SPF vs. DKIM - กรณีและความแตกต่างในการใช้งาน


20

ฉันขอโทษสำหรับชื่อที่คลุมเครือ ฉันไม่เข้าใจว่าทำไม SPF และ DKIM ถึงควรใช้ร่วมกัน

ข้อแรก: SPF สามารถส่งผ่านตำแหน่งที่ควรล้มเหลวหากผู้ส่งหรือ DNS "ปลอมแปลง" และสามารถล้มเหลวได้ในกรณีที่ควรส่งผ่านหากมีการตั้งค่าพร็อกซีและตัวส่งต่อขั้นสูงบางอย่าง

DKIM สามารถผ่านตำแหน่งที่ควรล้มเหลวได้เนื่องจากข้อผิดพลาด / จุดอ่อนในการเข้ารหัส (เราแยกแยะสิ่งนี้ออกจากจุดที่เรียบง่าย) หรือเนื่องจากการสืบค้น DNS ถูกปลอมแปลง

เนื่องจากข้อผิดพลาดการเข้ารหัสถูกตัดออกความแตกต่าง (อย่างที่ฉันเห็น) คือ DKIM สามารถใช้ในการตั้งค่าที่ SPF จะล้มเหลว ฉันไม่สามารถหาตัวอย่างที่จะได้ประโยชน์จากการใช้ทั้งคู่ หากการตั้งค่าอนุญาตให้ใช้ SPF ได้ดังนั้น DIKM ไม่ควรเพิ่มการตรวจสอบพิเศษใด ๆ

ทุกคนสามารถยกตัวอย่างประโยชน์ของการใช้ทั้งสองได้หรือไม่

คำตอบ:


15

SPF มีอันดับมากกว่า Pass / Fail การใช้สิ่งเหล่านี้ในการให้คะแนนแบบสแปมแบบ heuristically ทำให้กระบวนการง่ายขึ้นและแม่นยำยิ่งขึ้น ความล้มเหลวในบัญชีของ "การตั้งค่าขั้นสูง" บ่งชี้ว่าผู้ดูแลระบบอีเมลไม่ทราบว่าเขากำลังทำอะไรในการตั้งค่าระเบียน SPF ไม่มีการตั้งค่าที่ SPF ไม่สามารถอธิบายได้อย่างถูกต้อง

วิทยาการเข้ารหัสลับไม่ทำงานอย่างสมบูรณ์ การเข้ารหัสลับที่ได้รับอนุญาตใน DKIM มักจะใช้ทรัพยากรที่สำคัญในการทำลาย คนส่วนใหญ่เห็นว่าปลอดภัยพอ ทุกคนควรประเมินสถานการณ์ของตนเอง อีกครั้ง DKIM มีอันดับมากกว่าแค่ Pass / Fail

ตัวอย่างหนึ่งที่จะได้รับประโยชน์จากการใช้ทั้งสอง: ส่งไปยังฝ่ายต่าง ๆ ที่สองที่หนึ่งตรวจสอบ SPF และอื่น ๆ ตรวจสอบ DKIM อีกตัวอย่างหนึ่งคือการส่งไปยังบุคคลที่มีเนื้อหาซึ่งปกติจะมีอันดับสูงในการทดสอบสแปม แต่ถูกชดเชยโดยทั้ง DKIM และ SPF ทำให้สามารถส่งจดหมายได้

ไม่จำเป็นต้องใช้ในกรณีส่วนใหญ่แม้ว่าผู้ดูแลระบบอีเมลแต่ละรายจะตั้งกฎของตนเอง ทั้งสองช่วยในการจัดการปัญหาที่แตกต่างของ SPAM: SPF คือการถ่ายทอดอีเมลและ DKIM เป็นความสมบูรณ์ของอีเมลและความถูกต้องของแหล่งกำเนิด


ตกลงฉันทำตามคะแนนของคุณ (โดยเฉพาะอย่างยิ่งที่บางคนอาจใช้เพียงหนึ่งในสอง - ฉันไม่เห็นว่า!) ดังนั้น SPF และ DKIM อาจมีการตั้งค่าและการจัดอันดับที่แตกต่างกัน แต่โดยรวมพวกเขาจะต้องเผชิญหน้ากับเหรียญเดียวกัน จนถึงจุดสุดท้ายของคุณ: อีเมลจากรีเลย์ที่ได้รับอนุญาต (SPF) ควรได้รับความเชื่อถือเช่นเดียวกับลายเซ็น DKIM ที่ถูกต้อง .. หลังจากทั้งหมดเจ้าของโดเมนได้อนุมัติทั้งสองอย่าง ฉันเพิ่งทดสอบเมลด้วย SPF เพียงอย่างเดียวและในขณะที่มหาวิทยาลัยและ gmail ของฉันตะเข็บเพื่อยอมรับอีเมลนั้น hotmail ถือว่ามันเป็นสแปม - อาจเป็นเพราะพวกเขาพึ่งพา DIKM ขอบคุณสำหรับความคิดเห็นของคุณ Chris!
ผู้ใช้ที่ถูกลบ 42

Hotmail ใช้ SenderID (SPF 2.0 ในการพูด) DKIM, SenderScore, PBLs และเทคโนโลยีการกรองของพวกเขาเอง มันเป็นความลับเล็กน้อยเกี่ยวกับสูตรที่แน่นอน
Chris S

