SPF vs. DKIM-정확한 사용 사례 및 차이점


20

애매 모호해서 죄송합니다. SPF와 DKIM을 함께 사용해야하는 이유를 완전히 이해하지 못했습니다.

첫째 : SPF는 보낸 사람 또는 DNS가 "스푸핑 된"경우 실패해야 할 곳을 통과 할 수 있으며 일부 고급 프록시 및 전달자 설정이 포함 된 경우 통과해야 할 경우 실패 할 수 있습니다.

DKIM은 암호화의 오류 / 약점 (우리는 이것을 배제하여 단순화 된 지점)으로 인해 또는 DNS 쿼리가 스푸핑되어 실패한 곳을 통과 할 수 있습니다.

암호화 오류가 배제되었으므로 차이점은 SPF가 실패하는 설정에서 DKIM을 사용할 수 있다는 것입니다. 둘 다 사용하면 도움이되는 예를 생각해 낼 수 없습니다. 설정이 SPF를 허용하면 DIKM은 추가 검증을 추가하지 않아야합니다.

누구든지 두 가지를 모두 사용하는 이점을 보여줄 수 있습니까?

답변:


15

SPF는 합격 / 불합격보다 더 많은 순위를 가지고 있습니다. 스팸을 지능적으로 평가할 때이 도구를 사용하면 프로세스가 더 쉽고 정확 해집니다. "고급 설정"으로 인해 실패하면 메일 관리자가 SPF 레코드 설정에서 수행 한 작업을 알지 못했음을 나타냅니다. SPF가 올바르게 설명 할 수있는 설정이 없습니다.

암호화는 절대적으로 작동하지 않습니다. DKIM에서 허용되는 유일한 암호화는 일반적으로 많은 리소스가 필요합니다. 대부분의 사람들은 이것을 충분히 안전하다고 생각합니다. 모든 사람은 자신의 상황을 평가해야합니다. DKIM은 Pass / Fail보다 더 많은 순위를 가지고 있습니다.

하나는 SPF를 확인하고 다른 하나는 DKIM을 확인하는 두 개의 다른 당사자에게 보내는 경우입니다. 스팸 테스트에서 일반적으로 순위가 높지만 DKIM과 SPF에 의해 상쇄되어 메일을 배달 할 수있는 콘텐츠를 당사자에게 보내는 다른 예입니다.

개별 메일 관리자가 자체 규칙을 설정하더라도 대부분의 경우에 필요한 것은 아닙니다. 두 가지 모두 SPAM의 다른 측면을 해결하는 데 도움이됩니다. SPF는 전자 메일을 보내는 사람이고 DKIM은 전자 메일의 무결성과 원본의 진품입니다.


좋아, 나는 당신의 요점을 따릅니다 (특히 일부는 단순히 두 가지 중 하나만 사용할 수 있습니다-어떻게 보지 못했습니까!). 따라서 SPF와 DKIM은 설정과 순위가 다를 수 있지만 전반적으로 동일한 동전을 향해야합니다. 마지막으로 : SPF (Authorized Relay)의 메일은 유효한 DKIM 서명만큼 신뢰해야합니다. 결국 도메인 소유자는 두 가지 모두를 승인했습니다. 방금 SPF만으로 메일을 테스트했으며 대학과 gmail이 이음새를 수락하는 동안 핫메일은 스팸으로 간주합니다. DIKM에 의존하기 때문일 수 있습니다. 코멘트 주셔서 감사합니다 크리스!
삭제 된 사용자 42

Hotmail은 SenderID (SPF 2.0), DKIM, SenderScore, PBL 및 자체 필터링 기술을 사용합니다. 그들은 정확한 공식에 대해 약간 은밀합니다.
Chris S

18

이것은 얼마 전에 대답했지만 나는 허용 대답은 모두 이유의 포인트 부족 생각 한다 효과적 함께 사용할 수 있습니다.

SPF는 승인 된 목록과 비교하여 마지막 SMTP 서버 홉의 IP를 확인합니다. DKIM은 지정된 도메인에서 메일을 처음에 보냈는지 확인하고 무결성을 보증합니다.

유효한 DKIM 서명 된 메시지는 수정없이 다시 보내서 스팸 또는 피싱으로 사용할 수 있습니다. SPF는 메시지 무결성을 검사하지 않습니다.

유효한 DKIM 서명 전자 메일 (은행, 친구 등)이이 메일을 수정하지 않고 이용할 수있는 좋은 방법을 찾은 경우를 상상해보십시오. 그러면이 메일을 다른 사람에게 수천 번 다시 보낼 수 있습니다. 메일을 수정하지 않아도 DKIM 서명은 여전히 ​​유효하며 메시지는 합법적 인 것으로 전달됩니다.

어쨌든 SPF는 메일의 출처 (SMTP 서버의 실제 IP / DNS)를 확인하므로 제대로 구성된 SMTP 서버를 통해 유효한 메일을 다시 보낼 수 없으므로 다른 IP에서 오는 메일은 SPF에서 메일을 전달하지 못합니다. "유효한"DKIM 메시지를 스팸으로 다시 보내는 것을 효과적으로 방지합니다.


메일을 수정하지 않고 어떻게 악용 할 수 있는지 몇 가지 예를 들어 주시겠습니까?
user3413723

일반 "친애하는 고객", "친애하는 사용자"또는 "@ 기호 앞에있는 전자 우편 주소의 첫 번째 부분"으로 시작하는 모든 전자 메일. 따라서 합법적 인 이메일에는 항상 우편 / 우편 번호의 일부 또는 성명과 같은 개인 정보가 최소 1 개 이상 포함되어 있어야합니다. (그러면 더 정통하고 재사용 할 수 없게됩니다.)
Adambean

그러나 수신자를 포함하여 헤더 필드에 서명 한 경우 새로운 수신자에 대한 재생 공격 가능성이 제거됩니까? 즉, 서명을 추가 h=from:to;( 에서 요구되는 RFC 6376 , 는 동일한받는 사람에 대한 재생 공격을 허용해야 선택 사항 임). 어느 것이 나쁘지만이 대답이 제안하는 것만 큼 나쁘지는 않습니다.
Richard Dunn

4

다음은 항상 SPF와 DKIM을 모두 게시해야하는 이유 입니다.

  1. 일부 사서함 공급자는 하나만 지원하고 일부 사서함 공급자는 둘 중 하나만 지원하지만 둘 중 하나만 지원합니다.

  2. DKIM은 전송 중에 전자 메일이 변경되는 것을 방지하지만 SPF는 변경하지 않습니다.

DMARC도 목록에 추가하겠습니다. 항상 전체 이메일 인증을 게시 할 때의 단점은 무엇입니까?


1
"항상 전체 전자 메일 인증을 게시하는 데 단점은 무엇입니까?", 노력! 필자는 Devops가 이미 벽에 또 다른 벽돌이있는 PITA라고 생각합니다.
Gordon Wrigley

ISP는 무엇과 관련이 있습니까? 메일 제공자를 의미합니까?
William

예, 사서함 공급자를 의미했습니다. 사람들은 종종 ISP로부터 이메일 서비스를 받았기 때문에 ISP를 말하는 습관이 들었습니다.
Neil Anuskiewicz

사서함 공급자로 변경 한 점을 지적 해 주셔서 감사합니다.
Neil Anuskiewicz
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.