С помощью DMARC вы можете определить, как получатель должен ручка для DKIM и SPF. Это также единственный способ узнать, что DKIM доступен и необходим, поскольку сам по себе DKIM применяется только к почте, уже подписанной им.
SPF защищает ваш домен от использования на уровне протокола SMTP в качестве отправителя конверта , но получатель видит только заголовки, которые SPF не защищает. Отправитель конверта может быть записан в заголовке Return-Path
, но большинство пользователей когда-либо видят только From:
и думают, что электронное письмо приходит с этого адреса. Только DKIM, применяемый с помощью DMARC, может защитить заголовок From
.
Поскольку SPF + DMARC и DKIM + DMARC защищают от различных видов подделки, вы должны иметь их оба. Кроме того, согласование DMARC может сказать, что сообщение может быть неподписанным с помощью DKIM, пока SPF проходит, и что SPF не нужно проходить для подписанных DKIM сообщений. Это удобно, когда у вас есть несколько вариантов использования для одного почтового домена.
SPF указывает только адреса, которым разрешена отправка почты для вашего домена. Получатель должен решить, что делать с этой информацией.
DMARC позволяет вам точно указать, какие действия вы хотите, чтобы получатели предприняли, когда проверка SPF не удалась.
Они не являются избыточными, а дополняют друг друга.
TL; DR SPF может не защитит вас от спуфинга электронной почты с конкретным доменом. DMARC является обязательным.
Вот сценарий, который проходит защиту SPF -all
.
Предположим, у вас есть домен a.com
, а мне принадлежит b.com
. Я установил v = spf1 {myserversIP} -all
TXT SPF запись в DNS b.com
и дополнительно установил почтовый сервер на хосте {myserversIP}
использовать протокол SMTP для отправки электронных писем. Я использую (скрытый) в качестве своего адреса в конверте (который является заголовком Return-Path
на принимающей стороне) и отправляю кому-то электронное письмо, помещая От: (скрыто) в тело письма. MDA получает мою электронную почту и выполняет следующие псевдодействия:
Return-Path: (скрыто) DNS-поиск записи SPF b.com
, и получает v = spf1 {myserversip} -all
Итак, как предотвратить эту ситуацию? На помощь приходит DMARC. DMARC добавляет важный новый механизм: выравнивание . Когда DMARC включен, MDA выполняет следующие псевдодействия после 3-го шага:
От
и выравнивание доменов обратного пути
( b.com
против a.com
) Вот и все. Надеюсь, мой ответ имеет смысл.
PS: Я являюсь соучредителем универсальной системы развертывания DMARC . Каждый день я общаюсь с множеством клиентов, чтобы объяснить важность DMARC и то, что в настоящее время это лучший отраслевой стандарт для защиты вашего домена от спуфинга электронной почты и фишинга.
В электронном письме два адреса отправителя: конверт из адреса и заголовок из адреса.SPF имеет брешь в безопасности в том, что он только аутентифицирует конверт с адреса, оставляя заголовок с адреса неаутентифицированным.
Таким образом, можно подделать заголовок с адреса, если только SPF развернут.
DMARC вводит выравнивание идентификаторов. (IA), чтобы залатать эту дыру в безопасности. Выравнивание идентификатора требует, чтобы домен в заголовке из адреса «согласовывался» с доменом в конверте из адреса.
Выравнивание идентификатора DMARC добавляет еще один уровень безопасности, чтобы блокировать попытки подделки заголовка из адреса в электронной почте.
Для получения дополнительной информации по идентификатору alignemtn см .: Выравнивание идентификатора DMARC