Início / server / Perguntas / 942519
Accepted
Halfgaar
Asked: 2018-12-03 03:24:54 +0800 CST

SPF e DMARC - a política spf é usada?

  • 772

Entendo como o SPF está envolvido no alinhamento do DMARC, mas uma coisa não consigo esclarecer: a política do SPF ( -allou ~all) é usada no DMARC? Ou o DMARC apenas usa os intervalos de IP?

A questão é que, como todos sabemos, o SPF quebra o encaminhamento . DKIM é muito melhor quando se trata de encaminhamento. Então, agora que implementei o DKIM+DMARC, posso relaxar minha política de SPF porque o DMARC cuidará da verificação do alinhamento do SPF?

spf

2 respostas

  1. O DMARC realmente avalia o resultado do seu SPF, procurando um PASS, bem como o alinhamento entre o smtp.mailfromdomínio e o header.fromdomínio. Desde que o SPF não produza um passe (se você tiver ?all, ~allou -allmecanismo no final), o DMARC não considerará o resultado do SPF um PASS. O mesmo vale para DKIM. O header.ddomínio deve estar alinhado com o header.fromdomínio e o resultado deve ser APROVADO.

    No entanto, e para responder em parte à sua pergunta, alguns servidores interpretarão uma falha de SPF ( -all) como motivo para rejeitar seus e-mails, mesmo que passe DMARC no DKIM.

    Por outro lado, nem todos os servidores de recebimento verificam o DMARC. Portanto, uma falha suave de SPF ( ~all) não fará com que um email seja rejeitado por conta própria (de um modo geral). Ao mesmo tempo, o SPF não é a melhor ferramenta de proteção contra falsificação, pois o SPF é verificado no smtp.mailfromdomínio em vez do header.fromdomínio, e apenas este último é visível para o destinatário (na maioria dos softwares clientes). E, portanto, o requisito de alinhamento no DMARC.

    Em termos do que é melhor para o encaminhamento: depende. Alguns encaminhadores reescreverão o Return-Path(aka snmtp.mailfrom), que corrigirá o SPF, mas quebrará o alinhamento do DMARC. Outros, por exemplo, adicionarão um pedaço de texto ao subjectcampo que, por sua vez, quebrará a assinatura DKIM (se subjectfor um dos cabeçalhos assinados). Não é tão claro. Authenticated Received Chain (ARC) é um protocolo que é útil a este respeito, ainda que em desenvolvimento.

    Meu conselho seria usar o SPF com um mecanismo de falha suave e usar o DMARC com uma política de rejeição. Além disso, use SPF e DKIM complementares para obter melhores resultados.

    Minha opinião: você está publicando uma diretiva clara no DMARC. Cabe ao destinatário implementar as verificações correspondentes. Na verdade, um servidor de recebimento pode ser configurado para ignorar completamente as políticas de falha de SPF (hard) e de rejeição de DMARC. Essa não é a responsabilidade dos remetentes, mas a prerrogativa dos destinatários.

    • 3
  2. Best Answer

    Ele apenas verifica se o IP/Host está no registro SPF, a lógica geral é:

    If the sending IP address is contained in the SPF record = SPF PASS
If the sending IP address is not contained in the SPF record = SPF FAIL

    (veja sites como http://knowledge.ondmarc.com/learn-about-dmarc/all-you-need-to-know-about-spf-dkim-and-dmarc de onde a lógica acima é citada).

    As políticas do DMARC e SPF são independentes. Eu não mudaria as políticas SPF porque existe uma política DMARC. Você deve considerar que nem todos os servidores de e-mail usam DMARC, mas usam SPF. Portanto, a política SPF deve fazer sentido por si só.

    • 2

relate perguntas