Tengo un dominio desde el que envío correos electrónicos a través de Mailchimp y Google. Configuré DKIM para ambos y también agregué un registro DMARC (para probar cajeros automáticos). Recopilo informes de fallas de DMARC y la inmensa mayoría de estos informes son de fallas de SPF.
Según tengo entendido, SPF es una lista permitida de IP/hosts que pueden enviar correos electrónicos, y DKIM es una clave que el remitente debe usar para firmar los correos electrónicos. A mí me parece que DKIM es mejor para la protección contra suplantación de identidad.
Dondequiera que busco sólo veo que el SPF es esencial para la protección del correo electrónico, pero no veo por qué en mi caso. Dado que DKIM está configurado, solo Mailchimp y Google pueden enviar correos electrónicos, y DMARC hará que el destinatario rechace correos electrónicos desde cualquier otro lugar. Restringir las direcciones IP no parece añadir nada a esta combinación.
¿Está bien desactivar SPF con +all en este caso? ¿Cuál es el escenario en el que estoy menos protegido si hago eso?
Respuesta1
SPF, DKIM y DMARC trabajan juntos para aumentar la confianza de su dominio y la entrega de su correo electrónico a las bandejas de entrada. Pero lo importante que debe recordar es que el sistema de correo electrónico del destinatario es libre de manejar sus correos electrónicos de la forma que desee. Por lo tanto, no se garantiza que uno o más de estos mecanismos se implementen correctamente.
Lo más importante de SPF y DKIM por sí solos es que no hacen nada para garantizar que el fromencabezado esté autenticado. Esta es la dirección de correo electrónico que su destinatario ve en su cliente de correo. Por lo tanto, no son eficaces para determinar si lo que ve el usuario final es auténtico.
Para SPF, solo verifica el dominio especificado en el return-pathencabezado (también conocido como Sobre De) en el mensaje SMTP. Esta no es una dirección que ve el usuario final.
Para DKIM, solo le importa el dominio especificado en el d=parámetro del dkim-signatureencabezado. Una vez más, el usuario final no ve esto.
DMARC soluciona este problema. DMARC requiere que la "alineación" sea correcta en cualquiera de los SPFoDKIM.
- Para que SPF esté "alineado", el dominio en el
fromencabezado debe coincidir con el dominio en elreturn-pathencabezado. Esto rara vez es posible cuando se envía correo electrónico a través de proveedores de correo masivo de terceros porque esreturn-pathdonde rebota y surgen quejas de que el proveedor rastrea y, a menudo, es una dirección de correo electrónico administrada por el tercero. Es por eso que ve fallas de SPF en sus informes DMARC. - Para DKIM, el dominio especificado en el
d=campo deldkim-signatureencabezado debe coincidir con el dominio delfromencabezado. Esto se puede lograr asegurándose de que el remitente externo (es decir, Mailchimp) esté configurado correctamente para la firma DKIM y de haber agregado los registros DNS apropiados a su dominio.
Esta verificación de "alineación" garantiza que lo que el usuario final ve en su cliente de correo electrónico esté autenticado por SPF o DKIM. Si un registro SPF o un registro DKIM que pasa está alineado con el fromencabezado (lo que ve el usuario final), el mensaje pasa DMARC. De lo contrario, falla DMARC.
Tenga en cuenta que estos protocolos sólo examinan la parte del "nombre de dominio" de la dirección de correo electrónico. La parte después del @letrero. Ninguno de estos verifica la validez de la parte del nombre de usuario. La parte anterior al @signo.
Entonces, puedes ver que tanto SPF como DKIM son necesarios para que DMARC sea completamente funcional. Los 3 son necesarios para el flujo de correo adecuado. Y no todos los sistemas de correo electrónico de los destinatarios implementan los estándares de la misma manera o correctamente.
Una gran frustración para los administradores de sistemas es que muchos remitentes todavía no han configurado estos 3 estándares correctamente al enviar correo electrónico. Y, lamentablemente, rara vez se explican adecuadamente los principios básicos anteriores en algún lugar.
Respuesta2
Sí, ya que lamentablemente no todos los servidores verifican el DKIM/DMARC en la recepción, pero la verificación de SPF está más integrada/implementada actualmente.
Un ejemplo es el servidor de On-Prem Exchange. El registro SPF se puede verificar con el conjunto de reglas AntiSpam, con la función de transporte perimetral en una versión posterior, pero DKIM/DMARC necesita una integración de terceros para habilitarlo.
Eliminar su registro SPF en ese estado puede exponerlo a correos electrónicos falsificados de organizaciones que se encuentran en tal situación.
Respuesta3
Si bien solo los servidores autorizados pueden firmar con DKIM, no hay nada en el estándar DKIM que pueda informar a un servidor receptor que los mensajes de su dominio DEBEN firmarse con DKIM. Desde la perspectiva de los estándares de correo, un servidor receptor no puede distinguir entre servidores emisores autorizados y servidores emisores no autorizados.
El problema eventual que surgirá es que, al recibir servidores que no utilizan pruebas DMARC, su dominio tendrá una alta probabilidad de ser incluido en la lista negra, ya que los spammers descubren que es trivial falsificarlo.