SPF vs. DKIM - Die genauen Anwendungsfälle und Unterschiede

20

Der vage Titel tut mir leid. Ich verstehe nicht ganz, warum SPF und DKIM zusammen verwendet werden sollten.

Erstens: SPF kann passieren, wo es fehlschlagen sollte, wenn der Absender oder DNS "gefälscht" ist, und es kann passieren, wo es passieren sollte, wenn einige erweiterte Einstellungen von Proxys und Weiterleitungen beteiligt sind.

DKIM kann passieren, wo es fehlschlagen sollte, entweder aufgrund eines Fehlers / einer Schwäche in der Kryptografie (wir schließen dies aus, daher der vereinfachte Punkt) oder weil die DNS-Abfrage gefälscht ist.

Da der Kryptografiefehler ausgeschlossen ist, besteht der Unterschied (wie ich es sehe) darin, dass DKIM in Setups verwendet werden kann, in denen SPF fehlschlagen würde. Ich kann keine Beispiele nennen, bei denen man von beidem profitieren würde. Wenn das Setup SPF zulässt, sollte DIKM keine zusätzliche Validierung hinzufügen.

Kann mir jemand ein Beispiel geben, wie vorteilhaft es ist, beides zu nutzen?

gelöschter Benutzer 42
quelle

Antworten:

15

SPF hat viel mehr Rankings als Pass / Fail. Durch die Verwendung dieser Informationen bei der heuristischen Spam-Bewertung wird der Vorgang einfacher und genauer. Ein Fehler aufgrund "erweiterter Einstellungen" zeigt an, dass der E-Mail-Administrator nicht wusste, was er beim Einrichten des SPF-Datensatzes tat. Es gibt kein Setup, das SPF nicht korrekt berücksichtigen kann.

Kryptographie funktioniert niemals absolut. Die einzige Krypto, die in DKIM zulässig ist, benötigt normalerweise erhebliche Ressourcen, um beschädigt zu werden. Die meisten Leute halten dies für sicher genug. Jeder sollte seine eigenen Situationen einschätzen. Auch hier hat DKIM mehr Rankings als nur Bestanden / Nicht Bestanden.

Ein Beispiel, bei dem man von beidem profitieren würde: Senden an zwei verschiedene Parteien, wobei eine SPF und die andere DKIM prüft. Ein weiteres Beispiel ist das Senden an eine Partei mit Inhalten, die im Spam-Test normalerweise einen hohen Stellenwert haben, die jedoch sowohl von DKIM als auch von SPF ausgeglichen werden, sodass die E-Mails zugestellt werden können.

Beides ist in den meisten Fällen nicht erforderlich, obwohl einzelne E-Mail-Administratoren ihre eigenen Regeln festlegen. Beides hilft dabei, verschiedene Aspekte von SPAM anzusprechen: SPF ist derjenige, der E-Mail weiterleitet, und DKIM ist die Integrität der E-Mail und die Authentizität des Ursprungs.

Chris S
quelle
Ok, ich folge deinen Punkten (vor allem, dass manche einfach nur einen der beiden verwenden - wie habe ich das nicht gesehen!). SPF und DKIM haben also möglicherweise unterschiedliche Einstellungen und Rankings, aber insgesamt stehen sie vor der gleichen Medaille. Zu Ihrem letzten Punkt: Eine Mail von einem autorisierten Relay (SPF) sollte genauso vertrauenswürdig sein wie eine gültige DKIM-Signatur. Immerhin hat der Domaininhaber von beiden zugestimmt. Ich habe meine E-Mails nur mit SPF getestet, und während sich meine Universität und mein Google Mail-Konto damit befassen, wird sie von Hotmail als Spam eingestuft - vielleicht weil sie auf DIKM angewiesen sind. Danke für deinen Kommentar Chris!
Benutzer gelöscht 42
Hotmail verwendet SenderID (sozusagen SPF 2.0), DKIM, SenderScore, PBLs und ihre eigene Filtertechnologie. Sie kennen die genaue Formel nicht genau.
Chris S
18

Dies wurde vor einiger Zeit beantwortet, aber ich denke, der akzeptierten Antwort fehlt der Grund, warum beide zusammen verwendet werden müssen , um effektiv zu sein.

