SPF vs. DKIM - Os casos de uso e diferenças exatos

Sinto muito pelo título vago. Não entendo completamente por que o SPF e o DKIM devem ser usados ​​juntos.

Primeiro: o SPF pode passar para onde deve falhar se o remetente ou o DNS for "falsificado" e pode falhar para onde deve passar se estiver envolvida alguma configuração avançada de proxies e encaminhadores.

O DKIM pode passar para onde deveria falhar, devido a um erro / fraqueza na criptografia (excluímos isso, daí o ponto simplificado) ou porque a consulta DNS é falsificada.

Como o erro de criptografia é descartado, a diferença (a meu ver) é que o DKIM pode ser usado em configurações nas quais o SPF falharia. Não consigo encontrar exemplos em que alguém se beneficiaria com os dois. Se a configuração permitir o SPF, o DIKM não deverá adicionar nenhuma validação extra.

Alguém pode me dar um exemplo do benefício de usar os dois?

O SPF tem muito mais classificações que Aprovado / Reprovado. Utilizá-los na classificação heurística de spam torna o processo mais fácil e preciso. Falha na conta de "configurações avançadas" indica que o administrador de email não sabia o que estava fazendo na configuração do registro SPF. Não há nenhuma configuração que o SPF não consiga explicar corretamente.

A criptografia nunca funciona em absolutos. A única criptografia permitida no DKIM geralmente leva recursos significativos para quebrar. A maioria das pessoas considera isso seguro o suficiente. Todos devem avaliar suas próprias situações. Novamente, o DKIM tem mais classificações do que apenas Aprovado / Reprovado.

Um exemplo em que um se beneficiaria do uso de ambos: enviar para duas partes diferentes, onde um verifica o SPF e o outro verifica o DKIM. Outro exemplo, o envio a uma parte com conteúdo que normalmente seria altamente classificado no teste de spam, mas que é compensado pelo DKIM e pelo SPF, permitindo que o email seja entregue.

Na maioria dos casos, eles também não são necessários, embora os administradores de email individuais definam suas próprias regras. Ambos ajudam a lidar com diferentes facetas do SPAM: o SPF é quem está retransmitindo o email e o DKIM é a integridade do email e a autenticidade de origem.

Isso foi respondido há algum tempo, mas acho que a resposta aceita não tem o ponto de por que ambos devem ser usados ​​juntos para serem eficazes.

O SPF verifica o IP do último salto do servidor SMTP em uma lista autorizada. O DKIM valida o email inicialmente enviado por um determinado domínio e garante sua integridade.

Mensagens assinadas DKIM válidas podem ser usadas como spam ou phishing, sendo reenviadas sem modificações. O SPF não verifica a integridade da mensagem.

Imagine um cenário em que você receba um e-mail assinado DKIM válido (do seu banco, um amigo, qualquer que seja) e encontre uma boa maneira de explorar esse e-mail sem modificações: basta reenviar esse e-mail milhares de vezes para pessoas diferentes. Como não há modificação no email, a assinatura DKIM ainda será válida e a mensagem passará como legítima.

De qualquer forma, o SPF verifica a origem (IP / DNS real do servidor SMTP) do e-mail, portanto o SPF impedirá o encaminhamento do e-mail, pois você não poderá reenviar um e-mail válido por um servidor SMTP bem configurado e os e-mails provenientes de outros IPs serão rejeitado, impedindo efetivamente o reenvio de mensagens DKIM "válidas" como spam.

Aqui estão algumas razões que você deve sempre publicar tanto SPF e DKIM.

1. Alguns provedores de caixa de correio suportam apenas um ou outro e outros suportam ambos, mas pesam mais que o outro.

2. O DKIM protege o email contra alterações no trânsito, o SPF não.

Eu adicionaria DMARC à lista também. Qual é a desvantagem de publicar sempre a autenticação completa de e-mail?