dmarc vs spf

Jeśli nie śledziłeś całej debaty na temat DMARC vs SPF, zrozummy czym one są i jak mogą Ci pomóc. W przypadku, gdy jesteś nowy w uwierzytelnianiu poczty elektronicznej, są szanse, że natknąłeś się na przelotne terminy takie jak DMARC i SPF i chcesz je lepiej zrozumieć, aby zdecydować, który z nich najbardziej Ci odpowiada.

Sender Policy Framework, aka SPF, pozwala na buforowanie listy autoryzowanych adresów IP, które mogą wysyłać e-maile do klientów w Twoim imieniu(RFC 4408). Z drugiej strony, DMARC pomaga określić politykę dla emaili, które nie przejdą uwierzytelnienia, pomagając właścicielom domen kontrolować surowość wdrożonych przez nich protokołów bezpieczeństwa. Powiedziawszy to, przejdźmy do omówienia DMARC vs SPF. 

Mam wdrożony SPF, czy nadal potrzebuję DMARC?

SPF nie daje właścicielom domen mechanizmu do wysyłania raportów o nieudanych próbach dostarczenia i podszywania się. To jest miejsce, gdzie DMARC wchodzi do gry. Jeśli włączysz raportowanie DMARC dla swoich domen, będziesz mógł otrzymywać powiadomienia o wynikach uwierzytelniania SPF, co obejmuje, ale nie ogranicza się do nieudanych prób dostarczenia i podszywania się. Jest to ważna funkcja, która powinna być niezbędnym dodatkiem do Twojego pakietu bezpieczeństwa emaili, nawet jeśli masz tylko SPF wdrożony dla swoich domen.

Monitorowanie domen może być pomocne w przetwarzaniu informacji o tym, jak działają Twoje e-maile i mierzeniu wskaźnika sukcesu Twoich kampanii email marketingowych. Pomoże Ci również szybciej reagować na ataki i tworzyć czarne listy podejrzanych adresów nadawców. 

Czy mogę wdrożyć DMARC bez DKIM?

Tak. Jest możliwe opublikowanie rekordu DMARC nawet bez obecności rekordu DKIM w twoim DNS. Dzieje się tak dlatego, że aby twoje emaile były uważane za zgodne z DMARC, muszą przejść albo uwierzytelnienie SPF albo DKIM, a nie oba. Jeśli nie masz rekordu DKIM na miejscu, odbierające MTA sprawdzają tylko dopasowanie SPF, które określa autentyczność wiadomości, podczas gdy DKIM automatycznie nie przechodzi dla każdej wiadomości.

Nie jest to jednak sytuacja idealna. Dowiedzmy się dlaczego:

Problem z przekazywaniem wiadomości e-mail i listami mailingowymi

W przypadku emaili przesyłanych dalej, Twoja wiadomość przechodzi przez serwer pośredniczący zanim wyląduje w skrzynce odbiorczej Twojego odbiorcy. Ten serwer ma inny adres IP, który może nie być uwzględniony w rekordzie SPF Twojej domeny. Dlatego też przekierowane emaile łamią SPF po stronie odbiorcy.

Jeśli nie masz rekordu DKIM, niepowodzenie SPF w zasadzie skutkowałoby niepowodzeniem DMARC. W przypadku polityki ustawionej na odrzucanie, Twoje legalne emaile wysłane poprzez listy mailingowe nie dotarłyby w ogóle do Twoich odbiorców. Dlatego właśnie posiadanie zarówno SPF jak i DKIM zaimplementowanych dla Twojej domeny, oraz uzyskanie pełnej zgodności z DMARC poprzez dostosowanie Twoich emaili do obu protokołów jest lepszym sposobem na zapewnienie bezproblemowej dostarczalności.

DMARC Vs SPF: Podsumowując

 

Podsumowując dyskusję na temat DMARC vs SPF, nasza rekomendacja jest taka, aby zacząć od opublikowania rekordu TXT dla SPF i rekordu DMARC utrzymując politykę na poziomie zero, jednocześnie umożliwiając raportowanie zbiorcze. W ten sposób będziesz mógł śledzić ilość emaili, które są przekazywane dalej lub wysyłane poprzez listy mailingowe. Polityka none nie będzie miała żadnego wpływu na dostarczalność Twoich emaili, jednocześnie pozwalając Ci na efektywne monitorowanie Twoich domen.

Jednakże, aby poprawić swoją obronę przed nadchodzącymi atakami phishingowymi i spoofingiem potrzebujesz bardziej wymuszonej polityki (p=reject/quarantine) dla DMARC. Samo wdrożenie SPF nie oferuje żadnej ochrony przed oszustwami emailowymi, dla których polityka DMARC jest niezbędna.

Korzyści wynikające z zastosowania oprogramowania DMARC

Zalecamy użycie PowerDMARC's DMARC report analyzer aby uzyskać porady ekspertów i jak najlepiej wykorzystać standardy uwierzytelniania emaili już dziś. To pomoże Ci:

  • Przejście na politykę odrzucania w najszybszym rynkowym tempie, bez wpływu na dostarczalność 
  • Uzyskaj 100% zgodności z DMARC dla wychodzących wiadomości e-mail
  • Monitoruj swoje kanały emailowe przy włączonej opcji p=none, aby uzyskać jasność co do ilości przekazywanych emaili 
  • Szybsze podejmowanie decyzji o trybach i konfiguracjach polityki protokołów oraz płynne wdrażanie wdrożonych standardów uwierzytelniania poczty elektronicznej