Назад | Перейти на главную страницу

SPF - чем это полезно, если получатель проверяет только адрес MAIL FROM?

Если я правильно понимаю, получатель электронной почты проверяет действительность источника электронной почты, сопоставляя IP-адрес домена MAIL FROM (Return-Path) с IP-адресами, указанными в политике SPF домена (в DNS).

Чего я не понимаю, так это того, что как мошенник я мог бы создать любой домен, например xyzzzz.com, добавить политику SPF в DNS и установить адрес MAIL FROM как xyzzzz.com, и по-прежнему подделывать адрес From (как SPF только проверяет идентичность на основе адреса MAIL FROM); и это адрес От, который фактически видит конечный клиент.

Поэтому я не понимаю преимуществ SPF.

SPF полезен для проверки отправитель конверта адреса то есть против поддельные отправители (MAIL FROM). Он был создан для этого, а не против кованые заголовки. DKIM предназначен для защиты коллекторов и корпуса от подделки и взлома. В From: заголовок всегда подписан, остальные заголовки необязательны.

DKIM может защищать только подписанную почту, но не обеспечивает механизма, подтверждающего, что неподписанное сообщение должно быть подписано. Теперь кажется, что и SPF, и DKIM бессильны против подделки адреса в From: заголовок. DMARC выравнивание приходит на помощь! DMARC может применять DKIM, сообщая получателю, как им следует обрабатывать неподписанные сообщения. DKIM + DMARC вместе защищает From: адрес.

Почему по-прежнему актуальна защита MAIL FROM адрес? Почему бы не использовать только DKIM + DMARC?

  • SPF по-прежнему защищает ваш домен от использования в качестве отправителя конверта. Зачем кому-то покупать случайный домен и использовать его в качестве отправителя конверта, когда существует множество незащищенных доменов? Без записи SPF кто-то может использовать ваш домен на этом этапе, подменяя чужой домен в заголовках.

  • Для выравнивания DMARC требуется только SPF или DKIM. У вас могут быть приложения или устройства, которым необходимо использовать ваш домен в From заголовок, но не может подписывать сообщения DKIM. Не беспокойтесь, если они пройдут тест SPF для одного и того же домена. Точно так же у вас может быть сторонний провайдер для рассылки информационных бюллетеней. от имени вы, но разрешение их на уровне SPF может быть слишком обширным. Не имеет значения, если они могут подписывать сообщения DKIM, используя собственный селектор.