Зачем использовать DMARC, если SPF -all может выполнять эту работу?
С помощью DMARC вы можете определить, как получатель должен ручка для DKIM и SPF. Это также единственный способ узнать, что DKIM доступен и необходим, поскольку сам по себе DKIM применяется только к почте, уже подписанной им.
SPF защищает ваш домен от использования на уровне протокола SMTP в качестве отправителя конверта , но получатель видит только заголовки, которые SPF не защищает. Отправитель конверта может быть записан в заголовке Return-Path , но большинство пользователей когда-либо видят только From: и думают, что электронное письмо приходит с этого адреса. Только DKIM, применяемый с помощью DMARC, может защитить заголовок From .
Поскольку SPF + DMARC и DKIM + DMARC защищают от различных видов подделки, вы должны иметь их оба. Кроме того, согласование DMARC может сказать, что сообщение может быть неподписанным с помощью DKIM, пока SPF проходит, и что SPF не нужно проходить для подписанных DKIM сообщений. Это удобно, когда у вас есть несколько вариантов использования для одного почтового домена.
SPF указывает только адреса, которым разрешена отправка почты для вашего домена. Получатель должен решить, что делать с этой информацией.
DMARC позволяет вам точно указать, какие действия вы хотите, чтобы получатели предприняли, когда проверка SPF не удалась.
Они не являются избыточными, а дополняют друг друга.
TL; DR SPF может не защитит вас от спуфинга электронной почты с конкретным доменом. DMARC является обязательным.
Вот сценарий, который проходит защиту SPF -all .
Предположим, у вас есть домен a.com , а мне принадлежит b.com . Я установил v = spf1 {myserversIP} -all TXT SPF запись в DNS b.com и дополнительно установил почтовый сервер на хосте {myserversIP} использовать протокол SMTP для отправки электронных писем. Я использую (скрытый) в качестве своего адреса в конверте (который является заголовком Return-Path на принимающей стороне) и отправляю кому-то электронное письмо, помещая От: (скрыто) в тело письма. MDA получает мою электронную почту и выполняет следующие псевдодействия:
- Извлекает домен из
Return-Path: (скрыто) DNS-поиск записи SPFb.com, и получаетv = spf1 {myserversip} -all - Проверяет IP-адрес отправителя (он же IP-адрес моего хоста) по IP-адресам SPF
- Помечает электронную почту как аутентифицированную и действительную
- Поздравляем. Я только что отправил электронное письмо, выдавая себя за вас
Итак, как предотвратить эту ситуацию? На помощь приходит DMARC. DMARC добавляет важный новый механизм: выравнивание . Когда DMARC включен, MDA выполняет следующие псевдодействия после 3-го шага:
- Проверяет
Отивыравнивание доменов обратного пути(b.comпротивa.com) - Помечает электронную почту как неподтвержденную, поскольку выравнивание не выполнено.
- Поздравляем. DMARC предотвратил спуфинг электронной почты.
Вот и все. Надеюсь, мой ответ имеет смысл.
PS: Я являюсь соучредителем универсальной системы развертывания DMARC . Каждый день я общаюсь с множеством клиентов, чтобы объяснить важность DMARC и то, что в настоящее время это лучший отраслевой стандарт для защиты вашего домена от спуфинга электронной почты и фишинга.
В электронном письме два адреса отправителя: конверт из адреса и заголовок из адреса.SPF имеет брешь в безопасности в том, что он только аутентифицирует конверт с адреса, оставляя заголовок с адреса неаутентифицированным.
Таким образом, можно подделать заголовок с адреса, если только SPF развернут.
DMARC вводит выравнивание идентификаторов. (IA), чтобы залатать эту дыру в безопасности. Выравнивание идентификатора требует, чтобы домен в заголовке из адреса «согласовывался» с доменом в конверте из адреса.
Выравнивание идентификатора DMARC добавляет еще один уровень безопасности, чтобы блокировать попытки подделки заголовка из адреса в электронной почте.
Для получения дополнительной информации по идентификатору alignemtn см .: Выравнивание идентификатора DMARC