SPF vs. DKIM: los casos de uso exactos y las diferencias

Lo siento por el título vago. No entiendo completamente por qué SPF y DKIM deberían usarse juntos.

Primero: SPF puede pasar donde debería fallar si el remitente o DNS está "falsificado" y puede fallar donde debe pasar si se trata de una configuración avanzada de proxies y reenviadores.

DKIM puede pasar donde debería fallar, ya sea debido a un error / debilidad en la criptografía (descartamos esto, de ahí el punto simplificado) o porque la consulta DNS es falsa.

Dado que se descarta el error de criptografía, la diferencia (según lo veo) es que DKIM se puede usar en configuraciones donde SPF fallaría. No puedo encontrar ningún ejemplo en el que uno se beneficiaría con el uso de ambos. Si la configuración permite SPF, DIKM no debe agregar ninguna validación adicional.

¿Alguien puede darme un ejemplo del beneficio de usar ambos?

SPF tiene muchas más clasificaciones que Pass / Fail. El uso de estos en la puntuación heurística de spam hace que el proceso sea más fácil y más preciso. La falla debido a "configuraciones avanzadas" indica que el administrador de correo no sabía lo que estaba haciendo al configurar el registro SPF. No hay una configuración que SPF no pueda explicar correctamente.

La criptografía no funciona en absoluto, nunca. La única criptografía permitida en DKIM generalmente requiere recursos significativos para romperse. La mayoría de la gente considera que esto es lo suficientemente seguro. Todos deberían evaluar sus propias situaciones. Nuevamente, DKIM tiene más clasificaciones que solo Pasar / Fallar.

Un ejemplo en el que uno se beneficiaría de usar ambos: enviar a dos partes diferentes donde uno verifica SPF y el otro verifica DKIM. Otro ejemplo, enviar a una parte con contenido que normalmente ocuparía un lugar destacado en la prueba de spam, pero que se compensa con DKIM y SPF, lo que permite que se entregue el correo.

Tampoco se requieren en la mayoría de los casos, aunque los administradores de correo individuales establecen sus propias reglas. Ambos ayudan a abordar diferentes facetas del SPAM: SPF es quien está transmitiendo correo electrónico y DKIM es la integridad del correo electrónico y la autenticidad de origen.

Esto fue respondido hace algún tiempo, pero creo que la respuesta aceptada carece de la razón por la cual ambos deben usarse juntos para ser efectivos.

SPF comprueba la IP del último salto del servidor SMTP en una lista autorizada. DKIM valida que el correo fue enviado inicialmente por un dominio determinado y garantiza su integridad.

Los mensajes firmados válidos de DKIM se pueden usar como spam o phishing al reenviarse sin modificaciones. SPF no verifica la integridad del mensaje.

Imagine un escenario en el que recibe un correo electrónico firmado DKIM válido (de su banco, un amigo, lo que sea), y encuentra una buena manera de explotar este correo sin modificaciones: luego puede reenviar este correo miles de veces a diferentes personas. Como no hay modificación del correo, la firma DKIM seguirá siendo válida y el mensaje pasará como legítimo.

De todos modos, SPF verifica el origen (IP / DNS real del servidor SMTP) del correo, por lo que SPF evitará el reenvío del correo ya que no puede reenviar un correo válido a través de un servidor SMTP bien configurado, y el correo proveniente de otras IP será rechazado, evitando efectivamente el reenvío de mensajes DKIM "válidos" como spam.

Aquí hay algunas razones por las que siempre se debe publicar tanto SPF y DKIM.

1. Algunos proveedores de buzones solo admiten uno u otro y algunos admiten ambos, pero pesan uno más que el otro.

2. DKIM protege el correo electrónico de ser alterado en tránsito, SPF no.

También agregaría DMARC a la lista. ¿Cuál es la desventaja de publicar siempre la autenticación completa de correo electrónico?