SPF vs DKIM - Kasus dan perbedaan penggunaan yang tepat

Saya minta maaf untuk judul yang tidak jelas. Saya tidak sepenuhnya mengerti mengapa SPF dan DKIM harus digunakan bersama.

Pertama: SPF bisa lewat di mana ia harus gagal jika pengirim atau DNS "palsu" dan itu bisa gagal di mana ia harus lulus jika beberapa pengaturan lanjutan proxy dan forwarder terlibat.

DKIM dapat melewati di mana ia harus gagal, baik karena kesalahan / kelemahan dalam kriptografi (kami mengesampingkan hal ini, maka titik yang disederhanakan), atau karena permintaan DNS palsu.

Karena kesalahan kriptografi dikesampingkan, perbedaannya (seperti yang saya lihat) adalah bahwa DKIM dapat digunakan dalam pengaturan di mana SPF akan gagal. Saya tidak dapat memberikan contoh di mana orang akan mendapat manfaat dari menggunakan keduanya. Jika pengaturan memungkinkan untuk SPF, maka DIKM seharusnya tidak menambahkan validasi tambahan.

Adakah yang bisa memberi saya contoh manfaat menggunakan keduanya?

SPF memiliki peringkat lebih banyak daripada Pass / Fail. Menggunakan ini dalam spam heuristically membuat proses lebih mudah dan lebih akurat. Gagal karena akun "pengaturan lanjutan" menunjukkan admin email tidak tahu apa yang dia lakukan dalam menyiapkan data SPF. Tidak ada pengaturan yang tidak dapat dijelaskan oleh SPF dengan benar.

Kriptografi tidak pernah bekerja secara absolut. Satu-satunya crypto yang diizinkan dalam DKIM biasanya membutuhkan sumber daya yang signifikan untuk dipecahkan. Kebanyakan orang menganggap ini cukup aman. Setiap orang harus mengevaluasi situasi mereka sendiri. Sekali lagi, DKIM memiliki peringkat lebih dari sekadar Pass / Fail.

Salah satu contoh di mana seseorang akan mendapat manfaat dari menggunakan keduanya: mengirim ke dua pihak yang berbeda di mana satu memeriksa SPF dan yang lainnya memeriksa DKIM. Contoh lain, mengirim ke pihak dengan konten yang biasanya memiliki peringkat tinggi dalam pengujian spam, tetapi itu diimbangi oleh DKIM dan SPF, memungkinkan surat dikirimkan.

Tidak diperlukan dalam kebanyakan kasus, meskipun administrator surat individual menetapkan aturan mereka sendiri. Keduanya membantu mengatasi berbagai aspek SPAM: SPF yang menyampaikan email dan DKIM menjadi integritas email dan keaslian asal.

Ini dijawab beberapa waktu lalu, tetapi saya pikir jawaban yang diterima tidak memiliki alasan mengapa keduanya harus digunakan bersama untuk menjadi efektif.

SPF memeriksa IP hop server SMTP terakhir terhadap daftar yang diotorisasi. DKIM memvalidasi surat awalnya dikirim oleh domain yang diberikan, dan menjamin integritasnya.

Pesan bertanda DKIM yang valid dapat digunakan sebagai spam atau phishing dengan dikirim ulang tanpa modifikasi. SPF tidak memeriksa integritas pesan.

Bayangkan sebuah skenario di mana Anda menerima email bertanda DKIM yang sah (dari bank Anda, teman, apa pun), dan Anda menemukan cara yang baik untuk mengeksploitasi email ini tanpa modifikasi: maka Anda dapat mengirim ulang email ini ribuan kali ke orang yang berbeda. Karena tidak ada modifikasi surat, tanda tangan DKIM akan tetap valid dan pesan akan dianggap sah.

Bagaimanapun, SPF memeriksa asal (IP / DNS asli dari server SMTP) dari surat, jadi SPF akan mencegah penerusan surat karena Anda tidak dapat mengirim ulang surat yang valid melalui server SMTP yang dikonfigurasi dengan baik, dan surat yang datang dari IP lain akan menjadi ditolak, secara efektif mencegah pengiriman ulang pesan DKIM "valid" sebagai spam.

Berikut adalah beberapa alasan Anda harus selalu mempublikasikan baik SPF dan DKIM.

1. Beberapa penyedia kotak surat hanya mendukung satu atau yang lain dan beberapa mendukung keduanya tetapi lebih berat satu dari yang lain.

2. DKIM melindungi email agar tidak diubah dalam perjalanan, SPF tidak.

Saya akan menambahkan DMARC ke daftar juga. Apa downside untuk selalu menerbitkan auth lengkap email?