С помощью DMARC я могу настроить политику отклонения почты. Но разве я не могу сделать то же самое с -all из SPF?
То же самое касается карантина и softfail ~ all.
Помимо отчетов, в чем преимущество использования DMARC поверх SPF?
SPF только указывает, какие адреса имеют право отправлять почту для вашего домена. Получатель должен решить, что делать с этой информацией.
DMARC позволяет вам точно указать, какие действия вы хотите, чтобы получатели выполняли, если проверка SPF не удалась.
Они не являются избыточными, а дополняют друг друга.
С помощью DMARC вы можете указать, как получатель должен обрабатывать как DKIM, так и SPF. Это также единственный способ узнать, что DKIM доступен и необходим, поскольку сам по себе DKIM применяется только к почте, уже подписанной им.
SPF защищает ваш домен от использования на уровне протокола SMTP в качестве отправитель конверта, но получатель видит только заголовки, которые SPF не защищает. В отправитель конверта может быть записан в Return-Path
заголовок, но большинство пользователей видят только From:
и думает, что письмо пришло с этого адреса. Только DKIM, усиленный DMARC, может защитить From
заголовок.
Поскольку SPF + DMARC и DKIM + DMARC защищают от различных видов подделки, вы должны иметь их оба. Кроме того, согласование DMARC может сказать, что сообщение может быть неподписанным с помощью DKIM, пока SPF проходит, и что SPF не нужно проходить для подписанных DKIM сообщений. Это становится удобным, когда у вас есть несколько вариантов использования для одного почтового домена.
TL; DR Сам по себе SPF не может защитить вас от спуфинга электронной почты с конкретным доменом. DMARC - необходимость.
Вот сценарий, который проходит ваш SPF -all
защита.
Предположим, у вас есть a.com
домен, и я владею b.com
. Я настроил v=spf1 {myserversIP} -all
TXT SPF запись в b.com
DNS и дополнительно установить почтовый сервер на {myserversIP}
хост для использования протокола SMTP для отправки электронных писем. я использую bounce@b.com
как мой конверт с адреса (который Return-Path
заголовок на принимающей стороне) и отправить кому-нибудь электронное письмо, поставив From: you@a.com
в теле письма. MDA получает мою электронную почту и выполняет следующие псевдодействие:
Return-Path: bounce@b.com
b.com
запись SPF и получает v=spf1 {myserversip} -all
Так как же предотвратить эту ситуацию? На помощь приходит DMARC. DMARC добавляет важный новый механизм: выравнивание. При включенном DMARC в основном MDA выполняет следующие псевдодействия после 3-го шага:
From
и Return-Path
выравнивание доменов (b.com
против a.com
)Вот и все. Надеюсь, мой ответ имеет смысл.
PS: Я соучредитель универсальная система развертывания DMARC. Каждый день я общаюсь с множеством клиентов, чтобы объяснить важность DMARC, что в настоящее время это лучший отраслевой стандарт для защиты вашего домена от спуфинга электронной почты и фишинга.
В электронном письме 2 адреса отправителя: конверт из адреса и заголовок из адреса. У SPF есть брешь в безопасности, поскольку он только аутентифицирует конверт с адреса, оставляя заголовок с адреса неаутентифицированным.
Таким образом, можно подделать заголовок с адреса, если развернут только SPF.
DMARC вводит выравнивание идентификаторов (IA), чтобы исправить эту дыру в безопасности. Выравнивание идентификатора требует, чтобы домен в заголовке из адреса «выровнялся» с доменом в конверте из адреса.
Выравнивание идентификатора DMARC добавляет еще один уровень безопасности, чтобы блокировать попытки подделки заголовка с адреса в электронной почте.
Для получения дополнительной информации об идентификаторе alignemtn см .: Выравнивание идентификатора DMARC