SPF и DMARC - используется политика spf?
Я понимаю, как SPF связан с выравниванием DMARC, но одно я не могу понять: это политика SPF (-all или же ~all) используется в DMARC? Или DMARC просто использует диапазоны IP?
Проблема в том, что, как мы все знаем, SPF не работает. DKIM намного лучше, когда дело доходит до пересылки. Итак, теперь, когда я внедрил DKIM+DMARC, могу ли я ослабить свою политику SPF, потому что DMARC позаботится о проверке выравнивания SPF?
2 ответа
Он просто проверяет, находится ли IP / Host в записи SPF, общая логика:
If the sending IP address is contained in the SPF record = SPF PASS
If the sending IP address is not contained in the SPF record = SPF FAIL
(см. такие сайты, как http://knowledge.ondmarc.com/learn-about-dmarc/all-you-need-to-know-about-spf-dkim-and-dmarc где приведена вышеупомянутая логика).
Политики DMARC и SPF независимы. Я бы не стал менять политики SPF, потому что есть политика DMARC. Следует учитывать, что не все почтовые серверы используют DMARC, но используют SPF. Так что политика SPF должна иметь смысл сама по себе.
DMARC фактически оценивает ваш результат SPF, ищет PASS, а также выравнивание между smtp.mailfrom домен и header.from домен. Пока SPF не производит пропуск, (есть ли у вас ?all, ~all или же -all механизм в конце), DMARC не будет рассматривать результат SPF как PASS. То же самое относится и к DKIM. header.d домен должен совпадать с header.from домен и результат должен быть PASS.
Однако, и, чтобы ответить на ваш вопрос частично, некоторые серверы будут интерпретировать серьезный сбой SPF (-all) в качестве причины отклонения ваших писем, даже если они проходят DMARC на DKIM.
С другой стороны, не все принимающие серверы проверяют DMARC. Так что SPF soft fail (~all) не приведет к тому, что электронное письмо будет отклонено само по себе (вообще говоря). В то же время SPF не самый лучший инструмент для защиты от спуфинга, так как SPF проверяется на smtp.mailfrom домен вместо header.from домен, и только последний виден получателю (в большинстве клиентских программ). И, таким образом, требование выравнивания в DMARC.
С точки зрения того, что лучше для пересылки: это зависит. Некоторые экспедиторы перепишут Return-Path (ака snmtp.mailfrom), который исправит SPF, но нарушит выравнивание DMARC. Другие, например, добавят фрагмент текста к subject поле, которое в свою очередь сломает подпись DKIM (если subject был одним из подписанных заголовков). Это не так ясно. Authenticated Received Chain (ARC) - это протокол, который полезен в этом отношении, будь то в стадии разработки.
Мой совет - использовать SPF с механизмом мягкого сбоя и использовать DMARC с политикой отклонения. Кроме того, используйте SPF и DKIM бесплатно для достижения оптимальных результатов.
Мое мнение: вы публикуете четкую директиву в DMARC. Получатель должен выполнить соответствующие проверки. Фактически, принимающий сервер может быть настроен так, чтобы полностью игнорировать как SPF (жесткий) сбой, так и политики отклонения DMARC. Это не ответственность отправителей, а прерогатива получателей.