O SPF oferece benefícios junto com DKIM+DMARC?

O SPF oferece benefícios junto com DKIM+DMARC?

Tenho um domínio do qual envio e-mails via Mailchimp e Google. Configurei o DKIM para ambos e adicionei um registro DMARC também (para testar o atm). Eu coleto relatórios de falhas do DMARC e a esmagadora maioria desses relatórios são de falhas do SPF.

No meu entendimento, SPF é uma lista de permissões de IPs/hosts que podem enviar emails, e DKIM é uma chave que o remetente deve usar para assinar os emails. Para mim, parece que o DKIM é melhor para proteção contra falsificação.

Em todos os lugares que procuro, vejo apenas que o SPF é essencial para proteção de e-mail, mas não consigo entender por que no meu caso. Como o DKIM está configurado, apenas o Mailchimp e o Google podem enviar e-mails, e o DMARC fará com que o destinatário rejeite e-mails de qualquer outro lugar. A restrição de endereços IP não parece acrescentar nada a essa combinação.

Posso desabilitar o SPF com +all neste caso? Qual é o cenário em que estarei menos protegido se fizer isso?

Responder1

SPF, DKIM e DMARC trabalham juntos para aumentar a confiança do seu domínio e a entrega do seu e-mail nas caixas de entrada. Porém, o importante a lembrar é que o sistema de e-mail do destinatário é livre para lidar com seus e-mails da maneira que desejar. Portanto, não é garantido que qualquer um ou mais destes mecanismos sejam implementados adequadamente.

A maior vantagem apenas do SPF e do DKIM é que eles não fazem nada para garantir que o fromcabeçalho seja autenticado. Este é o endereço de e-mail que o destinatário vê no cliente de e-mail. Portanto, eles não são eficazes para determinar se o que o usuário final vê é autêntico.

Para SPF, ele verifica apenas o domínio especificado no return-pathcabeçalho (também conhecido como Envelope From) na mensagem SMTP. Este não é um endereço que o usuário final vê.

Para DKIM, ele se preocupa apenas com o domínio especificado no d=parâmetro do dkim-signaturecabeçalho. Novamente, o usuário final não vê isso.

DMARC corrige isso. O DMARC exige que o "alinhamento" esteja correto em qualquer SPFouDKIM.

  • Para que o SPF esteja “alinhado”, o domínio no fromcabeçalho deve corresponder ao domínio no return-pathcabeçalho. Isso raramente é possível ao enviar e-mail por meio de provedores de correio em massa terceirizados, porque é return-pathonde as devoluções e reclamações são rastreadas pelo provedor e geralmente é um endereço de e-mail gerenciado por terceiros. É por isso que você vê falhas de SPF em seus relatórios DMARC.
  • Para DKIM, o domínio especificado no d=campo do dkim-signaturecabeçalho deve corresponder ao domínio do fromcabeçalho. Isso pode ser feito certificando-se de que o remetente terceirizado (ou seja, Mailchimp) esteja configurado corretamente para assinatura DKIM e que você tenha adicionado os registros DNS apropriados ao seu domínio.

Essa verificação de “alinhamento” garante que o que o usuário final vê em seu cliente de e-mail seja autenticado por SPF ou DKIM. Se um registro SPF ou registro DKIM de passagem estiver alinhado com o fromcabeçalho (o que o usuário final vê), a mensagem passa pelo DMARC. Caso contrário, ele falhará no DMARC.

Observe que esses protocolos examinam apenas a parte “nome de domínio” do endereço de e-mail. A porção após o @sinal. Nada disso verifica a validade da parte do nome de usuário. A parte antes do @sinal.

Portanto, você pode ver que tanto o SPF quanto o DKIM são necessários para que o DMARC seja totalmente funcional. Todos os três são necessários para o fluxo de mensagens adequado. E nem todos os sistemas de e-mail dos destinatários implementam os padrões da mesma maneira ou corretamente.

Uma grande frustração para os administradores de sistemas é que muitos remetentes ainda não configuraram esses três padrões corretamente ao enviar e-mails. E, infelizmente, raramente os princípios básicos acima são explicados adequadamente em qualquer lugar.

Responder2

Sim, pois infelizmente nem todos os servidores verificam o DKIM/DMARC na recepção, mas a verificação SPF está mais integrada/implantada atualmente.

Um exemplo é o servidor On-Prem Exchange. O registro SPF pode ser verificado com o conjunto de regras AntiSpam, com o Edge Transport Role em versão posterior, mas o DKIM/DMARC precisa de uma integração de terceiros para habilitá-lo.

A remoção do seu registro SPF nesse estado pode torná-lo vulnerável a e-mails falsificados para organizações que estejam nesse cenário.

Responder3

Embora apenas servidores autorizados possam assinar com DKIM, não há nada no padrão DKIM que possa informar a um servidor receptor que as mensagens do seu domínio DEVEM ser assinadas com DKIM. Do ponto de vista dos padrões de correio, um servidor de recebimento não consegue discernir servidores de envio autorizados de servidores de envio não autorizados.

O eventual problema que surgirá é que, ao receber servidores que não usam testes DMARC, seu domínio terá uma grande probabilidade de ser colocado na lista negra, pois os spammers descobrem que é fácil falsificá-lo.

informação relacionada