, поступающая с других IP-адресов, будет отклонено, что эффективно предотвращает повторную отправку «действительных» сообщений DKIM как спама.
У SPF намного больше рейтингов, чем у "Пройдено / Не сдано". Их использование при эвристической оценке спама делает процесс более простым и точным. Отказ из-за «дополнительных настроек» указывает на то, что администратор почты не знал, что он делал при настройке записи SPF. Нет настройки, которую SPF не может правильно учесть.
Криптография никогда не работает абсолютно. Единственная криптовалюта, разрешенная в DKIM, обычно требует значительных ресурсов для взлома. Большинство людей считает это достаточно безопасным. Каждый должен оценивать свои собственные ситуации. Опять же, у DKIM больше рейтингов, чем просто «прошел / не прошел».
Один из примеров, когда можно было бы использовать оба варианта: отправка двум разным сторонам, где одна проверяет SPF, а другая проверяет DKIM. Другой пример, отправка стороне с контентом, который обычно имеет высокий рейтинг в тесте на спам, но это компенсируется как DKIM, так и SPF, что позволяет доставлять почту.
В большинстве случаев ни то, ни другое не требуется, хотя отдельные почтовые администраторы устанавливают свои собственные правила. И то, и другое помогает бороться с различными аспектами СПАМА: SPF - это то, что пересылает электронную почту, а DKIM - это целостность электронной почты и подлинность происхождения.
Вот несколько причин, по которым вы всегда должны публиковать обе СПФ и ДКИМ.
Некоторые поставщики почтовых ящиков поддерживают только один или другой, а некоторые поддерживают оба, но вес одного больше, чем другого.
DKIM защищает электронную почту от изменений при передаче, а SPF - нет.
Я бы тоже добавил в список DMARC. В чем недостаток публикации полной аутентификации электронной почты?