Czy mogę skonfigurować DMARC bez DKIM?
przez
Czas odczytu: 8 min
Odpowiedź brzmi: tak, można skonfigurować DMARC bez DKIM.
Czy jednak jest to dobry pomysł?
W tym artykule przeanalizowano to pytanie. Omówiono też konsekwencje konfiguracji DMARC bez DKIM.
Kluczowe wnioski
- DMARC może być skonfigurowany bez DKIM, ale ta praktyka nie jest generalnie zalecana.
- Korzystanie z DMARC w połączeniu z SPF i DKIM poprawia dostarczalność i autentyczność wiadomości e-mail.
- Klienci poczty e-mail często oznaczają wiadomości bez DKIM jako spam, potencjalnie szkodząc reputacji nadawcy.
- SPF i DKIM służą różnym celom, dzięki czemu mogą być używane niezależnie lub w tandemie bez polegania na sobie nawzajem.
- Konfiguracja DMARC z DKIM może pomóc w zapobieganiu fałszywym alarmom i problemom z dostarczaniem wiadomości e-mail, zwłaszcza podczas przekazywania.
Zrozumienie standardów uwierzytelniania DMARC
DMARC to protokół, który umożliwia uwierzytelnianie wiadomości e-mail pochodzących z domeny użytkownika. Wykorzystuje on zestaw reguł do określenia, czy wiadomość e-mail jest zgodna z prawem, czy nie.
SPF i DKIM to dwa inne protokoły, które są wykorzystywane do celów uwierzytelniania w kontekście DMARC.
SPF jest skrótem od Sender Policy Framework - określa on sposób, w jaki dostawcy poczty mogą weryfikować tożsamość nadawców i blokować wiadomości spam.
DKIM jest skrótem od DomainKeys Identified Mail - działa poprzez szyfrowanie wiadomości w momencie jej wysyłania, a następnie użycie kryptografii klucza publicznego do ponownego jej podpisania, gdy dotrze do serwera docelowego.
DMARC, SPF i DKIM - tworzą razem trzy filary uwierzytelniania poczty elektronicznej. Gwarantują one, że wiadomości e-mail nie zostaną sfałszowane, zmanipulowane lub zhakowane przez osoby trzecie.
Uprość bezpieczeństwo z PowerDMARC!
Algorytm oceny DMARC
Algorytm oceny DMARC to wartość logiczna, która bierze pod uwagę wyniki uwierzytelniania SPF i DKIM. Następnie określa, czy zaakceptować wiadomość e-mail jako zgodną z prawem, czy też nie.
Wynik jest uzależniony od dwóch możliwych rezultatów:
1. Pass: Wiadomość e-mail przechodzi zarówno uwierzytelnianie SPF, jak i DKIM LUB tylko jedno z nich. Jest więc uważany za czysty. I dlatego jest akceptowany przez serwer odbierający.
Aby ująć algorytm uwierzytelniania "pass" w proste równania:
| Przepustka uwierzytelniająca DMARC = rekord SPF z prawidłowym wyrównaniem identyfikatora SPF +/lub rekord DKIM z prawidłowym wyrównaniem identyfikatora DKIM |
LUB (w przypadku braku DKIM)
| DMARC authentication pass = rekord SPF z ważnym wyrównaniem identyfikatora SPF |
LUB (w przypadku braku SPF)
| Przepustka uwierzytelniająca DMARC = rekord DKIM z ważnym wyrównaniem identyfikatora DKIM |
2. Niepowodzenie: Wiadomość nie przeszła pomyślnie zarówno kontroli uwierzytelniania SPF, jak i DKIM, co wskazuje, że jest ona zniekształcona lub zawiera złośliwą zawartość.
Czy mogę skonfigurować DMARC bez DKIM?
Protokół DMARC działa prawidłowo w trzech następujących scenariuszach:
- są tam zarówno prawidłowe SPF, jak i DKIM
- istnieje prawidłowy SPF bez DKIM
- istnieje prawidłowy DKIM bez SPF
Więc tak, możesz skonfigurować DMARC bez DKIM.
