Saya minta maaf untuk judul yang tidak jelas. Saya tidak sepenuhnya mengerti mengapa SPF dan DKIM harus digunakan bersama.
Pertama: SPF bisa lewat di mana ia harus gagal jika pengirim atau DNS "palsu" dan itu bisa gagal di mana ia harus lulus jika beberapa pengaturan lanjutan proxy dan forwarder terlibat.
DKIM dapat melewati di mana ia harus gagal, baik karena kesalahan / kelemahan dalam kriptografi (kami mengesampingkan hal ini, maka titik yang disederhanakan), atau karena permintaan DNS palsu.
Karena kesalahan kriptografi dikesampingkan, perbedaannya (seperti yang saya lihat) adalah bahwa DKIM dapat digunakan dalam pengaturan di mana SPF akan gagal. Saya tidak dapat memberikan contoh di mana orang akan mendapat manfaat dari menggunakan keduanya. Jika pengaturan memungkinkan untuk SPF, maka DIKM seharusnya tidak menambahkan validasi tambahan.
Adakah yang bisa memberi saya contoh manfaat menggunakan keduanya?
Ini dijawab beberapa waktu lalu, tetapi saya pikir jawaban yang diterima tidak memiliki alasan mengapa keduanya harus digunakan bersama untuk menjadi efektif.
SPF memeriksa IP hop server SMTP terakhir terhadap daftar yang diotorisasi. DKIM memvalidasi surat awalnya dikirim oleh domain yang diberikan, dan menjamin integritasnya.
Pesan bertanda DKIM yang valid dapat digunakan sebagai spam atau phishing dengan dikirim ulang tanpa modifikasi. SPF tidak memeriksa integritas pesan.
Bayangkan sebuah skenario di mana Anda menerima email bertanda DKIM yang sah (dari bank Anda, teman, apa pun), dan Anda menemukan cara yang baik untuk mengeksploitasi email ini tanpa modifikasi: maka Anda dapat mengirim ulang email ini ribuan kali ke orang yang berbeda. Karena tidak ada modifikasi surat, tanda tangan DKIM akan tetap valid dan pesan akan dianggap sah.
Bagaimanapun, SPF memeriksa asal (IP / DNS asli dari server SMTP) dari surat, jadi SPF akan mencegah penerusan surat karena Anda tidak dapat mengirim ulang surat yang valid melalui server SMTP yang dikonfigurasi dengan baik, dan surat yang datang dari IP lain akan menjadi ditolak, secara efektif mencegah pengiriman ulang pesan DKIM "valid" sebagai spam.
sumber
h=from:to;
( dari yang diperlukan dalam RFC 6376 , untuk menjadi opsional) seharusnya hanya memungkinkan untuk serangan replay pada penerima yang sama. Mana yang buruk, tetapi tidak seburuk yang disarankan jawaban ini.Berikut adalah beberapa alasan Anda harus selalu mempublikasikan baik SPF dan DKIM.
Beberapa penyedia kotak surat hanya mendukung satu atau yang lain dan beberapa mendukung keduanya tetapi lebih berat satu dari yang lain.
DKIM melindungi email agar tidak diubah dalam perjalanan, SPF tidak.
Saya akan menambahkan DMARC ke daftar juga. Apa downside untuk selalu menerbitkan auth lengkap email?
sumber