Назад | Перейти на главную страницу

Зачем использовать DMARC, если SPF -all справится с этой задачей?

С помощью DMARC я могу настроить политику отклонения почты. Но разве я не могу сделать то же самое с -all из SPF?

То же самое касается карантина и softfail ~ all.

Помимо отчетов, в чем преимущество использования DMARC поверх SPF?

SPF только указывает, какие адреса имеют право отправлять почту для вашего домена. Получатель должен решить, что делать с этой информацией.

DMARC позволяет вам точно указать, какие действия вы хотите, чтобы получатели выполняли, если проверка SPF не удалась.

Они не являются избыточными, а дополняют друг друга.

С помощью DMARC вы можете указать, как получатель должен обрабатывать как DKIM, так и SPF. Это также единственный способ узнать, что DKIM доступен и необходим, поскольку сам по себе DKIM применяется только к почте, уже подписанной им.

SPF защищает ваш домен от использования на уровне протокола SMTP в качестве отправитель конверта, но получатель видит только заголовки, которые SPF не защищает. В отправитель конверта может быть записан в Return-Path заголовок, но большинство пользователей видят только From: и думает, что письмо пришло с этого адреса. Только DKIM, усиленный DMARC, может защитить From заголовок.

Поскольку SPF + DMARC и DKIM + DMARC защищают от различных видов подделки, вы должны иметь их оба. Кроме того, согласование DMARC может сказать, что сообщение может быть неподписанным с помощью DKIM, пока SPF проходит, и что SPF не нужно проходить для подписанных DKIM сообщений. Это становится удобным, когда у вас есть несколько вариантов использования для одного почтового домена.

TL; DR Сам по себе SPF не может защитить вас от спуфинга электронной почты с конкретным доменом. DMARC - необходимость.

Вот сценарий, который проходит ваш SPF -all защита.

Предположим, у вас есть a.com домен, и я владею b.com. Я настроил v=spf1 {myserversIP} -all TXT SPF запись в b.comDNS и дополнительно установить почтовый сервер на {myserversIP} хост для использования протокола SMTP для отправки электронных писем. я использую bounce@b.com как мой конверт с адреса (который Return-Path заголовок на принимающей стороне) и отправить кому-нибудь электронное письмо, поставив From: you@a.com в теле письма. MDA получает мою электронную почту и выполняет следующие псевдодействие:

  1. Извлекает домен из Return-Path: bounce@b.com
  2. Выполняет поиск в DNS b.comзапись SPF и получает v=spf1 {myserversip} -all
  3. Проверяет IP-адрес отправителя (также известный как IP-адрес моего хоста) по IP-адресам SPF
  4. Помечает электронную почту как аутентифицированную и действительную
  5. Поздравляю. Я только что отправил электронное письмо, выдавая себя за тебя

Так как же предотвратить эту ситуацию? На помощь приходит DMARC. DMARC добавляет важный новый механизм: выравнивание. При включенном DMARC в основном MDA выполняет следующие псевдодействия после 3-го шага:

  1. Проверяет From и Return-Path выравнивание доменов (b.com против a.com)
  2. Помечает электронную почту как неподтвержденную, поскольку выравнивание не удалось
  3. Поздравляю. DMARC предотвратил спуфинг электронной почты.

Вот и все. Надеюсь, мой ответ имеет смысл.

PS: Я соучредитель универсальная система развертывания DMARC. Каждый день я общаюсь с множеством клиентов, чтобы объяснить важность DMARC, что в настоящее время это лучший отраслевой стандарт для защиты вашего домена от спуфинга электронной почты и фишинга.

В электронном письме 2 адреса отправителя: конверт из адреса и заголовок из адреса. У SPF есть брешь в безопасности, поскольку он только аутентифицирует конверт с адреса, оставляя заголовок с адреса неаутентифицированным.

Таким образом, можно подделать заголовок с адреса, если развернут только SPF.

DMARC вводит выравнивание идентификаторов (IA), чтобы исправить эту дыру в безопасности. Выравнивание идентификатора требует, чтобы домен в заголовке из адреса «выровнялся» с доменом в конверте из адреса.

Выравнивание идентификатора DMARC добавляет еще один уровень безопасности, чтобы блокировать попытки подделки заголовка с адреса в электронной почте.

Для получения дополнительной информации об идентификаторе alignemtn см .: Выравнивание идентификатора DMARC