DMARC opiera się na SPF i DKIM do celów uwierzytelniania, ale są to technologie ortogonalne.
W ogólnym sensie SPF jest mechanizmem "autoryzacji ścieżki", co oznacza, że zezwala IP na wysyłanie wiadomości w imieniu danej domeny. Z kolei DKIM jest mechanizmem "integralności treści", co oznacza, że zapewnia, iż wysyłane wiadomości nie ulegną zmianie po dotarciu do serwera.
Oznacza to, że ich skuteczność nie zależy od siebie nawzajem; można je stosować równolegle, a nawet niezależnie od siebie.
Jednak zaleca się używanie zarówno SPF jak i DKIM razem z DMARC, ponieważ współpracują one ze sobą w celu zapewnienia bardziej solidnych możliwości uwierzytelniania DMARC. DMARC bez DKIM, choć możliwy, nie jest zalecaną praktyką.
Jak klienci poczty elektronicznej traktują wiadomości e-mail bez DKIM?
Większość klientów poczty elektronicznej traktuje wiadomości e-mail, które nie mają DKIM, jako spam.
W niektórych przypadkach może to spowodować oflagowanie wiadomości przez serwer poczty elektronicznej odbiorcy i oznaczenie jej jako spam.
Niektórzy dostawcy usług poczty elektronicznej mogą również pokazywać odbiorcom wiadomości jako pochodzące z innej domeny niż zamierzano.
Na przykład w programach Outlook i Gmail wiadomość e-mail bez DKIM będzie wyświetlana w skrzynce odbiorcy z prawidłowym adresem FROM, ale "wysłana przez" lub "za pośrednictwem" kogoś innego.
Może to być mylące dla odbiorców, a nawet może sprawić, że uznają oni, iż to ktoś inny wysłał im wiadomość, a nie Ty.
Przykład #1 (Outlook)
Rys. 1 Bez DKIM: Outlook pokazuje adres "wysłany przez" w skrzynce odbiorczej odbiorcy.
Rys.2 Z DKIM: Outlook pokazuje tylko adres FROM.
Przykład #2 (Gmail)
Rys. 3 Bez DKIM: Gmail pokazuje adres "via" w skrzynce odbiorczej odbiorcy.
Rys. 4 Z DKIM: Gmail pokazuje tylko adres FROM.
Jeśli jednak DKIM jest obecny w wiadomości e-mail, wyżej wymienione problemy raczej nie wystąpią. Serwer wysyłający nie jest już widoczny na ekranie klienta, więc istnieje mniejsze prawdopodobieństwo, że wiadomość trafi do folderów spamu lub wiadomości-śmieci. Jedyną informacją, jaką posiada serwer wysyłający, jest adres FROM - co oznacza wysoki współczynnik zaufania dla firm wysyłających, które poszukują klientów za pomocą strategii e-mail marketingowych.
Konsekwencje ustawienia DMARC z i DMARC bez DKIM
Skonfigurowanie protokołu DMARC z DKIM może zapobiec oznaczaniu wiadomości e-mail przez filtry antyspamowe i ich blokowaniu.
Jednak ustawienie DMARC bez DKIM może spowodować wzrost liczby fałszywych alarmów oraz opóźnienia, gdy odbiorca próbuje zweryfikować adres e-mail nadawcy.
W tej części przyjrzymy się niektórym możliwym konsekwencjom ustawienia DMARC z i DMARC bez DKIM.
1. Podczas sprawdzania zaufania do poczty elektronicznej
Przy podejściu opartym wyłącznie na SPF, ochrona DMARC byłaby ograniczona do niewidocznych adresów "nadawcy koperty" (MAIL FROM lub Return-path). Są one używane do odbierania od nadawców wiadomości zwrotnych (raportów o niedostarczeniu).
Jednak gdy DKIM jest połączony z SPF, ochrona DMARC jest włączona dla adresu "nagłówka Od:", jak również dla tych adresów, które są widoczne dla odbiorców. W ten sposób zapewnia się większe poczucie zaufania do poczty elektronicznej niż przy użyciu DMARC z samym SPF.
