SPF có mang lại lợi ích cùng với DKIM+DMARC không?

Tôi có một miền để gửi email qua Mailchimp và Google. Tôi đã thiết lập DKIM cho cả hai và thêm bản ghi DMARC (để kiểm tra atm). Tôi thu thập các báo cáo về lỗi DMARC và phần lớn các báo cáo này là lỗi SPF.

Theo hiểu biết của tôi, SPF là danh sách cho phép của IP/máy chủ lưu trữ có thể gửi email và DKIM là khóa mà người gửi phải sử dụng để ký email. Đối với tôi, có vẻ như DKIM tốt hơn cho việc bảo vệ giả mạo.

Tôi tìm kiếm ở mọi nơi tôi chỉ thấy rằng SPF là cần thiết để bảo vệ email, nhưng tôi không thể hiểu tại sao trong trường hợp của mình. Vì DKIM đã được thiết lập nên chỉ Mailchimp và Google mới có thể gửi email và DMARC sẽ khiến người nhận từ chối email từ bất kỳ nơi nào khác. Hạn chế địa chỉ IP dường như không thêm bất cứ điều gì vào hỗn hợp này.

Có thể tắt SPF bằng +all trong trường hợp này không? Kịch bản mà tôi ít được bảo vệ hơn nếu tôi làm điều đó là gì?

SPF, DKIM và DMARC đều phối hợp với nhau để tăng độ tin cậy cho miền của bạn và gửi email của bạn đến hộp thư đến. Tuy nhiên, điều quan trọng cần nhớ là hệ thống email của người nhận được tự do xử lý email của bạn theo bất kỳ cách nào họ muốn. Vì vậy, không đảm bảo rằng bất kỳ một hoặc nhiều cơ chế nào trong số này được thực hiện đúng cách.

Điều quan trọng nhất chỉ riêng về SPF và DKIM là không có gì đảm bảo rằng từ tiêu đề được xác thực. Đây là địa chỉ e-mail mà người nhận của bạn nhìn thấy trong ứng dụng thư khách của họ. Vì vậy, chúng không hiệu quả để xác định xem những gì người dùng cuối nhìn thấy có phải là xác thực hay không.

Đối với SPF, nó chỉ kiểm tra tên miền được chỉ định trong đường dẫn trở lại tiêu đề (còn gọi là Envelope From) trong thông báo SMTP. Đây không phải là địa chỉ mà người dùng cuối nhìn thấy.

Đối với DKIM, nó chỉ quan tâm đến tên miền được chỉ định trong d= tham số trong chữ ký dkim tiêu đề. Một lần nữa, người dùng cuối không thấy điều này.

DMARC sửa lỗi này. DMARC yêu cầu "căn chỉnh" phải chính xác trên SPF hoặc ĐKIM.

• Để SPF nằm trong "căn chỉnh" miền trong từ tiêu đề phải khớp với tên miền trong đường dẫn trở lại tiêu đề. Điều này hiếm khi thực hiện được khi gửi e-mail thông qua các nhà cung cấp dịch vụ thư hàng loạt bên thứ ba vì đường dẫn trở lại là nơi bị trả lại và khiếu nại mà nhà cung cấp theo dõi và thường là địa chỉ email do bên thứ ba quản lý. Đây là lý do tại sao bạn thấy lỗi SPF trong báo cáo DMARC của mình.
• Đối với DKIM, miền được chỉ định trong d= lĩnh vực trong chữ ký dkim tiêu đề phải khớp với tên miền trong từ tiêu đề. Điều này có thể được thực hiện bằng cách đảm bảo rằng người gửi bên thứ ba (tức là Mailchimp) được định cấu hình đúng để ký DKIM và bạn đã thêm các bản ghi DNS thích hợp vào miền của mình.

Kiểm tra "căn chỉnh" này đảm bảo rằng những gì người dùng cuối nhìn thấy trong ứng dụng email khách của họ được xác thực bởi SPF hoặc DKIM. Nếu một bản ghi SPF đi qua hoặc bản ghi DKIM phù hợp với từ tiêu đề (những gì người dùng cuối nhìn thấy), thông báo sẽ vượt qua DMARC. Mặt khác, nó không thành công DMARC.

Lưu ý rằng các giao thức này chỉ xem xét kỹ lưỡng phần âtên miềnâ của địa chỉ email. Phần sau khi @ dấu hiệu. Không cái nào trong số này kiểm tra tính hợp lệ của phần tên người dùng. Phần trước khi @ dấu hiệu.

Vì vậy, bạn có thể thấy rằng cả SPF và DKIM đều cần thiết để DMARC hoạt động đầy đủ. Cả 3 đều cần thiết cho luồng thư thích hợp. Và, không phải tất cả các hệ thống email của người nhận đều thực hiện các tiêu chuẩn theo cùng một cách hoặc chính xác.

Một sự thất vọng lớn đối với các quản trị viên hệ thống là rất nhiều người gửi vẫn chưa cấu hình đúng 3 tiêu chuẩn này khi gửi e-mail. Và, thật đáng buồn, hiếm khi các nguyên tắc cơ bản trên được giải thích đúng ở bất cứ đâu.

Có, vì không phải tất cả các máy chủ đều kiểm tra DKIM/DMARC một cách đáng tiếc khi tiếp nhận, nhưng việc kiểm tra SPF hiện được tích hợp/triển khai nhiều hơn.

Một ví dụ là máy chủ của On-Prem Exchange. Bản ghi SPF có thể được kiểm tra bằng bộ quy tắc AntiSpam, với Vai trò truyền tải cạnh trong phiên bản mới hơn, nhưng DKIM/DMARC cần tích hợp bên thứ ba để kích hoạt nó.

Xóa bản ghi SPF của bạn ở trạng thái như vậy có thể khiến bạn mở email giả mạo tới các tổ chức đang ở trong tình huống như vậy.

Mặc dù chỉ các máy chủ được ủy quyền mới có thể ký bằng DKIM, nhưng không có tiêu chuẩn nào trong tiêu chuẩn DKIM có thể thông báo cho máy chủ nhận rằng thư từ miền của bạn PHẢI được ký bằng DKIM. Từ góc độ tiêu chuẩn thư, máy chủ nhận không thể phân biệt máy chủ gửi được ủy quyền với máy chủ gửi trái phép.

Vấn đề cuối cùng sẽ phát sinh là đối với các máy chủ nhận không sử dụng các bài kiểm tra DMARC, miền của bạn sẽ có khả năng cao bị đưa vào danh sách đen vì những kẻ gửi thư rác phát hiện ra rằng việc giả mạo là chuyện nhỏ.