SPF vergleicht die IP des letzten SMTP-Server-Hops mit einer autorisierten Liste. DKIM überprüft, ob die E-Mail ursprünglich von einer bestimmten Domain gesendet wurde, und garantiert deren Integrität.

Gültige DKIM-signierte Nachrichten können als Spam oder Phishing verwendet werden, indem sie ohne Änderung erneut gesendet werden. SPF überprüft die Nachrichtenintegrität nicht.

Stellen Sie sich ein Szenario vor, in dem Sie eine gültige DKIM-signierte E-Mail erhalten (von Ihrer Bank, einem Freund oder was auch immer) und eine gute Möglichkeit finden, diese E-Mail ohne Änderungen zu nutzen: Dann können Sie diese E-Mail Tausende Male an verschiedene Personen senden. Da die E-Mail nicht geändert wurde, ist die DKIM-Signatur weiterhin gültig und die Nachricht wird als legitim weitergegeben.

Auf jeden Fall überprüft SPF den Ursprung (echte IP / DNS des SMTP-Servers) der E-Mail, sodass SPF die Weiterleitung der E-Mail verhindert, da Sie eine gültige E-Mail nicht über einen gut konfigurierten SMTP-Server erneut senden können abgelehnt, wodurch das erneute Senden von "gültigen" DKIM-Nachrichten als Spam effektiv verhindert wird.

Pedro
quelle
Würden Sie bitte einige Beispiele nennen, wie die E-Mail ohne Änderung genutzt werden kann?
user3413723
Jede E-Mail, die mit einem generischen "Sehr geehrter Kunde", "Sehr geehrter Benutzer" oder "Sehr geehrter <erster Teil Ihrer E-Mail-Adresse vor dem @ -Zeichen"> beginnt. Aus diesem Grund ist es wichtig, dass legitime E-Mails für Sie immer mindestens 1 Teil Ihrer persönlichen Daten enthalten, z. B. einen Teil Ihrer Postleitzahl oder Ihren vollständigen Namen. (Das macht sie authentischer und nicht wiederverwendbar.)
Adambean
Wenn jedoch die Header-Felder einschließlich der Empfänger signiert wurden, ist die Möglichkeit eines Wiederholungsangriffs auf neue Empfänger dann mit Sicherheit ausgeschlossen. dh Hinzufügen von Signaturen h=from:to;( von in erforderlich ist , RFC 6376 , um optional ist) sollte nur für Replay - Attacken auf den gleichen Empfänger ermöglichen. Was schlecht ist, aber nicht so schlecht, wie diese Antwort vermuten lässt.
Richard Dunn
4

Hier sind einige Gründe, warum Sie immer sowohl SPF als auch DKIM veröffentlichen sollten.

  1. Einige Postfachanbieter unterstützen nur den einen oder den anderen und einige unterstützen beide, gewichten jedoch mehr als den anderen.

  2. DKIM schützt E-Mails vor Änderungen während der Übertragung, SPF nicht.

Ich würde der Liste auch DMARC hinzufügen. Was ist der Nachteil, wenn immer eine vollständige E-Mail-Authentifizierung veröffentlicht wird?

Neil Anuskiewicz
quelle
1
"Was ist der Nachteil, wenn immer eine vollständige E-Mail-Authentifizierung veröffentlicht wird?", Aufwand! Ich denke, Devops ist bereits eine PITA, was ist ein weiterer Stein in der Wand, oder 3, wie der Fall sein kann.
Gordon Wrigley
Was hat der ISP mit irgendetwas zu tun? Meinen Sie Mail-Provider?
William
Ja, ich meinte den Postfachanbieter. Früher bekamen die Leute oft E-Mail-Dienste von Internetdienstanbietern, deshalb pflegte ich, ISP zu sagen.
Neil Anuskiewicz
Vielen Dank, dass Sie darauf hingewiesen haben, da ich es jetzt zum Postfachanbieter geändert habe.
Neil Anuskiewicz