SPF vs. DKIM - Die genauen Anwendungsfälle und Unterschiede

Der vage Titel tut mir leid. Ich verstehe nicht ganz, warum SPF und DKIM zusammen verwendet werden sollten.

Erstens: SPF kann passieren, wo es fehlschlagen sollte, wenn der Absender oder DNS "gefälscht" ist, und es kann passieren, wo es passieren sollte, wenn einige erweiterte Einstellungen von Proxys und Weiterleitungen beteiligt sind.

DKIM kann passieren, wo es fehlschlagen sollte, entweder aufgrund eines Fehlers / einer Schwäche in der Kryptografie (wir schließen dies aus, daher der vereinfachte Punkt) oder weil die DNS-Abfrage gefälscht ist.

Da der Kryptografiefehler ausgeschlossen ist, besteht der Unterschied (wie ich es sehe) darin, dass DKIM in Setups verwendet werden kann, in denen SPF fehlschlagen würde. Ich kann keine Beispiele nennen, bei denen man von beidem profitieren würde. Wenn das Setup SPF zulässt, sollte DIKM keine zusätzliche Validierung hinzufügen.

Kann mir jemand ein Beispiel geben, wie vorteilhaft es ist, beides zu nutzen?

SPF hat viel mehr Rankings als Pass / Fail. Durch die Verwendung dieser Informationen bei der heuristischen Spam-Bewertung wird der Vorgang einfacher und genauer. Ein Fehler aufgrund "erweiterter Einstellungen" zeigt an, dass der E-Mail-Administrator nicht wusste, was er beim Einrichten des SPF-Datensatzes tat. Es gibt kein Setup, das SPF nicht korrekt berücksichtigen kann.

Kryptographie funktioniert niemals absolut. Die einzige Krypto, die in DKIM zulässig ist, benötigt normalerweise erhebliche Ressourcen, um beschädigt zu werden. Die meisten Leute halten dies für sicher genug. Jeder sollte seine eigenen Situationen einschätzen. Auch hier hat DKIM mehr Rankings als nur Bestanden / Nicht Bestanden.

Ein Beispiel, bei dem man von beidem profitieren würde: Senden an zwei verschiedene Parteien, wobei eine SPF und die andere DKIM prüft. Ein weiteres Beispiel ist das Senden an eine Partei mit Inhalten, die im Spam-Test normalerweise einen hohen Stellenwert haben, die jedoch sowohl von DKIM als auch von SPF ausgeglichen werden, sodass die E-Mails zugestellt werden können.

Beides ist in den meisten Fällen nicht erforderlich, obwohl einzelne E-Mail-Administratoren ihre eigenen Regeln festlegen. Beides hilft dabei, verschiedene Aspekte von SPAM anzusprechen: SPF ist derjenige, der E-Mail weiterleitet, und DKIM ist die Integrität der E-Mail und die Authentizität des Ursprungs.

Dies wurde vor einiger Zeit beantwortet, aber ich denke, der akzeptierten Antwort fehlt der Grund, warum beide zusammen verwendet werden müssen , um effektiv zu sein.

SPF vergleicht die IP des letzten SMTP-Server-Hops mit einer autorisierten Liste. DKIM überprüft, ob die E-Mail ursprünglich von einer bestimmten Domain gesendet wurde, und garantiert deren Integrität.

Gültige DKIM-signierte Nachrichten können als Spam oder Phishing verwendet werden, indem sie ohne Änderung erneut gesendet werden. SPF überprüft die Nachrichtenintegrität nicht.

Stellen Sie sich ein Szenario vor, in dem Sie eine gültige DKIM-signierte E-Mail erhalten (von Ihrer Bank, einem Freund oder was auch immer) und eine gute Möglichkeit finden, diese E-Mail ohne Änderungen zu nutzen: Dann können Sie diese E-Mail Tausende Male an verschiedene Personen senden. Da die E-Mail nicht geändert wurde, ist die DKIM-Signatur weiterhin gültig und die Nachricht wird als legitim weitergegeben.

Auf jeden Fall überprüft SPF den Ursprung (echte IP / DNS des SMTP-Servers) der E-Mail, sodass SPF die Weiterleitung der E-Mail verhindert, da Sie eine gültige E-Mail nicht über einen gut konfigurierten SMTP-Server erneut senden können abgelehnt, wodurch das erneute Senden von "gültigen" DKIM-Nachrichten als Spam effektiv verhindert wird.

Hier sind einige Gründe, warum Sie immer sowohl SPF als auch DKIM veröffentlichen sollten.

1. Einige Postfachanbieter unterstützen nur den einen oder den anderen und einige unterstützen beide, gewichten jedoch mehr als den anderen.

2. DKIM schützt E-Mails vor Änderungen während der Übertragung, SPF nicht.

Ich würde der Liste auch DMARC hinzufügen. Was ist der Nachteil, wenn immer eine vollständige E-Mail-Authentifizierung veröffentlicht wird?