SPF vs DKIM - Kasus dan perbedaan penggunaan yang tepat

20

Saya minta maaf untuk judul yang tidak jelas. Saya tidak sepenuhnya mengerti mengapa SPF dan DKIM harus digunakan bersama.

Pertama: SPF bisa lewat di mana ia harus gagal jika pengirim atau DNS "palsu" dan itu bisa gagal di mana ia harus lulus jika beberapa pengaturan lanjutan proxy dan forwarder terlibat.

DKIM dapat melewati di mana ia harus gagal, baik karena kesalahan / kelemahan dalam kriptografi (kami mengesampingkan hal ini, maka titik yang disederhanakan), atau karena permintaan DNS palsu.

Karena kesalahan kriptografi dikesampingkan, perbedaannya (seperti yang saya lihat) adalah bahwa DKIM dapat digunakan dalam pengaturan di mana SPF akan gagal. Saya tidak dapat memberikan contoh di mana orang akan mendapat manfaat dari menggunakan keduanya. Jika pengaturan memungkinkan untuk SPF, maka DIKM seharusnya tidak menambahkan validasi tambahan.

Adakah yang bisa memberi saya contoh manfaat menggunakan keduanya?

pengguna yang dihapus 42
sumber

Jawaban:

15

SPF memiliki peringkat lebih banyak daripada Pass / Fail. Menggunakan ini dalam spam heuristically membuat proses lebih mudah dan lebih akurat. Gagal karena akun "pengaturan lanjutan" menunjukkan admin email tidak tahu apa yang dia lakukan dalam menyiapkan data SPF. Tidak ada pengaturan yang tidak dapat dijelaskan oleh SPF dengan benar.

Kriptografi tidak pernah bekerja secara absolut. Satu-satunya crypto yang diizinkan dalam DKIM biasanya membutuhkan sumber daya yang signifikan untuk dipecahkan. Kebanyakan orang menganggap ini cukup aman. Setiap orang harus mengevaluasi situasi mereka sendiri. Sekali lagi, DKIM memiliki peringkat lebih dari sekadar Pass / Fail.

Salah satu contoh di mana seseorang akan mendapat manfaat dari menggunakan keduanya: mengirim ke dua pihak yang berbeda di mana satu memeriksa SPF dan yang lainnya memeriksa DKIM. Contoh lain, mengirim ke pihak dengan konten yang biasanya memiliki peringkat tinggi dalam pengujian spam, tetapi itu diimbangi oleh DKIM dan SPF, memungkinkan surat dikirimkan.

Tidak diperlukan dalam kebanyakan kasus, meskipun administrator surat individual menetapkan aturan mereka sendiri. Keduanya membantu mengatasi berbagai aspek SPAM: SPF yang menyampaikan email dan DKIM menjadi integritas email dan keaslian asal.

Chris S
sumber
Ok, saya mengikuti poin Anda (terutama beberapa hanya menggunakan salah satu dari dua - bagaimana saya tidak melihat itu!). Jadi SPF dan DKIM mungkin memiliki pengaturan dan peringkat yang berbeda, tetapi secara keseluruhan, mereka harus berhadapan dengan koin yang sama. Sampai pada poin terakhir Anda: Sebuah email dari relay resmi (SPF) harus dipercaya sama banyaknya dengan tanda tangan DKIM yang valid .. Lagi pula, pemilik domain telah menyetujui keduanya. Saya baru saja menguji email saya dengan hanya SPF, dan sementara universitas dan gmail saya menerimanya, hotmail menganggapnya sebagai spam - mungkin karena mereka mengandalkan DIKM. Terima kasih atas komentar Anda, Chris!
pengguna yang dihapus 42
Hotmail menggunakan SenderID (begitu kata SPF 2.0), DKIM, SenderScore, PBLs, dan teknologi penyaringan mereka sendiri. Mereka agak tertutup tentang formula yang tepat.
Chris S
18

Ini dijawab beberapa waktu lalu, tetapi saya pikir jawaban yang diterima tidak memiliki alasan mengapa keduanya harus digunakan bersama untuk menjadi efektif.

SPF memeriksa IP hop server SMTP terakhir terhadap daftar yang diotorisasi. DKIM memvalidasi surat awalnya dikirim oleh domain yang diberikan, dan menjamin integritasnya.

Pesan bertanda DKIM yang valid dapat digunakan sebagai spam atau phishing dengan dikirim ulang tanpa modifikasi. SPF tidak memeriksa integritas pesan.

Bayangkan sebuah skenario di mana Anda menerima email bertanda DKIM yang sah (dari bank Anda, teman, apa pun), dan Anda menemukan cara yang baik untuk mengeksploitasi email ini tanpa modifikasi: maka Anda dapat mengirim ulang email ini ribuan kali ke orang yang berbeda. Karena tidak ada modifikasi surat, tanda tangan DKIM akan tetap valid dan pesan akan dianggap sah.

Bagaimanapun, SPF memeriksa asal (IP / DNS asli dari server SMTP) dari surat, jadi SPF akan mencegah penerusan surat karena Anda tidak dapat mengirim ulang surat yang valid melalui server SMTP yang dikonfigurasi dengan baik, dan surat yang datang dari IP lain akan menjadi ditolak, secara efektif mencegah pengiriman ulang pesan DKIM "valid" sebagai spam.

Pedro
sumber
Bisakah Anda memberikan beberapa contoh bagaimana surat dapat dieksploitasi tanpa modifikasi?
user3413723
Setiap email yang dimulai dengan "Pelanggan yang terhormat", "Pengguna yang terhormat", atau "Yang terhormat <bagian pertama dari alamat email Anda sebelum tanda @">. Inilah sebabnya mengapa penting bahwa surel yang sah untuk Anda selalu mengandung setidaknya 1 bagian dari informasi pribadi Anda, seperti bagian dari kode pos / pos Anda, atau nama lengkap Anda. (Itu membuat mereka lebih otentik dan tidak dapat digunakan kembali.)
Adambean
Tetapi jika bidang header telah ditandatangani, termasuk penerima, maka tentunya ini menghilangkan kemungkinan serangan replay terhadap penerima baru? yaitu Menambahkan tanda tangan h=from:to;( dari yang diperlukan dalam RFC 6376 , untuk menjadi opsional) seharusnya hanya memungkinkan untuk serangan replay pada penerima yang sama. Mana yang buruk, tetapi tidak seburuk yang disarankan jawaban ini.
Richard Dunn
4

Berikut adalah beberapa alasan Anda harus selalu mempublikasikan baik SPF dan DKIM.

  1. Beberapa penyedia kotak surat hanya mendukung satu atau yang lain dan beberapa mendukung keduanya tetapi lebih berat satu dari yang lain.

  2. DKIM melindungi email agar tidak diubah dalam perjalanan, SPF tidak.

Saya akan menambahkan DMARC ke daftar juga. Apa downside untuk selalu menerbitkan auth lengkap email?

Neil Anuskiewicz
sumber
1
"Apa downside untuk selalu menerbitkan auth email lengkap?", Usaha! Saya kira Devops sudah menjadi PITA apa lagi bata di dinding, atau 3 sebagai kasusnya.
Gordon Wrigley
Apa hubungan ISP dengan apa pun? Apakah maksud Anda penyedia email?
William
Ya, maksud saya penyedia kotak surat. Orang-orang sering mendapatkan layanan email dari ISP, jadi saya terbiasa mengatakan ISP.
Neil Anuskiewicz
Terima kasih telah menunjukkannya karena sekarang saya telah mengubahnya ke penyedia kotak pesan.
Neil Anuskiewicz