SPF vs. DKIM: los casos de uso exactos y las diferencias


20

Lo siento por el título vago. No entiendo completamente por qué SPF y DKIM deberían usarse juntos.

Primero: SPF puede pasar donde debería fallar si el remitente o DNS está "falsificado" y puede fallar donde debe pasar si se trata de una configuración avanzada de proxies y reenviadores.

DKIM puede pasar donde debería fallar, ya sea debido a un error / debilidad en la criptografía (descartamos esto, de ahí el punto simplificado) o porque la consulta DNS es falsa.

Dado que se descarta el error de criptografía, la diferencia (según lo veo) es que DKIM se puede usar en configuraciones donde SPF fallaría. No puedo encontrar ningún ejemplo en el que uno se beneficiaría con el uso de ambos. Si la configuración permite SPF, DIKM no debe agregar ninguna validación adicional.

¿Alguien puede darme un ejemplo del beneficio de usar ambos?

Respuestas:


15

SPF tiene muchas más clasificaciones que Pass / Fail. El uso de estos en la puntuación heurística de spam hace que el proceso sea más fácil y más preciso. La falla debido a "configuraciones avanzadas" indica que el administrador de correo no sabía lo que estaba haciendo al configurar el registro SPF. No hay una configuración que SPF no pueda explicar correctamente.

La criptografía no funciona en absoluto, nunca. La única criptografía permitida en DKIM generalmente requiere recursos significativos para romperse. La mayoría de la gente considera que esto es lo suficientemente seguro. Todos deberían evaluar sus propias situaciones. Nuevamente, DKIM tiene más clasificaciones que solo Pasar / Fallar.

Un ejemplo en el que uno se beneficiaría de usar ambos: enviar a dos partes diferentes donde uno verifica SPF y el otro verifica DKIM. Otro ejemplo, enviar a una parte con contenido que normalmente ocuparía un lugar destacado en la prueba de spam, pero que se compensa con DKIM y SPF, lo que permite que se entregue el correo.

Tampoco se requieren en la mayoría de los casos, aunque los administradores de correo individuales establecen sus propias reglas. Ambos ayudan a abordar diferentes facetas del SPAM: SPF es quien está transmitiendo correo electrónico y DKIM es la integridad del correo electrónico y la autenticidad de origen.


Ok, sigo tus puntos (especialmente porque algunos pueden usar solo uno de los dos, ¿cómo no lo vi?). Por lo tanto, SPF y DKIM pueden tener diferentes configuraciones y clasificaciones, pero en general, son caras de la misma moneda. Para su último punto: un correo de un retransmisor autorizado (SPF) debe ser confiable tanto como una firma DKIM válida. Después de todo, el propietario del dominio ha aprobado ambos. Acabo de probar mi correo con solo SPF, y aunque mi universidad y gmail parecen aceptarlo, hotmail lo considera spam, tal vez porque confían en DIKM. Gracias por tu comentario Chris!
Usuario eliminado 42

Hotmail utiliza SenderID (SPF 2.0, por así decirlo), DKIM, SenderScore, PBL y su propia tecnología de filtrado. Son un poco reservados sobre la fórmula exacta.
Chris S

18

Esto fue respondido hace algún tiempo, pero creo que la respuesta aceptada carece de la razón por la cual ambos deben usarse juntos para ser efectivos.

SPF comprueba la IP del último salto del servidor SMTP en una lista autorizada. DKIM valida que el correo fue enviado inicialmente por un dominio determinado y garantiza su integridad.

Los mensajes firmados válidos de DKIM se pueden usar como spam o phishing al reenviarse sin modificaciones. SPF no verifica la integridad del mensaje.

Imagine un escenario en el que recibe un correo electrónico firmado DKIM válido (de su banco, un amigo, lo que sea), y encuentra una buena manera de explotar este correo sin modificaciones: luego puede reenviar este correo miles de veces a diferentes personas. Como no hay modificación del correo, la firma DKIM seguirá siendo válida y el mensaje pasará como legítimo.

De todos modos, SPF verifica el origen (IP / DNS real del servidor SMTP) del correo, por lo que SPF evitará el reenvío del correo ya que no puede reenviar un correo válido a través de un servidor SMTP bien configurado, y el correo proveniente de otras IP será rechazado, evitando efectivamente el reenvío de mensajes DKIM "válidos" como spam.


¿Podría dar algunos ejemplos de cómo se puede explotar el correo sin modificaciones?
user3413723

Cualquier correo electrónico que comience con un "Estimado cliente" genérico, "Estimado usuario" o "Estimado <primera parte de su dirección de correo electrónico antes del signo @">. Es por eso que es importante que los correos electrónicos legítimos para usted siempre contengan al menos 1 parte de su información personal, como parte de su código postal o su nombre completo. (Eso los hace más auténticos y no reutilizables)
Adambeano

Pero si los campos de encabezado se han firmado, incluidos los destinatarios, ¿entonces seguramente esto elimina la posibilidad de un ataque de repetición contra nuevos destinatarios? es decir Adición de firmas h=from:to;( de ser necesario en RFC 6376 , a ser facultativo) sólo debe permitir ataques de repetición en el mismo destinatario. Lo cual es malo, pero no tan malo como lo que sugiere esta respuesta.
Richard Dunn

4

Aquí hay algunas razones por las que siempre se debe publicar tanto SPF y DKIM.

  1. Algunos proveedores de buzones solo admiten uno u otro y algunos admiten ambos, pero pesan uno más que el otro.

  2. DKIM protege el correo electrónico de ser alterado en tránsito, SPF no.

También agregaría DMARC a la lista. ¿Cuál es la desventaja de publicar siempre la autenticación completa de correo electrónico?


1
"¿Cuál es la desventaja de publicar siempre la autenticación completa del correo electrónico?", ¡Esfuerzo! Supongo que Devops ya es un PITA, que es otro ladrillo en la pared, o 3 según sea el caso.
Gordon Wrigley

¿Qué tiene que ver el ISP con algo? ¿Te refieres al proveedor de correo?
William

Sí, me refería al proveedor de buzones. La gente solía recibir el servicio de correo electrónico de los ISP, así que tuve la costumbre de decir ISP.
Neil Anuskiewicz

Gracias por señalarlo, ya que ahora lo he cambiado a proveedor de buzones.
Neil Anuskiewicz
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.