我对这个模糊的标题感到抱歉。 我不完全明白为什么SPF和DKIM应该一起使用。
首先:如果发件人或DNS被“欺骗”,SPF可以通过应该失败的位置,如果涉及代理和转发器的高级设置,SPF可能会失败。
DKIM可以通过应该失败的地方,或者是因为密码学中的错误/弱点(我们排除了这一点,因此简化了点),或者是因为DNS查询是被欺骗的。
由于密码错误被排除,所以差异(正如我所看到的)是DKIM可以用于SPF失败的设置。 我不能拿出任何一个人都能从中受益的例子。 如果设置允许SPF,那么DIKM不应该添加任何额外的validation。
任何人都可以给我一个使用两个好处的例子吗?
SPF排名比通过/失败更多。 在启发式地评估垃圾邮件时使用这些方法使得这个过程更容易,更准确。 由于“高级设置”失败,表明邮件pipe理员不知道他在设置SPFlogging时所做的事情。 没有设置SPF无法正确解释。
密码学绝对不行。 DKIM允许的唯一encryption通常需要大量的资源才能打破。 大多数人认为这足够安全。 每个人都应该评估自己的情况。 同样,DKIM的排名不仅仅是通过/失败。
一个例子,一个人会受益于使用两个:发送到两个不同的一方,其中一个检查SPF和其他检查DKIM。 另一个例子是,发送给一方的内容通常在垃圾邮件testing中排名很高,但被DKIM和SPF所抵消,允许邮件被发送。
大多数情况下都不需要,尽pipe个人邮件pipe理员设置了自己的规则。 两者都有助于解决垃圾邮件的不同方面:SPF是中继电子邮件,DKIM是电子邮件的完整性和来源的真实性。
前段时间有人回答,但我认为这个接受的答案缺乏为什么必须一起使用才有效的问题。
SPF根据授权列表检查最后一个SMTP服务器跳转的IP。 DKIMvalidation邮件最初由给定的域发送,并保证其完整性。
有效的DKIM签名邮件可以通过重新发送而不作任何修改而用作垃圾邮件或networking钓鱼。 SPF不检查消息完整性。
想象一下,如果您收到一封有效的DKIM签名电子邮件(来自您的银行,朋友,无论如何)的情况,并且您find了一个不加修改地利用此邮件的好方法:那么您可以将这封邮件重新发送给不同的人数千次。 由于邮件没有修改,DKIM签名仍然有效,邮件将按合法传递。
无论如何,SPF会检查邮件的来源(SMTP服务器的真实IP / DNS),所以SPF将阻止邮件的转发,因为您无法通过configuration合适的SMTP服务器重新发送有效的邮件,而来自其他IP的邮件拒绝,有效地防止重新发送“有效的”DKIM消息作为垃圾邮件。
以下是您应始终发布SPF和DKIM的一些原因。
有些互联网服务提供商只支持其中一种,另外一些则支持两种,但是比另一种更重要。
DKIM保护电子邮件在运输过程中不被更改,SPF不会。
我也将DMARC添加到列表中。 始终发布完整电子邮件身份validation的缺点是什么?