Как DKIM из SendGrid предотвращает подделку моего адреса электронной почты?
Я использую SendGrid для отправки автоматических электронных писем. Сначала я подошел ко всем хлопотам по созданию записи DKIM, а до того, как недавно обнаружил, что вся запись, кажется, в любом случае не проверяется, потому что SendGrid предоставляет свою собственную запись DKIM.
См.: https://sendgrid.com/docs/Apps/dkim.html
Как это работает? Если мне не нужно предоставлять свой собственный DKIM для домена, с которого я отправляю, как это помешает мне просто подделать адрес электронной почты с какого-то домена, которым я не владею?
1 ответ
DKIM не в полной мере смягчает подобные атаки, но играет важную роль. Посредством проверки подписи DKIM можно обнаружить изменения в сообщении о транспорте от исходного отправителя к получателю. Для получателя невозможно определить, должно ли сообщение иметь подпись DKIM, потому что получатель не знает селектора для запроса открытого ключа.
Также обратите внимание, что DKIM работает с сообщением, а не с конвертом, как SPF. Оба, DKIM и SPF, необходимы вместе для предотвращения подделки (и DMARC, который основан на обоих из них). Поскольку DKIM работает с сообщением, у вас могут быть разные отправляющие серверы с разными ключами и, таким образом, разные селекторы в DNS параллельно (ваш и SendGrid).
Я думаю, что вы хотите рамки политики отправителя SPF. Указав разрешенные отправляющие серверы в TXT-записи для домена, получающие серверы могут проверить, находится ли отправляющий сервер в списке разрешенных серверов. В вашем случае вы должны добавить IP-адреса серверов SendGrid в вашу запись SPF.
С помощью DMARC-Record вы можете дополнительно указать, как получатели должны обрабатывать нарушения SPF и DKIM и получать сообщения о злоупотреблениях.