SPF 對齊對 DMARC 重要嗎？

在為組織設置 DMARC 策略時，進行 SPF 對齊是否重要？

我已經收集到：

• 大多數電子郵件服務提供商都支持自定義域的 DKIM。
• 並非所有電子郵件服務提供商都支持自定義域的 SPF。通常，它們會為自己的域傳遞 SPF 記錄，但這與發件人地址不一致。
• 使用 SPF 很容易遇到 DNS 查找限制。對於 DKIM，情況並非如此。
• 某些“轉發的電子郵件”（例如通過郵件列表）通常具有未通過的 SPF，但仍可通過 DKIM。其他人則完全重寫 From 欄位以避免 DMARC 問題。

鑑於上述情況，是否有充分的理由進行 SPF 對齊？還是 DKIM 對齊 + DMARC 政策總是足夠的？

注意：我並不是建議自定義域根本沒有 SPF 策略。僅使用外部服務提供商的域作為返迴路徑而不是自定義域，因此沒有 SPF 對齊。

所以在這種情況下，我們有：

From: someone@my-domain.net
Return-Path: something@service-provider.net (not aligned)
DKIM-Signature: d=my-domain.net (aligned)
Received from: IP belonging to service-provider.net, passing SPF for service-provider.net.

確實，DKIM 或 SPF 對齊對於 DMARC 就足夠了，並且 DKIM 更健壯，因為它可以更好地轉發。但是，重要的是要了解，儘管一起工作並相互依賴，但所有三者本質上都保護了電子郵件真實性的不同部分：

• SPF 保護您用作信封發件人的域
• DKIM 保護內容（包括簽​​名的標頭和正文）不被篡改
• DMARC（由 SPF、DKIM 或兩者輔助）在From標頭中保護您的域。

SPF 仍然有用：

• 如果您沒有限制性 SPF 政策，您的域可能會被濫用為信封發件人。在同一垃圾郵件中濫用來自不同域的不同弱點是很常見的：不受 SPF 保護的域被用於欺騙來自僅受 SPF 保護的域的郵件。
• SPF+DMARC 對齊對於尚不支持 DKIM 且仍需要從您的域發送電子郵件的服務很有幫助。
• 如果您有 SPF 並且已經使用 DKIM+DMARC 對齊，則沒有理由故意使用未對齊的域作為信封發件人，除非有來自第 3 方的限制。雖然不常見，但有時 DKIM 也會失敗，如果內容被修改，例如由於一些錯誤配置。額外的 SPF+DMARC 對齊可能有助於此類消息存活。

此外，並非每個接收 MTA 都按照 DMARC 規範（非標準、資訊性RFC 7489）中的描述處理 DMARC 策略。包括 Microsoft 在內的許多人都沒有p=reject按照設想（根據第 10.3 節），即連接階段拒絕或靜默丟棄郵件，而是將結果用作更複雜的垃圾郵件評分系統的一部分。在這種情況下，兩種對齊方式可能會讓您的資訊在他們眼中獲得更好的聲譽。

引用自：https://serverfault.com/questions/1024324