Tengo SPF y DKIM. Estoy planeando agregar DMARC para decirle a los receptores que esperen SPF y / o DKIM. He leído que es mejor configurar DMARC tanto con SPF como con DKIM, pero no entiendo exactamente cuándo sería mejor tenerlo para los dos que para DKIM. ¿Hay algún escenario en el que tener DMARC para SPF y DKIM clasificaría los correos electrónicos mejor que tener DMARC para DKIM? ¿Qué tan común es ese escenario?
No creo que haya una respuesta simple para tu pregunta. Tanto el SPF como el DKIM son útiles por sí mismos para combatir el spam, pero pierden la alineación entre el remitente reclamado en el encabezado del correo en comparación con el sobre SMTP (SPF) o la firma (DKIM). Solo DMARC proporcionó esta importante alineación y agrega una política sobre cómo lidiar con las fallas en la parte superior.
Pero, al permitir que DKIM o SPF proporcionen la alineación DMARC necesaria, es suficiente para falsificar con éxito uno de estos. Esto significa, ya sea para mal uso exitoso de una política SPF demasiado amplia o para hacer uso de las firmas DKIM implementadas generalmente de mala calidad para cambiar el contenido del correo manteniendo la firma intacta. Por lo tanto, al requerir solo uno de SPF o DKIM para que tenga éxito, DMARC permite al atacante enfocarse en el problema más débil.
Por lo tanto, una recomendación podría ser implementar un mecanismo de manera adecuada y estricta, no implementar el otro en absoluto y, de esta manera, elegir el objetivo más débil del atacante. En este caso, preferiría implementar DKIM, pero implementarlo correctamente: firmar todos los encabezados de correo relevantes (hay muchos), supervisar todos estos para proteger contra la duplicación de encabezados y también asegurarse de que el correo firmado esté limpio a 7 bits. Para obtener más información sobre esto, consulte Rompiendo DKIM - en Propósito y por casualidad ( descargo de responsabilidad: esta es mi propia investigación).
La ventaja de implementar solo DKIM es que uno puede enfocar los recursos para hacer esto correctamente. Aparte de eso, proporciona la protección más fuerte si se implementa correctamente. Pero, también es una gran desventaja de no hacer SPF: SPF se implementa mucho más ampliamente que DKIM o DMARC y, por lo tanto, la probabilidad es solo mayor de que una solución antispam implemente solo SPF pero no DMARC y / o DKIM. Si bien los números varían mucho según las diferentes fuentes, en los correos a los que tuve acceso, cerca del 40% estaban cubiertos por SPF, pero solo el 9% tenía una firma DKIM y alrededor del 6% de una política de DMARC.
En resumen: lo mejor es tener firmas DKIM sólidas y políticas SPF pequeñas y estrictas. Hacer esto correctamente no es tan simple como podría parecer. Con un conjunto de recursos más limitado, podría preferirse tener uno de estos derechos (recomendado: DKIM) y omitir el otro por completo para que un atacante no tenga la opción de elegir el problema más débil.