DKIM用にすでに設定されているのに、SPF用にDMARCを設定するのはなぜですか？

あなたの質問に簡単な答えがあるとは思いません。 SPFとDKIMはどちらもスパム対策に役立ちますが、SMTPエンベロープ（SPF）や署名（DKIM）と比較して、メールヘッダーで主張されている送信者間の整合が取れていません。 DMARCだけがこの重要な調整を提供し、障害をどのように処理するかというポリシーを追加しました。

ただし、DKIMまたはSPFが必要なアライメントDMARCを提供できるようにすることで、これらのいずれかを正常にスプーフィングするのに十分です。これは、過度に広いSPFポリシーを適切に誤用するか、通常の粗雑な実装のDKIM署名を利用して、署名をそのままにしてメールの内容を変更することを意味します。したがって、DMARCを成功させるためにSPFまたはDKIMのいずれか1つのみを要求することにより、攻撃者は弱い問題に集中できます。

したがって、1つの推奨事項は、1つのメカニズムを適切かつ厳密に実装し、他のメカニズムをまったく実装しないことであり、これにより、攻撃者からより弱いターゲットを選択することができます。この場合、私はDKIMを実装することをお勧めしますが、適切に実装します。関連するすべてのメールヘッダーに署名し（多数あります）、これらすべてに署名して、ヘッダーの重複を防ぎ、署名済みメールが7ビットクリーンであることを確認します。詳細については、 DKIMの破綻-意図的かつ偶然 を参照してください（免責事項：これは私自身の調査です）。

DKIMのみを実装する利点は、このことを正しく行うためのリソースに集中できることです。それとは別に、適切に実装されていれば、より強力な保護を提供します。ただし、SPFを実行しないことの大きな欠点もあります。SPFはDKIMやDMARCよりもはるかに広く実装されているため、スパム対策ソリューションがSPRCのみを実装してDMARCやDKIMを実装しない可能性が高くなります。数は出典によって大きく異なりますが、アクセスしたメールの約40％はSPFでカバーされていましたが、DKIM署名があり、DMARCポリシーが約6％しかありませんでした。

要約すると、最善のことは、強力なDKIM署名と、小さくて厳密なSPFポリシーの両方を持つことです。これを適切に行うことは、見た目ほど簡単ではありません。リソースのセットが制限されている場合、攻撃者がより弱い問題を選択することができないように、これらの1つを正しく（推奨：DKIM）取得し、もう1つを完全にスキップすることをお勧めします。