Spf

SPF 對齊對 DMARC 重要嗎?

  • July 7, 2020

在為組織設置 DMARC 策略時,進行 SPF 對齊是否重要?

我已經收集到:

  • 大多數電子郵件服務提供商都支持自定義域的 DKIM。
  • 並非所有電子郵件服務提供商都支持自定義域的 SPF。通常,它們會為自己的域傳遞 SPF 記錄,但這與發件人地址不一致。
  • 使用 SPF 很容易遇到 DNS 查找限制。對於 DKIM,情況並非如此。
  • 某些“轉發的電子郵件”(例如通過郵件列表)通常具有未通過的 SPF,但仍可通過 DKIM。其他人則完全重寫 From 欄位以避免 DMARC 問題。

鑑於上述情況,是否有充分的理由進行 SPF 對齊?還是 DKIM 對齊 + DMARC 政策總是足夠的?

注意:我並不是建議自定義域根本沒有 SPF 策略。僅使用外部服務提供商的域作為返迴路徑而不是自定義域,因此沒有 SPF 對齊。

所以在這種情況下,我們有:

From: someone@my-domain.net
Return-Path: something@service-provider.net (not aligned)
DKIM-Signature: d=my-domain.net (aligned)
Received from: IP belonging to service-provider.net, passing SPF for service-provider.net.

確實,DKIM 或 SPF 對齊對於 DMARC 就足夠了,並且 DKIM 更健壯,因為它可以更好地轉發。但是,重要的是要了解,儘管一起工作並相互依賴,但所有三者本質上都保護了電子郵件真實性的不同部分:

  • SPF 保護您用作信封發件人的域
  • DKIM 保護內容(包括簽​​名的標頭和正文)不被篡改
  • DMARC(由 SPF、DKIM 或兩者輔助)在From標頭中保護您的域。

SPF 仍然有用:

  • 如果您沒有限制性 SPF 政策,您的域可能會被濫用為信封發件人。在同一垃圾郵件中濫用來自不同域的不同弱點是很常見的:不受 SPF 保護的域被用於欺騙來自僅受 SPF 保護的域的郵件。
  • SPF+DMARC 對齊對於尚不支持 DKIM 且仍需要從您的域發送電子郵件的服務很有幫助。
  • 如果您有 SPF 並且已經使用 DKIM+DMARC 對齊,則沒有理由故意使用未對齊的域作為信封發件人,除非有來自第 3 方的限制。雖然不常見,但有時 DKIM 也會失敗,如果內容被修改,例如由於一些錯誤配置。額外的 SPF+DMARC 對齊可能有助於此類消息存活。

此外,並非每個接收 MTA 都按照 DMARC 規範(非標準、資訊性RFC 7489)中的描述處理 DMARC 策略。包括 Microsoft 在內的許多人都沒有p=reject按照設想(根據第 10.3 節),即連接階段拒絕靜默丟棄郵件,而是將結果用作更複雜的垃圾郵件評分系統的一部分。在這種情況下,兩種對齊方式可能會讓您的資訊在他們眼中獲得更好的聲譽。

引用自:https://serverfault.com/questions/1024324