18

นี่เป็นคำตอบเมื่อไม่นานมานี้ แต่ฉันคิดว่าคำตอบที่ยอมรับนั้นขาดเหตุผลว่าทำไมทั้งสองจึงต้องใช้ร่วมกันเพื่อให้มีประสิทธิภาพ

SPF ตรวจสอบ IP ของเซิร์ฟเวอร์ SMTP ล่าสุดว่ามีรายการที่ได้รับอนุญาตหรือไม่ DKIM ตรวจสอบความถูกต้องของอีเมลที่ถูกส่งครั้งแรกโดยโดเมนที่กำหนดและรับประกันความถูกต้องของมัน

ข้อความที่เซ็นชื่อ DKIM ที่ถูกต้องสามารถใช้เป็นสแปมหรือฟิชชิงได้โดยไม่ต้องทำการแก้ไข SPF ไม่ได้ตรวจสอบความสมบูรณ์ของข้อความ

ลองนึกภาพสถานการณ์ที่คุณได้รับอีเมลที่ลงชื่อ DKIM ที่ถูกต้อง (จากธนาคารของคุณเพื่อนหรืออะไรก็ตาม) และคุณจะพบวิธีที่ดีในการใช้ประโยชน์จากจดหมายนี้โดยไม่ต้องแก้ไข: จากนั้นคุณสามารถส่งจดหมายนี้ซ้ำหลายพันครั้ง เนื่องจากไม่มีการแก้ไขเมลลายเซ็น DKIM จะยังคงใช้ได้และข้อความจะถูกต้องตามกฎหมาย

อย่างไรก็ตาม SPF จะตรวจสอบที่มา (IP จริง / DNS ของเซิร์ฟเวอร์ SMTP) ของอีเมลดังนั้น SPF จะป้องกันการส่งต่อจดหมายเนื่องจากคุณไม่สามารถส่งอีเมลที่ถูกต้องผ่านเซิร์ฟเวอร์ SMTP ที่กำหนดค่าได้ดีและจดหมายที่มาจาก IP อื่น ๆ ปฏิเสธเพื่อป้องกันการส่งข้อความ DKIM ที่ "ถูกต้อง" เป็นสแปม


คุณช่วยให้ตัวอย่างบางส่วนของวิธีการใช้ประโยชน์จากจดหมายโดยไม่มีการดัดแปลงได้อย่างไร?
3413723

อีเมลใด ๆ ที่เริ่มต้นด้วย "ลูกค้าที่รัก" ทั่วไป "ผู้ใช้ที่รัก" หรือ "เรียน <ส่วนแรกของที่อยู่อีเมลของคุณก่อนที่จะลงชื่อ @"> นี่คือเหตุผลที่เป็นสิ่งสำคัญที่อีเมลที่ถูกต้องสำหรับคุณจะต้องมีข้อมูลส่วนบุคคลของคุณอย่างน้อย 1 ชิ้นเช่นรหัสไปรษณีย์ / ไปรษณีย์หรือชื่อเต็มของคุณ (นั่นทำให้พวกเขาเป็นของแท้และไม่สามารถใช้ซ้ำได้)
Adambean

แต่ถ้าฟิลด์ส่วนหัวได้รับการลงนามรวมถึงผู้รับแล้วแน่นอนว่าสิ่งนี้จะลบความเป็นไปได้ของการโจมตีซ้ำกับผู้รับใหม่หรือไม่? เช่นการเพิ่มลายเซ็นh=from:to;( จากที่ถูกต้องในRFC 6376 , เพื่อเป็นตัวเลือก) ควรอนุญาตให้มีการโจมตี replay ผู้รับเดียวกัน อันไหนไม่ดี แต่ไม่แย่เท่าคำตอบนี้คือคำแนะนำ
Richard Dunn

4

นี่คือสาเหตุบางประการที่คุณควรเผยแพร่ทั้ง SPF และ DKIM

  1. ผู้ให้บริการกล่องจดหมายบางรายสนับสนุนอย่างใดอย่างหนึ่งหรืออย่างอื่นและบางส่วนรองรับทั้งสองอย่าง แต่ให้น้ำหนักมากกว่ากัน

  2. DKIM ปกป้องอีเมลจากการเปลี่ยนแปลงระหว่างการขนส่ง SPF ไม่ได้

ฉันจะเพิ่ม DMARC ลงในรายการด้วย อะไรคือข้อเสียของการเผยแพร่อีเมลแบบเต็มรูปแบบเสมอ


1
"อะไรคือข้อเสียของการเผยแพร่อีเมลฉบับเต็มเสมอ?" ความพยายาม! ฉันเดาว่า Devops เป็น PITA แล้วอิฐอีกตัวอยู่ในกำแพงหรือ 3 อย่างในกรณีนี้
Gordon Wrigley

ISP ทำอะไรกับอะไรบ้าง คุณหมายถึงผู้ให้บริการอีเมลหรือไม่
วิลเลียม

ใช่ฉันหมายถึงผู้ให้บริการกล่องจดหมาย ผู้คนเคยรับบริการอีเมลจาก ISP บ่อยครั้งดังนั้นฉันจึงติดนิสัยว่า ISP
Neil Anuskiewicz

ขอบคุณสำหรับการชี้ให้เห็นว่าฉันได้เปลี่ยนเป็นผู้ให้บริการกล่องจดหมาย
Neil Anuskiewicz
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.