web-dev-qa-db-ja.com

レポートが必要ない場合、DMARCは役に立ちますか?

SPFとDKIMをセットアップし、管理しているメールドメインで作業しています。次の推奨手順は、SPFとDKIMの両方が配置されているため、DMARCをセットアップすることです。

SPFとDKIMの両方がすでに期待どおりに機能している場合、DMARCを使用する利点は何ですか?

1
poke

DMARCは、ドメインの検証、破棄、およびレポートポリシーを定義する方法であり、SPFとDKIM(2つを一緒に)を通過できないメッセージについて、ここでさらに関心があります。

DMARC、SPF、およびDKIMの間で、From:ドメインがSPFまたはDKIMを通過したドメインのいずれかと一致するかどうかをチェックするのはDMARCです。一致するものがない場合は、選択したDMARCポリシーが適用されます。

DMARCがないと、攻撃者は、自分が制御するMAIL FROMドメインを使用して、SPFを有利に操作します。これにより、From:ヘッダーでドメインを使用できるようになります。ただし、SPFでDMARCを渡すには、MAIL FROMとFrom:ヘッダーで同じドメインを使用する必要があります。

同様に、攻撃者は希望するDKIMキーを使用してメッセージに署名することを選択できます。ただし、DKIMでDMARCを渡すことができるようにするには、From:ドメインのDKIMキーで署名する必要があります。

4
Marco

ここでの答えにはいくつかの部分があります。まず、DMARCを使用すると、認証率を確実に知ることができます。確かに、1つまたは2つのテストメッセージに合格する可能性がありますが、送信するすべてのメッセージは認証に合格しますか?また、知らない送信者はいますか? (たとえば、マーケティングの誰かがラジオで広告を聞いてあなたに言わなかったので、ConstantContactにサインアップしただけですか?私はそれが常に起こるのを見て、DMARCはそれをあなたに公開します。)

次に、DMARCを使用して、電子メールの送信者の可能性をすべて検出し、認証が100%またはほぼ100%であることを検証したら、p = rejectなどのより制限的なポリシーを設定して、自分以外のユーザーが使用できないようにすることができます。スパムやその他の悪用を送信するドメイン。

多くの場合、DMARCレコードを入れることは非常に光ります。多くの場合、自分が所有するドメインを自分の目的で悪用したことを聞いたことがないサードパーティがいます。

1
cmeid