2. Przy przekazywaniu wiadomości e-mail
Uwierzytelnianie SPF działa w ten sposób, że wysyłasz e-mail zawierający Twój rekord SPF (adres IP serwera, z którego chcesz wysyłać e-maile) do innego serwera. Drugi serwer sprawdza, czy ten adres IP jest u niego zarejestrowany i odsyła swój własny rekord SPF - jeśli go nie ma, odrzuca żądanie.
W przypadku przekazywania poczty uwierzytelnianie SPF może zawieść, ponieważ nie ma gwarancji, że adres IP serwera pośredniczącego znajduje się na liście SPF dla domeny wysyłającej. W wyniku tego, legalna wiadomość e-mail bez podpisu DKIM nie przejdzie uwierzytelniania DMARC, co daje wynik fałszywie negatywny.
Gdyby w tej domenie skonfigurowano protokół DKIM, nie wystąpiłby wynik fałszywie ujemny.
Ale dlaczego?
Podpis DKIM (d=) jest dołączany do treści wiadomości e-mail, natomiast SPF jest dołączany do nagłówka "Return-Path".
W przypadku przekazywania wiadomości e-mail treść wiadomości nie jest dotykana ani modyfikowana, dlatego podpis DKIM (d=) zawarty w treści wiadomości e-mail pozostaje nienaruszony. Oznacza to, że tożsamość nadawcy można zweryfikować za pomocą pary kluczy publicznego i prywatnego zawartych w treści wiadomości e-mail, a uwierzytelnianie DMARC przebiega pomyślnie.
Z drugiej strony, SPF jest dołączany do nagłówka "Return-Path", który zmienia się w przypadku przekazywania poczty. Dlatego jego poprawność nie jest weryfikowana, co daje fałszywy wynik negatywny.
Podsumowując, uwierzytelnianie SPF zawodzi z powodu przekierowania wiadomości e-mail, ale DKIM przetrwa przekierowanie wiadomości e-mail, ponieważ jest dołączone do treści wiadomości e-mail. Dlatego ważne jest, aby skonfigurować DMARC również z DKIM.
3. Podczas aktualizacji adresu IP
Podczas wysyłania wiadomości e-mail serwer odbierający sprawdza nagłówek wiadomości, aby sprawdzić, czy nie został on zmodyfikowany. Jeśli tak, serwer odbierający odrzuca wiadomość i wysyła powiadomienie.
Tu właśnie wkracza SPF. SPF sprawdza, czy Twój adres IP znajduje się w rekordzie SPF serwera wysyłającego jako prawidłowy (innymi słowy, czy nie ma fałszywych adresów IP).
Jeśli zmieni się Twój adres IP, wtedy Twój rekord SPF musi zostać zaktualizowany o nowy adres. Czas potrzebny na to zależy od tego, jak często zmieniasz adres IP - w większości przypadków potrzeba do 48 godzin, aby nowy rekord SPF wszedł w życie.
Co się więc stanie, jeśli Twój dostawca poczty elektronicznej doda nowy adres IP do swojego zakresu? W takim przypadku dostarczenie wiadomości e-mail może się opóźnić ze względu na czas propagacji aktualizacji rekordu SPF.
Jednak po skonfigurowaniu zarówno DKIM, jak i SPF można obejść ten problem, używając podpisu kryptograficznego DKIM, aby udowodnić, że serwer pocztowy pod adresem [email protected] był upoważniony do wysyłania wiadomości.
Oznacza to, że nawet jeśli zmieni się ich adres IP, DKIM nadal będzie w stanie zweryfikować, czy wiadomości e-mail pochodzące z określonych domen są autentyczne i zgodne z prawem.
Używanie DMARC bez DKIM: Możliwe scenariusze OK/FAIL
Gdy korzystasz z mechanizmów DKIM i SPF, używasz dwóch różnych narzędzi do osiągnięcia tego samego celu: zapobiegania spoofingowi.
Oba działają niezależnie od siebie, ale mogą również zawieść niezależnie od siebie. Na przykład SPF może zawieść niezależnie od DKIM, a DKIM może zawieść niezależnie od SPF.
