Предоставляет ли SPF преимущества наряду с DKIM+DMARC?

У меня есть домен, с которого я отправляю электронные письма через Mailchimp и Google. Я настроил DKIM для них обоих и добавил запись DMARC (для тестирования банкомата). Я собираю отчеты о сбоях DMARC, и подавляющее большинство этих отчетов относится к сбоям SPF.

Насколько я понимаю, SPF — это белый список IP-адресов/хостов, которые могут отправлять электронные письма, а DKIM — это ключ, который отправитель должен использовать для подписи электронных писем. Мне кажется, что DKIM лучше подходит для защиты от спуфинга.

Везде, где я ищу, я вижу только то, что SPF необходим для защиты электронной почты, но я не понимаю, почему в моем случае. Поскольку DKIM настроен, только Mailchimp и Google могут отправлять электронные письма, а DMARC заставит получателя отклонять электронные письма из любого другого места. Ограничение IP-адресов, похоже, ничего не добавляет к этой смеси.

Можно ли отключить SPF с помощью +all в этом случае? Каков сценарий, при котором я буду менее защищен, если сделаю это?

SPF, DKIM и DMARC работают вместе, чтобы повысить доверие к вашему домену и доставку вашей электронной почты в почтовые ящики. Но важно помнить, что система электронной почты получателя может свободно обрабатывать ваши электронные письма любым способом, который им нужен. Таким образом, не гарантируется, что какой-либо один или несколько из этих механизмов реализованы должным образом.

Самое главное в SPF и DKIM по отдельности — это то, что они не гарантируют, что от заголовок аутентифицируется. Это адрес электронной почты, который ваш получатель видит в своем почтовом клиенте. Таким образом, они неэффективны для определения подлинности того, что видит конечный пользователь.

Для SPF проверяется только домен, указанный в Обратный путь заголовок (он же Envelope From) в SMTP-сообщении. Это не адрес, который видит конечный пользователь.

Для DKIM важен только домен, указанный в д= параметр в dkim-подпись заголовок. Опять же, конечный пользователь этого не видит.

DMARC исправляет это. DMARC требует, чтобы «выравнивание» было правильным на любом SPF или же ДКИМ.

• Чтобы SPF находился в «выравнивании» домена в от заголовок должен соответствовать домену в Обратный путь заголовок. Это редко возможно при отправке электронной почты через сторонних провайдеров массовой рассылки, потому что Обратный путь это то место, где отказы и жалобы идут, что провайдер отслеживает и часто является адресом электронной почты, управляемым третьей стороной. Вот почему в отчетах DMARC вы видите ошибки SPF.
• Для DKIM домен, указанный в д= поле в dkim-подпись заголовок должен соответствовать домену в от заголовок. Этого можно добиться, убедившись, что сторонний отправитель (например, Mailchimp) правильно настроен для подписи DKIM, и вы добавили соответствующие записи DNS в свой домен.

Эта проверка «выравнивания» гарантирует, что то, что конечный пользователь видит в своем почтовом клиенте, аутентифицировано либо SPF, либо DKIM. Если проходящая запись SPF или запись DKIM соответствует от заголовок (то, что видит конечный пользователь), сообщение проходит DMARC. В противном случае он не проходит DMARC.

Обратите внимание, что эти протоколы проверяют только «доменное имя» в адресе электронной почты. Часть после @ подписать. Ни один из них не проверяет действительность части имени пользователя. Часть перед @ подписать.

Итак, вы видите, что и SPF, и DKIM необходимы для полноценной работы DMARC. Все 3 необходимы для правильного потока почты. И не все системы электронной почты получателя реализуют стандарты одинаково или правильно.

Огромным разочарованием для системных администраторов является то, что множество отправителей до сих пор не настроили эти 3 стандарта должным образом при отправке электронной почты. И, к сожалению, вышеперечисленные основные принципы редко где должным образом объясняются.

Да, поскольку не все серверы, к сожалению, проверяют DKIM/DMARC при приеме, но проверка SPF в настоящее время более интегрирована/развернута.

Примером может служить сервер On-Prem Exchange. Запись SPF можно проверить с помощью набора правил AntiSpam с пограничной транспортной ролью в более поздней версии, но для включения DKIM/DMARC требуется сторонняя интеграция.

Удаление вашей записи SPF в таком состоянии может сделать вас уязвимым для поддельной электронной почты для организаций, которые находятся в таком сценарии.

Хотя только авторизованные серверы могут подписывать с помощью DKIM, в стандарте DKIM нет ничего, что могло бы сообщить принимающему серверу, что сообщения из вашего домена ДОЛЖНЫ быть подписаны с помощью DKIM. С точки зрения почтовых стандартов принимающий сервер не может отличить авторизованные отправляющие серверы от неавторизованных отправляющих серверов.

Возможная проблема, которая может возникнуть, заключается в том, что для принимающих серверов, которые не используют тесты DMARC, ваш домен будет иметь высокую вероятность попадания в черный список, поскольку спамеры обнаружат, что подделка тривиальна.