risultato della politica DMARC quando uno di SPF e DKIM esattamente non riesce e esattamente uno riesce

2

L'inoltro e-mail può interrompere SPF, ma non dovrebbe interrompere DKIM. Voglio fare una politica DMARC che valuterà di "passare" quando passa DKIM o SPF e "fallisce" quando non passa né DKIM né SPF. È possibile? Se sì, come si fa?

Sto cercando di comprendere il risultato di una valutazione della politica DMARC in cui esattamente uno di SPF e DKIM fallisce e uno riesce. Ho letto RFC7489 e I ' ho trovato queste due citazioni:

DMARC evaluation can only yield a "pass" result after one of the underlying authentication mechanisms passes for an aligned identifier.

Final disposition of a message is always a matter of local policy. An operator that wishes to favor DMARC policy over SPF policy, for example, will disregard the SPF policy, since enacting an SPF-determined rejection prevents evaluation of DKIM; DKIM might otherwise pass, satisfying the DMARC evaluation. There is a trade-off to doing so, namely acceptance and processing of the entire message body in exchange for the enhanced protection DMARC provides.

Enfasi sulla mia.

Da queste citazioni, non è chiaro cosa dovrebbe accadere quando DKIM ha esito positivo e SPF non riesce; la valutazione potrebbe passare non è qualcosa su cui basare una decisione.

    
posta jornane 16.10.2017 - 16:23
fonte

2 risposte

3

dalla mia comprensione della RFC questo dovrebbe essere il comportamento predefinito. se hai impostato il campo fo nel record dmarc, lo modificherà.

I revisori sono autorizzati a elaborare il messaggio come ritengono opportuno e possono rifiutare un messaggio in un errore spf (con un meccanismo di rifiuto "-"), ma lo standard viene implementato in modo completo e passa DKIM, con l'impostazione predefinita per impostazione di 0, il messaggio passerà l'autenticazione.

Se il record SPF è impostato su softfail , questo dovrebbe consentire al DKIM di essere elaborato e le polizze DMARC per superare il risultato SPF nella maggior parte dei casi.

    
risposta data 06.12.2017 - 14:51
fonte
0

Solo una DKIM / SPF è necessario per DMARC per passare:

  • Se DKIM verifica l'allineamento, passa DMARC - non viene attivata alcuna politica (indipendentemente dall'SPF)
  • Se SPF passa con l'allineamento, passa DMARC - nessun criterio viene attivato (indipendentemente da DKIM)

DMARC passes when either SPF or DKIM is verified and aligned.
DMARC can neither explicitly require SPF, nor explicitly require DKIM, nor both.

Una firma DKIM allineata implica che il relay di invio è stato autorizzato, quindi richiedere entrambi sembra non necessario. Se si desidera richiedere sempre il passaggio di DKIM, non pubblicare SPF o (preferibilmente) indicare a SPF di non accettare tutto (ad esempio v=spf1 ~all ). Se vuoi richiedere sempre il passaggio SPF, non utilizzare DKIM o assicurati che non sia allineato.

L'inoltro delle email interromperà SPF (a causa del routing tramite altri relè) e può anche interrompere DKIM (a causa, ad esempio, delle modifiche alle mailing list sull'oggetto e sul corpo) a meno che tu (e i tuoi destinatari!) non usi Catena di ricezione autenticata (ARC) .

    
risposta data 15.03.2018 - 19:20
fonte

Leggi altre domande sui tag