SPF и DMARC - используется ли политика spf?
я понимаю, как SPF участвует в выравнивании DMARC, но я не могу понять одну вещь: это политика SPF ( -all или ~ все ) используется в DMARC? Или DMARC просто использует диапазоны IP-адресов?
Проблема в том, что, как мы все знаем, SPF прерывает пересылку . DKIM намного лучше, когда дело доходит до пересылки. Итак, теперь, когда у меня реализован DKIM + DMARC, могу ли я ослабить мою политику SPF, потому что DMARC позаботится о проверке выравнивания SPF?
Он просто проверяет, есть ли IP / хост в записи SPF, общая логика такова:
If the sending IP address is contained in the SPF record = SPF PASS
If the sending IP address is not contained in the SPF record = SPF FAIL
(см. Такие сайты, как http://knowledge.ondmarc.com/learn -about-dmarc / all-you-need-to-know-about-spf-dkim-and-dmarc где приведена вышеупомянутая логика).
Политики DMARC и SPF независимы. Я бы не стал менять политики SPF, потому что есть политика DMARC. Следует учитывать, что не все почтовые серверы используют DMARC, но используют SPF. Так что политика SPF должна иметь смысл сама по себе.
DMARC фактически оценивает ваш результат SPF, ища PASS, а также выравнивание между smtp.mailfrom доменом. и домен header.from . Пока SPF не производит проход, (есть ли у вас ? All , ~ all или -all в конце), DMARC не будет считать результат SPF успешным.
То же самое и с DKIM. Домен header.d должен выровняться с доменом header.from , и результат должен быть PASS.
Однако, чтобы частично ответить на ваш вопрос, некоторые серверы будут интерпретировать SPF жесткий сбой ( -all ) в качестве причины для отклонения ваших электронных писем, даже если он проходит DMARC на DKIM.
С другой стороны, не все принимающие серверы проверяют DMARC. Таким образом, мягкий сбой SPF ( ~ all ) сам по себе не приведет к отклонению электронного письма (вообще говоря). В то же время SPF не самый лучший инструмент для защиты от спуфинга, поскольку SPF проверяется на домене smtp.mailfrom вместо домена header.from , и только последний проверяется. видимый для получателя (в большинстве клиентских программ). И, следовательно, требование согласования в DMARC.
С точки зрения того, что лучше для пересылки: это зависит. Некоторые серверы пересылки перепишут Return-Path (также известный как snmtp.mailfrom ), что исправит SPF, но нарушит выравнивание DMARC. Другие, например, добавят фрагмент текста в поле subject , что, в свою очередь, нарушит подпись DKIM (если subject был одним из подписанных заголовков). Это не так однозначно. Authenticated Received Chain (ARC) - это протокол, который полезен в этом отношении, хотя он все еще находится в разработке.
Я бы посоветовал использовать SPF с механизмом мягкого сбоя и использовать DMARC с политикой отклонения . Кроме того, для достижения оптимальных результатов используйте дополнительные SPF и DKIM.
Мое мнение: Вы публикуете четкую директиву в DMARC. Получатель должен провести соответствующие проверки. Фактически, принимающий сервер можно настроить так, чтобы он полностью игнорировал как политику отказа SPF (жесткий), так и политику отклонения DMARC. Это не ответственность отправителя, а прерогатива получателя.