resultado de la política DMARC cuando uno de SPF y DKIM falla exactamente y uno de ellos tiene éxito

Navega tus respuestas
2

El reenvío de correo electrónico puede romper el SPF, pero no debería romper el DKIM. Quiero hacer una política DMARC que se evalúe como "pasar" cuando pasa DKIM o SPF, y "fallar" cuando no pasa ningún DKIM o SPF. es posible? Si es así, ¿cómo se hace esto?

Estoy tratando de envolver mi cabeza en torno al resultado de una evaluación de políticas de DMARC en la que exactamente uno de SPF y DKIM falla y uno tiene éxito. He leído RFC7489 y I ' He encontrado estas dos citas:

  

La evaluación de DMARC solo puede producir un resultado "aprobado" después de uno de los      los mecanismos de autenticación subyacentes pasan para un alineado      identificador.

  

La disposición final de un mensaje siempre es una cuestión de política local.      Un operador que desea favorecer la política de DMARC sobre la política de SPF, por      ejemplo, ignorará la política de SPF, ya que la promulgación de un      El rechazo determinado por SPF impide la evaluación de DKIM; DKIM podría      de lo contrario, pase, satisfaciendo la evaluación de DMARC. Hay un      compromiso de hacerlo, a saber, la aceptación y el procesamiento de toda la      Cuerpo del mensaje a cambio de la protección mejorada que proporciona DMARC.

Énfasis mío.

De estas citas, no está claro qué debería suceder cuando DKIM tiene éxito y SPF falla; la evaluación que podría aprobar no es algo en lo que pueda basar una decisión.

    
pregunta jornane 16.10.2017 - 16:23
fuente

2 respuestas

3

desde mi comprensión de la RFC, este debería ser el comportamiento predeterminado. si ha configurado el campo fo en el registro dmarc, esto lo modificará.

A los receptores se les permite procesar el mensaje según lo consideren adecuado, y pueden rechazar un mensaje en un error de spf (con un mecanismo de rechazo "-"), pero se demuestra que el estándar se implementa en su totalidad y se aprueba DKIM, con el valor predeterminado de fo configurando 0, el mensaje pasará la autenticación.

Si el registro SPF se establece en softfail , esto debería permitir que se procese el DKIM y que las políticas DMARC superen el resultado del SPF en la mayoría de los casos.

    
respondido por el EnviableOne 06.12.2017 - 14:51
fuente
0

Sólo un DKIM / SPF es necesario para que DMARC pase:

  • Si DKIM verifica con alineación, DMARC pasa: no se activa ninguna política (independientemente de SPF)
  • Si el SPF pasa con la alineación, DMARC pasa: no se activa ninguna política (independientemente de DKIM)
  

DMARC pasa cuando cualquiera SPF o DKIM está verificado y alineado.
  DMARC no puede exigir explícitamente SPF, ni explícitamente requiere DKIM, ni ambos.

Una firma DKIM alineada implica que el relevo de envío fue autorizado, por lo que requerir ambos parece innecesario. Si desea requerir siempre pasar DKIM, no publique SPF o (preferiblemente) diga a SPF que rechace todo (por ejemplo, v=spf1 ~all ). Si desea exigir siempre pasar SPF, no use DKIM o asegúrese de que no esté alineado.

El reenvío de correo electrónico interrumpirá el SPF (debido al enrutamiento a través de otros relés) y puede también romper el DKIM (debido, por ejemplo, a las ediciones de la lista de correo al sujeto y al cuerpo) a menos que usted (y sus destinatarios) utilicen Cadena de recepción autenticada (ARC) .

    
respondido por el Adam Katz 15.03.2018 - 19:20
fuente

Lea otras preguntas en las etiquetas

Requisitos conflictivos en FIPS 140-2 con respecto a la entrada de clave manual ¿La confidencialidad de WiFi proporcionada por las puertas de enlace de puntos de acceso públicos es igual o peor que la WPA2?