web-dev-qa-db-ja.com

SPF -allがジョブを実行できるのに、なぜDMARCを使用するのですか?

DMARCを使用すると、メールを拒否するポリシーを設定できます。しかし、それは私がSPF内からすべてできることと同じではありませんか?

検疫とsoftfail〜allについても同じことが言えます。

レポートのほかに、SPFに加えてDMARCを使用する利点はどこにありますか?

email-serverdmarc
2
Gordo2019

DMARCを使用すると、受信者がDKIMとSPFの両方をどのように処理するかを指定できます。また、DKIM自体は、すでに署名されているメールにのみ適用されるため、DKIMが利用可能で必要であることを通知する唯一の方法です。

SPFは、ドメインがSMTPプロトコルレベルで使用されないように保護しますエンベロープ送信者が、受信者にはSPFが保護していないヘッダーのみが表示されます。 エンベロープ送信者Return-Pathヘッダーに記録される可能性がありますが、ほとんどのユーザーはFrom:のみを表示し、メールがそのアドレスから送信されていると考えます。 DMARCで実施されたDKIMのみがFromヘッダーを保護できます。

SPF + DMARCとDKIM + DMARCは異なる種類の偽造から保護するため、両方を用意する必要があります。また、DMARCアラインメントは、SPFが通過する限り、メッセージをDKIMで署名解除できること、およびSPFがDKIM署名付きメッセージを通過する必要がないことを通知できます。これは、単一のメールドメインに複数のユースケースがある場合に便利です。

4
Esa Jokinen

SPFは、ドメインへのメール送信を許可されているアドレスのみを指定します。その情報をどう処理するかを決めるのは受信者次第です。

DMARCを使用すると、SPFチェックが失敗したときに受信者に実行させたいアクションを正確に指定できます。

これらは冗長ではありませんが、補完的です。

4
Michael Hampton

TL; DRSPFだけでは、正確なドメインの電子メールのなりすましからユーザーを保護することはできません。 DMARCは必須です。

これは、SPFの-all保護を通過するシナリオです。

あなたがa.comドメインを持っていて、私がb.comを所有しているとしましょう。 v=spf1 {myserversIP} -all TXT SPFレコードをb.comのDNSに設定し、さらに{myserversIP}ホストにメールサーバーをインストールして、SMTPプロトコルを使用してメールを送信します。 [email protected]をアドレスからのエンベロープ(受信側のReturn-Pathヘッダー)として、メールの本文にFrom: [email protected]を入れて誰かにメールを送信します。 [〜#〜] mda [ 〜#〜] 私の電子メールを受信し、次の疑似アクションを実行します。

  1. Return-Path: [email protected]からドメインを抽出します
  2. b.comのSPFレコードのDNSルックアップを実行し、v=spf1 {myserversip} -allを取得します
  3. 送信者のIP(別名私のホストのIP)をSPFIPに対して検証します
  4. 電子メールを認証済みで有効としてマークします
  5. おめでとう。あなたになりすましてメールを送信しました

では、この状況を防ぐ方法は? DMARCが救助に来ます。 DMARCは、重要な新しいメカニズムを追加します:alignment。 DMARCを有効にすると、基本的にMDAは3番目のステップの後に次の疑似アクションを実行します。

  1. FromおよびReturn-Pathドメインの配置をチェックします(b.coma.com
  2. 調整に失敗したため、電子メールを認証されていないものとしてマークします
  3. おめでとう。 DMARCは電子メールのなりすましを防ぎました。

それでおしまい。私の答えが理にかなっていることを願っています。

PS:私は all-in-1 DMARCデプロイメントシステム の共同創設者です。私は毎日多くの顧客と取引して、DMARCの重要性、電子メールのなりすましやフィッシングからドメインを保護することが今日の最高の業界標準である方法を説明しています。

0
Engineer

電子メールには2つの差出人アドレスがあります。封筒の差出人アドレスとヘッダーの差出人アドレスです。 SPFには、アドレスからのヘッダーを認証せずに、アドレスからのエンベロープのみを認証するというセキュリティホールがあります。

したがって、SPFのみが展開されている場合でも、アドレスからヘッダーをスプーフィングすることができます。

DMARCは、このセキュリティホールにパッチを適用するために識別子アライメント(IA)を導入しています。識別子のアラインメントでは、アドレスからのヘッダーのドメインがアドレスからのエンベロープのドメインと「アライン」する必要があります。

DMARCの識別子の配置により、電子メールのアドレスからヘッダーをスプーフィングする試みをブロックするセキュリティの別のレイヤーが追加されます。

識別子alignemtnの詳細については、以下を参照してください。 DMARC識別子の配置

0
shoorlyne