SPFとDKIMがあります。私はDMARCを追加して、受信者にSPFやDKIMを期待するように伝えることを計画しています。私は、DMRCをSPFとDKIMの両方でセットアップするのが最善であると読みましたが、DKIMだけの場合よりも両方の場合の方が優れていることを正確には理解していません。 SPFとDKIMにDMARCを使用すると、DKIMにDMARCを使用するよりもメールをより適切に分類できるシナリオはありますか?そのシナリオはどのくらい一般的ですか?
あなたの質問に簡単な答えがあるとは思いません。 SPFとDKIMはどちらもスパム対策に役立ちますが、SMTPエンベロープ(SPF)や署名(DKIM)と比較して、メールヘッダーで主張されている送信者間の整合が取れていません。 DMARCだけがこの重要な調整を提供し、障害をどのように処理するかというポリシーを追加しました。
ただし、DKIMまたはSPFが必要なアライメントDMARCを提供できるようにすることで、これらのいずれかを正常にスプーフィングするのに十分です。これは、過度に広いSPFポリシーを適切に誤用するか、通常の粗雑な実装のDKIM署名を利用して、署名をそのままにしてメールの内容を変更することを意味します。したがって、DMARCを成功させるためにSPFまたはDKIMのいずれか1つのみを要求することにより、攻撃者は弱い問題に集中できます。
したがって、1つの推奨事項は、1つのメカニズムを適切かつ厳密に実装し、他のメカニズムをまったく実装しないことであり、これにより、攻撃者からより弱いターゲットを選択することができます。この場合、私はDKIMを実装することをお勧めしますが、適切に実装します。関連するすべてのメールヘッダーに署名し(多数あります)、これらすべてに署名して、ヘッダーの重複を防ぎ、署名済みメールが7ビットクリーンであることを確認します。詳細については、 DKIMの破綻-意図的かつ偶然 を参照してください(免責事項:これは私自身の調査です)。
DKIMのみを実装する利点は、このことを正しく行うためのリソースに集中できることです。それとは別に、適切に実装されていれば、より強力な保護を提供します。ただし、SPFを実行しないことの大きな欠点もあります。SPFはDKIMやDMARCよりもはるかに広く実装されているため、スパム対策ソリューションがSPRCのみを実装してDMARCやDKIMを実装しない可能性が高くなります。数は出典によって大きく異なりますが、アクセスしたメールの約40%はSPFでカバーされていましたが、DKIM署名があり、DMARCポリシーが約6%しかありませんでした。
要約すると、最善のことは、強力なDKIM署名と、小さくて厳密なSPFポリシーの両方を持つことです。これを適切に行うことは、見た目ほど簡単ではありません。リソースのセットが制限されている場合、攻撃者がより弱い問題を選択することができないように、これらの1つを正しく(推奨:DKIM)取得し、もう1つを完全にスキップすることをお勧めします。