SPF vs. DKIM - Les cas d'utilisation exacts et les différences

20

Je suis désolé pour le titre vague. Je ne comprends pas bien pourquoi SPF et DKIM doivent être utilisés ensemble.

Premièrement: SPF peut passer là où il devrait échouer si l'expéditeur ou le DNS est "usurpé" et il peut échouer là où il devrait passer si une configuration avancée de mandataires et de redirecteurs est impliquée.

DKIM peut passer là où il devrait échouer, soit en raison d'une erreur / faiblesse de la cryptographie (nous excluons cela, d'où le point simplifié), soit parce que la requête DNS est usurpée.

Étant donné que l'erreur de cryptographie est exclue, la différence (comme je le vois) est que DKIM peut être utilisé dans des configurations où SPF échouerait. Je ne peux pas trouver d'exemples où l'on gagnerait à utiliser les deux. Si la configuration autorise SPF, DIKM ne doit pas ajouter de validation supplémentaire.

Quelqu'un peut-il me donner un exemple de l'avantage d'utiliser les deux?

utilisateur supprimé 42
la source

Réponses:

15

SPF a beaucoup plus de classements que Réussite / Échec. Leur utilisation dans la notation heuristique du spam rend le processus plus facile et plus précis. Un échec en raison de "configurations avancées" indique que l'administrateur de messagerie ne savait pas ce qu'il faisait lors de la configuration de l'enregistrement SPF. Il n'y a aucune configuration que SPF ne peut pas prendre en compte correctement.

La cryptographie ne fonctionne jamais dans l'absolu. Le seul crypto autorisé dans DKIM prend généralement des ressources importantes à casser. La plupart des gens considèrent cela assez sûr. Chacun devrait évaluer sa propre situation. Encore une fois, DKIM a plus de classements que simplement réussite / échec.

Un exemple où l'on gagnerait à utiliser les deux: l'envoi à deux parties différentes où l'une vérifie SPF et l'autre vérifie DKIM. Un autre exemple, l'envoi à une partie avec un contenu qui aurait normalement un rang élevé dans le test de spam, mais qui est compensé à la fois par DKIM et SPF, permettant la livraison du courrier.

Aucun n'est requis dans la plupart des cas, bien que les administrateurs de messagerie individuels définissent leurs propres règles. Les deux aident à aborder différentes facettes du SPAM: SPF étant qui relaie le courrier électronique et DKIM étant l'intégrité du courrier électronique et l'authenticité de l'origine.

Chris S
la source
D'accord, je suis vos points (surtout que certains peuvent simplement utiliser un seul des deux - comment n'ai-je pas vu ça!). Ainsi, SPF et DKIM peuvent avoir des paramètres et des classements différents, mais dans l'ensemble, ils doivent faire face à la même pièce. À votre dernier point: un courrier provenant d'un relais autorisé (SPF) doit être approuvé tout autant qu'une signature DKIM valide. Après tout, le propriétaire du domaine a approuvé les deux. Je viens de tester mon courrier avec seulement SPF, et alors que mon université et gmail semblent l'accepter, hotmail le considère comme du spam - peut-être parce qu'ils comptent sur DIKM. Merci pour ton commentaire Chris!
utilisateur supprimé 42
Hotmail utilise SenderID (SPF 2.0 pour ainsi dire), DKIM, SenderScore, PBL et leur propre technologie de filtrage. Ils sont un peu secrets sur la formule exacte.
Chris S
18

Cela a été répondu il y a quelque temps, mais je pense que la réponse acceptée ne précise pas pourquoi les deux doivent être utilisées ensemble pour être efficaces.

SPF vérifie l'IP du dernier tronçon de serveur SMTP par rapport à une liste autorisée. DKIM valide le courrier envoyé initialement par un domaine donné et garantit son intégrité.

Les messages signés DKIM valides peuvent être utilisés comme spam ou phishing en étant renvoyés sans aucune modification. SPF ne vérifie pas l'intégrité des messages.

Imaginez un scénario où vous recevez un e-mail signé DKIM valide (de votre banque, d'un ami, peu importe), et vous trouvez un bon moyen d'exploiter ce courrier sans modification: il vous suffit alors de renvoyer ce courrier des milliers de fois à différentes personnes. Comme il n'y a pas de modification du courrier, la signature DKIM sera toujours valide et le message passera comme légitime.

Quoi qu'il en soit, SPF vérifie l'origine (IP / DNS réel du serveur SMTP) du courrier, donc SPF empêchera le transfert du courrier car vous ne pouvez pas renvoyer un courrier valide via un serveur SMTP bien configuré, et le courrier provenant d'autres IP sera rejeté, empêchant efficacement le renvoi de messages DKIM "valides" comme spam.

Pedro
la source
Pourriez-vous donner quelques exemples de la façon dont le courrier peut être exploité sans modification?
user3413723
Tout e-mail commençant par un "Cher client", "Cher utilisateur" ou "Cher <première partie de votre adresse e-mail avant le signe @">. C'est pourquoi il est important que les e-mails légitimes pour vous contiennent toujours au moins 1 élément de vos informations personnelles, comme une partie de votre code postal ou postal, ou votre nom complet. (Cela les rend plus authentiques et non réutilisables.)
Adambean
Mais si les champs d'en-tête ont été signés, y compris les destinataires, cela supprime-t-il sûrement la possibilité d'une attaque de relecture contre de nouveaux destinataires? C'est-à-dire que l'ajout de signatures h=from:to;( d' être obligatoire dans la RFC 6376 , d' être facultatif) ne devrait permettre que des attaques de relecture sur le même destinataire. Ce qui est mauvais, mais pas aussi mauvais que ce que cette réponse suggère.
Richard Dunn
4

Voici quelques raisons pour lesquelles vous devez toujours publier à la fois SPF et DKIM.

  1. Certains fournisseurs de boîtes aux lettres ne prennent en charge que l'un ou l'autre et certains prennent en charge les deux mais pèsent l'un plus que l'autre.

  2. DKIM protège les e-mails contre les modifications pendant le transport, contrairement à SPF.

J'ajouterais également DMARC à la liste. Quel est l'inconvénient de toujours publier l'authentification complète des e-mails?

Neil Anuskiewicz
la source
1
"Quel est l'inconvénient de toujours publier une authentification par e-mail complète?", Effort! Je suppose que Devops est déjà un PITA, ce qui est une autre brique dans le mur, ou 3 selon le cas.
Gordon Wrigley
Qu'est-ce que le FAI a à voir avec quoi que ce soit? Voulez-vous dire fournisseur de messagerie?
William
Oui, je voulais dire fournisseur de boîtes aux lettres. Les gens recevaient souvent un service de messagerie électronique des FAI, alors j'ai pris l'habitude de dire FAI.
Neil Anuskiewicz
Merci de l'avoir signalé car je l'ai changé en fournisseur de boîtes aux lettres.
Neil Anuskiewicz