DKIM i SPF porovnává doménu vždy s doménou v hlavičce e-mailu (From dle RFC 5322). Protože From je to, co uživatel vidí ve svém e-mailovém klientovi.
Return-Path má obsahovat e-mailovou adresu, na kterou se mají posílat případné chyby při doručování.
SPF sváže From z hlavičky e-mailu s Return-Path, tím pádem se pak takový e-mail nedá přeposílat (při přeposlání se mění return-Path ale nemění se From). Proto doporučuju raději používat při odesílání DKIM – to zaručuje, že e-mail odeslal někdo z té domény, která je uvedená ve From, bez ohledu na to, kolikrát byl e-mail následně přeposlán.
Přeposílat se dá, k tomu účelu se používá SRS (Sender Rewrite System), kde se v return-path zachová původní hodnota, ale doména souhlasí s doménou serveru, který přeposílá, takže SPF souhlasí.
SRS používá Microsoft, Google i Seznam.
Pak to vypadá takto nějak:
Return-Path: <SRS0=1PwV=5L=allser.skin=edkuvnk@preposilajici.cz>
Jenže v takovém případě právě u DMARC selže SPF Alignment validace, protože v
Return-Path máte doménu
preposilajici.cz, ale ve
From e-mailu bude původní odesílatel.
SRS řeší to, aby přeposílající měl zachovanou informaci, pro koho daný e-mail přeposlal. Přeposílající je tak schopen případnou chybovou zprávu přeposlat původnímu odesílateli. Ale i když existují obvyklé formáty, jak SRS zapisovat, neexistuje žádný standard, který by museli všichni dodržovat – takže adrese v Return-Path přepsané pomocí SRS rozumí jenom ten, kdo daný e-mail přeposlal. Ostatní mohou jen hádat, jaká asi byla původní adresa. Což ale ničemu nevadí, protože ostatní se na to stejně nemohou spolehnout – já klidně můžu vytvořit e-mail, který bude mít v Return-Path adresu, která se bude tvářit, jako že jste ten e-mail vytvořil vy a já ho jen přeposlal. Takže na to se při validaci odesílatele nelze spoléhat. Pro validaci odesílatele potřebujete něco, co spojí původního odesílatele s e-mailem, bez ohledu na to, kolikrát se e-mail přepošle – a k tomu slouží DKIM.
6 Odpovědí
1403 Zhlédnutí