web-dev-qa-db-fra.com

SPF vs. dkim - les cas d'utilisation exacte et les différences

Je suis désolé pour le titre vague. Je ne comprends pas parfaitement pourquoi SPF et DKIM devraient être utilisés ensemble.

Premièrement: SPF peut passer là où il devrait échouer si l'expéditeur ou le DNS est "spoofé" et peut échouer où il devrait passer si une configuration avancée des mandataires et des transitaires sont impliqués.

DKIM peut passer là où il devrait échouer, soit à cause d'une erreur/une faiblesse de la cryptographie (nous l'excédant, d'où le point simplifié) ou parce que la requête DNS est bloquée.

Étant donné que l'erreur de cryptographie est exclue, la différence (comme je le vois) est que DKIM peut être utilisé dans des configurations où SPF échouerait. Je ne peux pas trouver d'exemples où l'on bénéficierait d'utiliser les deux. Si la configuration permet au SPF, DIKM ne doit pas ajouter de validation supplémentaire.

Quelqu'un peut-il me donner un exemple d'avantage d'utiliser les deux?

22
deleted user 42

SPF a beaucoup plus de classement que Pass/échec. L'utilisation de ceux-ci dans une notation hurcipe du spam rend le processus plus facile et plus précis. L'échec du compte de "configurations avancées" indique que le courrier administrateur ne savait pas ce qu'il faisait dans la configuration du disque SPF. Il n'y a pas de configuration que SPF ne peut pas tenir compte correctement.

La cryptographie ne fonctionne pas en absolument, jamais. La seule crypto autorisée à Dkim prend généralement des ressources importantes pour casser. La plupart des gens considèrent cela suffisamment sûr. Tout le monde devrait évaluer ses propres situations. Encore une fois, DKIM a plus de classement que de passer/échouer.

Un exemple où on bénéficierait d'utiliser les deux: Envoi à deux parties différentes où une vérification du SPF et des autres chèques DKIM. Un autre exemple, envoyant à une partie avec du contenu qui classerait normalement fortement dans le test de spam, mais qui est compensé par DKIM et SPF, permettant ainsi de livrer le courrier.

Ni sont nécessaires dans la plupart des cas, bien que les administrateurs de courrier individuels définissent leurs propres règles. Les deux aident à traiter différentes facettes du spam: SPF étant qui relie le courrier électronique et DKIM étant l'intégrité de l'e-mail et de l'authenticité d'origine.

15
Chris S

Cela a été répondu il y a quelque temps, mais je pense que la réponse acceptée manque de savoir pourquoi Doit être utilisé ensemble pour être efficace.

SPF vérifie l'IP du dernier SMTP Server Hop sur une liste autorisée. DKIM valide le courrier a été initialement envoyé par un domaine donné et garantit son intégrité.

Les messages signés DKIM valides peuvent être utilisés comme spam ou phishing en restant sans modification. SPF ne vérifie pas l'intégrité des messages.

Imaginez un scénario où vous recevez un email signé en DKIM valide (de votre banque, un ami, quoi que ce soit) et que vous trouvez un bon moyen d'exploiter ce courrier sans modification: vous pouvez simplement renvoyer ce mail de milliers de fois à différentes personnes. Comme il n'y a pas de modification du courrier, la signature DKIM sera toujours valide et le message passera comme légitime.

Quoi qu'il en soit, SPF vérifie l'origine (véritable IP/DNS du serveur SMTP) du courrier, de sorte que SPF empêchera le transfert du courrier tel que vous ne pouvez pas renvoyer un courrier valide via un serveur SMTP bien configuré, et le courrier provenant d'autres IPS sera rejeté, empêchant efficacement la révision des messages DKIM "valides" en tant que spam.

21
Pedro

Voici quelques raisons pour lesquelles vous devriez toujours publier à la fois SPF et DKIM.

  1. Certains fournisseurs de boîte aux lettres ne font que supporter l'un ou l'autre et certains soutiennent à la fois une autre chose que l'autre.

  2. DKIM protège le courrier électronique de la modification en transit, SPF ne le fait pas.

J'ajouterais dmarc à la liste aussi. Quel est l'inconvénient de toujours publier l'authentification du courrier électronique complet?

4
Neil Anuskiewicz