Oto cztery możliwe scenariusze OK/FAIL konfigurowania protokołu DMARC bez lub z DKIM:
| Scenariusz | Znaczenie | Stan dostarczania wiadomości e-mail |
| SPF ok, DKIM ok | Zapewnia to, że wiadomości e-mail są wysyłane z legalnego źródła. Serwer jest uprawniony do wysyłania poczty, ponieważ ma ważny rekord SPF i ważny podpis DKIM. | Dostarczane do skrzynki odbiorczej |
| SPF ok, DKIM nie działa | Oznacza to, że poczta została dostarczona przez autoryzowany serwer, ale weryfikacja podpisu DKIM nie powiodła się. | Dostarczono do folderu spamu lub wiadomości-śmieci |
| SPF nie powiodło się, DKIM ok. | Oznacza to, że podpis DKIM poczty jest ważny, ale serwer wysyłający nie ma uprawnień do dostarczenia poczty. | Dostarczono do folderu spamu lub wiadomości-śmieci |
| SPF nie działa, DKIM nie działa | Jeśli zarówno SPF, jak i DKIM zawiodą, wiadomość e-mail zostanie uznana za sfałszowaną i odrzucona przez serwer pocztowy odbiorcy obsługujący DMARC. | Niedostarczone / Odrzucone |
Kompletne wdrożenie DMARC jest potrzebą chwili!
SPF i DKIM są najpopularniejszymi mechanizmami ochrony poczty elektronicznej używanymi do implementacji prawidłowego rekordu DMARC w celu zapobiegania spoofingowi poczty elektronicznej. Po prawidłowym wdrożeniu DMARC do istniejącej infrastruktury poczty elektronicznej, wiadomości e-mail są dostarczane zgodnie z przeznaczeniem. Oznacza to mniej skarg na spam, mniej fałszywych alarmów na czarnych listach i lepsze statystyki dostarczalności dla wszystkich subskrybentów.
PowerDMARC oferuje kompletny DMARC z politykami DKIM, SPF i DMARC stworzonymi dla Twojej domeny. W ten sposób pomaga Ci osiągnąć bardziej wiarygodne wyniki z Twoich wiadomości e-mail.
Generowanie rekordu DKIM online lub pobierz bezpłatną wersję próbną DMARC aby uzyskać kompletne rozwiązanie dla złożonego i ciągle zmieniającego się świata bezpieczeństwa poczty e-mail.
FAQ
Czy DMARC może przejść bez DKIM?
Tak, DMARC może przejść bez DKIM. DMARC wymaga, aby wiadomość e-mail przeszła albo SPF lub DKIM, a mechanizm przekazywania jest zgodny z domeną "From". Dlatego też, jeśli wiadomość e-mail przejdzie kontrolę SPF i ma prawidłowe wyrównanie SPF, przejdzie DMARC, nawet jeśli DKIM nie jest skonfigurowany lub jeśli podpis DKIM nie powiedzie się.
Czy DMARC może przejść bez SPF?
Tak. Wymóg DMARC jest taki, że co najmniej jedna metoda uwierzytelniania przechodzi i jest wyrównana. Jeśli Twój e-mail przejdzie DKIM z odpowiednim wyrównaniem, przejdzie DMARC, nawet bez SPF.
Czym jest dostosowanie DMARC?
Zgodność oznacza, że domena uwierzytelniona przez SPF lub DKIM pasuje do domeną w widocznym adresie "From", który widzi odbiorca. Samo przejście SPF lub DKIM nie wystarczy; domena źródłowa musi być zgodna z domeną deklarowanego nadawcy, aby DMARC przeszedł.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.
Latest posts by Ahona Rudra (zobacz wszystkie)
- CNAME vs rekord A: Którego rekordu DNS należy użyć? - 18 listopada 2025 r.
- Studium przypadku DMARC MSP: Jak PowerDMARC zabezpiecza domeny klientów Amalfi Technology Consulting przed spoofingiem - 17 listopada 2025 r.
- Testowanie dostarczalności wiadomości e-mail: Co to jest i jak z niego korzystać - 17 listopada 2025 r.
