SPF vs. DKIM - Les cas d'utilisation exacts et les différences

Je suis désolé pour le titre vague. Je ne comprends pas bien pourquoi SPF et DKIM doivent être utilisés ensemble.

Premièrement: SPF peut passer là où il devrait échouer si l'expéditeur ou le DNS est "usurpé" et il peut échouer là où il devrait passer si une configuration avancée de mandataires et de redirecteurs est impliquée.

DKIM peut passer là où il devrait échouer, soit en raison d'une erreur / faiblesse de la cryptographie (nous excluons cela, d'où le point simplifié), soit parce que la requête DNS est usurpée.

Étant donné que l'erreur de cryptographie est exclue, la différence (comme je le vois) est que DKIM peut être utilisé dans des configurations où SPF échouerait. Je ne peux pas trouver d'exemples où l'on gagnerait à utiliser les deux. Si la configuration autorise SPF, DIKM ne doit pas ajouter de validation supplémentaire.

Quelqu'un peut-il me donner un exemple de l'avantage d'utiliser les deux?

SPF a beaucoup plus de classements que Réussite / Échec. Leur utilisation dans la notation heuristique du spam rend le processus plus facile et plus précis. Un échec en raison de "configurations avancées" indique que l'administrateur de messagerie ne savait pas ce qu'il faisait lors de la configuration de l'enregistrement SPF. Il n'y a aucune configuration que SPF ne peut pas prendre en compte correctement.

La cryptographie ne fonctionne jamais dans l'absolu. Le seul crypto autorisé dans DKIM prend généralement des ressources importantes à casser. La plupart des gens considèrent cela assez sûr. Chacun devrait évaluer sa propre situation. Encore une fois, DKIM a plus de classements que simplement réussite / échec.

Un exemple où l'on gagnerait à utiliser les deux: l'envoi à deux parties différentes où l'une vérifie SPF et l'autre vérifie DKIM. Un autre exemple, l'envoi à une partie avec un contenu qui aurait normalement un rang élevé dans le test de spam, mais qui est compensé à la fois par DKIM et SPF, permettant la livraison du courrier.

Aucun n'est requis dans la plupart des cas, bien que les administrateurs de messagerie individuels définissent leurs propres règles. Les deux aident à aborder différentes facettes du SPAM: SPF étant qui relaie le courrier électronique et DKIM étant l'intégrité du courrier électronique et l'authenticité de l'origine.

Cela a été répondu il y a quelque temps, mais je pense que la réponse acceptée ne précise pas pourquoi les deux doivent être utilisées ensemble pour être efficaces.

SPF vérifie l'IP du dernier tronçon de serveur SMTP par rapport à une liste autorisée. DKIM valide le courrier envoyé initialement par un domaine donné et garantit son intégrité.

Les messages signés DKIM valides peuvent être utilisés comme spam ou phishing en étant renvoyés sans aucune modification. SPF ne vérifie pas l'intégrité des messages.

Imaginez un scénario où vous recevez un e-mail signé DKIM valide (de votre banque, d'un ami, peu importe), et vous trouvez un bon moyen d'exploiter ce courrier sans modification: il vous suffit alors de renvoyer ce courrier des milliers de fois à différentes personnes. Comme il n'y a pas de modification du courrier, la signature DKIM sera toujours valide et le message passera comme légitime.

Quoi qu'il en soit, SPF vérifie l'origine (IP / DNS réel du serveur SMTP) du courrier, donc SPF empêchera le transfert du courrier car vous ne pouvez pas renvoyer un courrier valide via un serveur SMTP bien configuré, et le courrier provenant d'autres IP sera rejeté, empêchant efficacement le renvoi de messages DKIM "valides" comme spam.

Voici quelques raisons pour lesquelles vous devez toujours publier à la fois SPF et DKIM.

1. Certains fournisseurs de boîtes aux lettres ne prennent en charge que l'un ou l'autre et certains prennent en charge les deux mais pèsent l'un plus que l'autre.

2. DKIM protège les e-mails contre les modifications pendant le transport, contrairement à SPF.

J'ajouterais également DMARC à la liste. Quel est l'inconvénient de toujours publier l'authentification complète des e-mails?