Perché impostare DMARC per SPF se è già configurato per DKIM?

2

Ho SPF e DKIM. Sto pensando di aggiungere DMARC per dire ai ricevitori di aspettarsi SPF e / o DKIM. Ho letto che è meglio impostare DMARC con SPF e DKIM, ma non capisco esattamente quando averlo per entrambi sarebbe meglio che averlo solo per DKIM. C'è qualche scenario in cui avere DMARC per SPF e DKIM potrebbe classificare le email meglio di avere solo DMARC per DKIM? Quanto è comune questo scenario?

    
posta Qaz 10.10.2017 - 22:45
fonte

1 risposta

2

Non penso che ci sia una risposta semplice per la tua domanda. Sia SPF che DKIM sono utili per combattere lo spam ma mancano l'allineamento tra il mittente dichiarato nell'intestazione della posta rispetto alla busta SMTP (SPF) o alla firma (DKIM). Solo DMARC ha fornito questo importante allineamento e aggiunge un criterio su come gestire gli errori in primo piano.

Tuttavia, consentendo a DKIM o SPF di fornire l'allineamento necessario DMARC è sufficiente spoofare con successo uno di questi. Ciò significa o utilizzare in modo errato una politica SPF eccessivamente ampia o utilizzare le firme DKIM solitamente scadenti per modificare il contenuto della posta mantenendo intatta la firma. Pertanto, richiedendo solo uno dei SPF o DKIM per avere successo DMARC lascia che l'attaccante si concentri sul problema più debole.

Pertanto, una raccomandazione potrebbe essere quella di implementare un meccanismo in modo corretto e rigoroso e non implementare l'altro e in questo modo prendere la scelta del bersaglio più debole dall'attaccante. In questo caso, preferirei implementare DKIM, ma implementarlo correttamente: firmare tutti gli header di posta rilevanti (ce ne sono molti), sovrintendere tutti questi elementi per proteggerli dalla duplicazione dell'intestazione e anche assicurarti che la posta firmata sia pulita a 7 bit. Per ulteriori informazioni, consultare Rompere DKIM - per scopo e per caso ( disclaimer: questa è la mia ricerca).

Il vantaggio di implementare solo DKIM è che si può concentrare le risorse per fare bene questa cosa. Oltre a ciò fornisce la protezione più strong se correttamente implementata. Ma il loro è anche un grande svantaggio di non fare SPF: SPF è molto più implementato di DKIM o DMARC e quindi la possibilità è solo maggiore che una soluzione anti-spam implementa solo SPF ma non DMARC e / o DKIM. Mentre i numeri variano molto da fonti diverse, nelle mail a cui ho avuto accesso circa il 40% erano coperti da SPF, ma solo circa il 9% aveva una firma DKIM e circa il 6% una politica DMARC.

In sintesi: la cosa migliore è probabilmente avere sia firme DKIM forti sia politiche SPF piccole e rigorose. Fare questo correttamente non è così semplice come potrebbe sembrare. Con un insieme più limitato di risorse, potrebbe essere quindi preferibile ottenere uno di questi diritti (consigliato: DKIM) e saltare l'altro completamente in modo che un utente malintenzionato non abbia la possibilità di scegliere il problema più debole.

    
risposta data 11.10.2017 - 07:02
fonte

Leggi altre domande sui tag